免责声明 - 这不是我的专业领域,我正在边学边做,如果我需要调整这里的细节程度或删除信息,请告诉我,无意冒犯。
客户需要通过 PCI 扫描,最后一个高危项目是,当某些 HTTP 消息被发送到 CAS 服务器(实际上只是发送到恰好托管 CAS 服务器/交换后端的 IP)时,如果没有指定 URL,它仍然会响应一条泄露其内部 IP 的消息。
修复方法(至少要通过扫描)是在 IIS 中为“默认网站”添加一个“绑定”,该网站包含 CAS,并且目前是 HTTPS/443 的唯一监听器,其结构如下:
- 类型 - HTTPS
- 主机名——CASFQDNHERE
- 端口 - 443
- IP地址 - *
虽然现在扫描已经通过(可能是因为当不合格的标头进入时没有匹配的绑定 - 之前有一个如上所述的绑定,但在“主机名”字段中没有值),用户报告了一个弹出窗口,提示他们从 Outlook 登录。当他们输入凭据时,它只是不断地重新提示他们。如果您关闭提示,它会在一段可变的时间内消失,但最终会重新弹出。邮件传递不受影响。
我已经尝试从凭证管理器中删除缓存的凭证,并让用户输入新的凭证,但没有效果。
非常期待任何反馈/帮助 - 提前感谢!!
答案1
CASURLHERE 应该是 FQDN,而不是 URL。
URL 将是http://host.fqdn.com
不带 http:// 前缀的主机名和域名host.fqdn.com
是完全限定域名。
假设您现在有一个 host.fqdn.com 的站点绑定,这很有趣。我猜想它可能不在您的本地 Intranet 区域中,但立即返回的提示表明身份验证可能根本没有成功,并且当发生此类问题时,可能值得查看安全事件日志。HTTPERR(c:\windows\system32\logfiles)和 W3C(c:\inetpub\logs)日志也值得一看。
添加(即不合格的主机名)绑定也是值得的host
- 如果站点配置了主机标头,它现在将只接受那些主机标头,并且如果有人出于任何原因使用短主机名,那么现在将被拒绝(并且任何带有点的内容默认被视为 Internet,等等)。
您没有明确提到 HTTPS 是否是新的 - 但损坏的(或无法撤销检查的)证书也可能导致类似的问题。
答案2
您的 Exchange 服务器版本是什么?您在 OWA 中遇到过任何问题吗?
默认情况下,每次 Outlook 客户端与 Exchange 建立连接时,Exchange 2010 客户端访问服务器上的 RPC 客户端访问服务都会使用 TCP 端点映射器端口 (TCP/135) 和动态 RPC 端口范围 (6005-59530) 进行传出连接。
我们需要在 Exchange 2010 客户端访问服务器上配置静态 RPC 端口。