O ISA 2006 não permite tráfego usando FQDN

Question

O ISA 2006 não permite tráfego usando FQDN

#1 resposta do (1 votos)
#2 resposta do (1 votos)

2

Eu enfrentei um problema ao acessar o Tomcat rodando sobre SSL com o MS ISA 2006 na frente.

Quando acesso usando o endereço IP interno (por exemplo, link .) tudo funciona bem e localhost_access_log. mostre-me que a consulta retorna um 200.

No entanto - acessar o mesmo servidor usando o FQDN (por exemplo, link .) lança um 403 - Proibido no navegador. No servidor Tomcat eu acho um erro 401 listado não 403. Em outras palavras - ISA jogar 403 enquanto Tomcat jogar 401.

Tanto o servidor que hospeda o Tomcat quanto o servidor que está consultando o aplicativo Tomcat têm acesso total à Internet.

Acredito que pode haver um problema com o servidor ISA, pois suponho que o tráfego do endereço IP vá diretamente enquanto o tráfego do FQDN sai "antes" de retornar "in". Mas eu não tenho certeza disso.

O Tomcat exige qualquer configuração adicional para veicular o tráfego de https a partir do exterior, por ex. adicionar o endereço IP do servidor ISA, uma vez que funciona muito bem usando o endereço IP?

Precisamos fazer alguma coisa em relação aos certificados, conforme indicado aqui: link ?

Por que o tráfego da minha máquina cliente fica muito bem, mas o tráfego da rede interna falha?

ssl ip-address ssl-certificate fqdn isa-server

por sonstabo 18.10.2011 / 15:04

2 respostas

Tags ssl ip-address ssl-certificate fqdn isa-server

O que há de errado com meu registro SPF? Compreensão básica sobre o balanceador de carga

score 1 · Answer 1

Suponha que nslookup mycompany.com imprima o endereço IP do servidor ISA e 10.0.42.136 seja o endereço IP do Tomcat (não o ISA).

Assim, quando você se conecta a https://10.0.42.136/ , você se conecta diretamente ao Tomcat (sem o ISA). Você pode verificar se a conexão ao Tomcat com o FDQN funciona se você escrever o seguinte no seu arquivo hosts :

10.0.42.136     mycompany.com

(O caminho do arquivo geralmente é c:\windows\system32\drivers\etc\hosts ou /etc/hosts .)

Depois disso, verifique com ping se a entrada do arquivo hosts está correta. O comando e os resultados devem ser algo assim:

c:\>ping mycompany.com

Pinging mycompany.com [10.0.42.136] with 32 bytes of data:
...

Se estiver pings 10.0.42.136 check https://mycompany.com/ em um navegador. Talvez você precise reiniciar o navegador antes dele e não esqueça de remover a linha do arquivo hosts depois.

Se o site funcionar bem com a entrada do arquivo hosts , é definitivamente um problema no servidor ISA. Caso contrário, o problema está relacionado ao Tomcat.

score 1 · Answer 2

Você não disse nada sobre o cliente, e isso é importante. O cliente deve "sair" para acertar o FQDN? Você disse que é local ou que deve evitar o proxy para esse URL? (o que é o cliente?)

De qualquer forma, isso de lado, acho que você pode estar experimentando a proteção contra ataques de reflexão.

Mais classicamente: se o seu conjunto de regras não sugerir que os hosts internos podem falar com outros hosts internos, eles não poderão.

Se o FQDN for projetado para sair da rede e retornar via ISA, ele precisará de um conjunto de regras que permita essa combinação.

Portanto, se você quiser permitir que os clientes da rede interna se conectem ao seu site externo HTTPS, tente uma regra como: Permitir / HTTP e HTTPS / De: Rede interna / Para: IP interno do host que você está usando (também pode tentar um conjunto de URLs incluindo-o, mas isso possivelmente não é necessário.