web-dev-qa-db-ja.com

ISA 2006は、FQDNを使用するトラフィックを許可しません

MS ISA 2006を前にしてSSL上で実行されているTomcatにアクセスする際に問題が発生しました。

内部IPアドレス(例: https://10.0.42.136/ .. 。)を使用してアクセスすると、すべてが正常に機能し、localhost_access_logが機能します。クエリが200を返すことを示してください。

ただし、-FQDNを使用して同じサーバーにアクセスすると(例: https://mydomain.com/ .. 。)、403がスローされます-ブラウザで禁止されています。 Tomcatサーバーで、403ではなく401エラーがリストされているのを見つけました。言い換えると、-ISA 403をスローし、Tomcatは401をスローします。

TomcatをホストしているサーバーとTomcatアプリケーションを照会しているサーバーの両方が、インターネットへのフルアクセスを持っています。

ISAサーバーに問題がある可能性があると思います。IPアドレストラフィックは直接送信され、FQDNトラフィックは「出力」されてから「入力」に戻ると想定しています。しかし、よくわかりません。これの。

Tomcatは、外部からのhttpsトラフィックを処理するために追加の構成を必要としますか? ISAサーバーのIPアドレスを追加します。これは、IPアドレスを使用しても問題なく機能するためです。

ここに示されているように、証明書に関して何かする必要がありますか: http://webcache.googleusercontent.com/search?q=cache:Y0BozNSUpN4J:forums.isaserver.org/fb.aspx%3Fm%3D2002034493 + Tomcat + begin + isa + server + certificates&cd = 1&hl = no&ct = clnk&gl = no

外部のクライアントマシンからのトラフィックはうまくいくのに、内部ネットワークからのトラフィックは失敗するのはなぜですか?

2
sonstabo

nslookup mycompany.comがISAサーバーのIPアドレスを出力し、10.0.42.136がTomcatのIPアドレス(ISAではない)であるとします。

したがって、https://10.0.42.136/に接続すると、Tomcatに直接接続します(ISAなし)。 hostsファイル に次のように書き込むと、FDQNを使用したTomcatへの接続が機能するかどうかを簡単に確認できます。

10.0.42.136     mycompany.com

(通常、ファイルのパスはc:\windows\system32\drivers\etc\hostsまたは/etc/hostsです。)

その後、pinghostsファイルエントリが正しいことを確認します。コマンドと結果は次のようになります。

c:\>ping mycompany.com

Pinging mycompany.com [10.0.42.136] with 32 bytes of data:
...

Pingが10.0.42.136の場合は、ブラウザでhttps://mycompany.com/を確認してください。たぶん、ブラウザを起動する前に再起動する必要があり、後でhostsファイルからその行を削除することを忘れないでください。

Webサイトがhostsファイルエントリで正常に機能する場合、それは間違いなくISAサーバーの問題です。それ以外の場合、問題はTomcatに関連しています。

1
palacsint

あなたはクライアントについて何も言っていません、そしてそれは重要です。クライアントはFQDNをヒットするために「外出」する必要がありますか?そのURLについては、ローカルである、またはプロキシを回避する必要があると言いましたか? (クライアントは何ですか?)

とにかく、それはさておき、あなたはリフレクション攻撃の保護を経験している可能性があると思います。

より古典的には、ルールセットが内部ホストが他の内部ホストと通信できることを示唆していない場合、それらはできません。

FQDNがネットワークを終了してISA経由で戻るように設計されている場合は、その組み合わせを許可するルールセットが必要です。

したがって、内部ネットワーククライアントがHTTPS外部Webサイトに接続することを許可する場合は、次のようなルールを試してください。許可/ HTTP&HTTPS /差出人:内部ネットワーク/宛先:使用しているホストの内部IP(URLセットも試す場合があります)それを含みますが、それはおそらく必須ではありません。

1
TristanK