我遇到了一个问题,在前面访问MS ISA 2006上运行的Tomcat。
当我使用内部IP地址(例如https://10.0.42.136/ .. )访问时,一切工作正常,localhost_access_log。 告诉我,查询返回200。
但是 – 使用FQDN访问相同的服务器(例如https://mydomain.com/ .. )会在浏览器中引发403 – 禁止访问。 在Tomcat服务器上,我发现列出的401错误不是403.换句话说 – ISA扔403,而Tomcat扔401。
托pipeTomcat的服务器以及查询Tomcat应用程序的服务器都可以完全访问Internet。
我相信ISA服务器可能存在问题,因为我认为IP地址stream量直接进入,而FQDNstream量在“返回”之前“stream出”。 但我不确定这一点。
Tomcat是否需要任何额外的configuration来从外部提供httpsstream量,例如添加ISA服务器的IP地址,因为它使用IP地址工作得很好?
我们是否需要对证书做任何事情,如下所示: http : //webcache.googleusercontent.com/search? q=cache: Y0BozNSUpN4J : forums.isaserver.org/fb.aspx%3Fm%3D2002034493+tomcat+behind + isa + server + certificates&cd = 1&hl = no&ct = clnk&gl = no ?
为什么来自外部的客户端机器的stream量正常,但来自内部networking的stream量却失败了?
假设nslookup mycompany.com打印ISA服务器的IP地址, 10.0.42.136是Tomcat的IP地址(而不是ISA)。
所以,当你连接到https://10.0.42.136/你直接连接到Tomcat(没有ISA)。 你可以简单地检查一下,如果你将以下内容写入你的主机文件,是否使用FDQN连接到Tomcat:
10.0.42.136 mycompany.com
(文件的path通常是c:\windows\system32\drivers\etc\hosts或/etc/hosts 。)
之后,检查与您的hosts文件条目是正确的。 命令和结果应该是这样的:
c:\>ping mycompany.com Pinging mycompany.com [10.0.42.136] with 32 bytes of data: ...
如果是ping 10.0.42.136请在浏览器中查看https://mycompany.com/ 。 也许你需要在它之前重新启动浏览器,不要忘记稍后从hosts文件中删除该行。
如果网站与hosts文件条目运作良好,这绝对是一个ISA服务器的问题。 否则,这个问题与Tomcat有关。
你没有对客户说什么,这很重要。 客户是否应该出去打FQDN? 你是否告诉过它是本地的,还是应该避免使用该代理? (客户是什么?)
不pipe怎么样,我想你可能正在体验reflection式攻击保护。
更古典:如果你的规则集不build议内部主机可以与其他内部主机通话,那么他们不能。
如果FQDN旨在退出您的networking并通过ISA回来,它需要一个允许组合的规则集。
所以,如果你想允许内部networking客户端连接到你的HTTPS外部网站,请尝试一个规则:Allow / HTTP&HTTPS / From:Internal Network / To:你使用的主机的内部IP(也可以尝试一个URL集包括它,但这可能不是必需的。