Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Lösung für einen Fehler, der auftritt, wenn versucht wird, eine Verbindung mit einer Website herzustellen, die mit Microsoft Internet Security and Acceleration (ISA) Server 2004 Service Pack 2 (SP2) veröffentlicht wird.
Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 912122
Wichtig
Dieser Artikel enthält Informationen, die Ihnen zeigen, wie Sie sicherheitseinstellungen verringern oder sicherheitsfeatures auf einem Computer deaktivieren können. Sie können diese Änderungen vornehmen, um ein bestimmtes Problem zu umgehen. Bevor Sie diese Änderungen vornehmen, empfehlen wir, die Risiken zu bewerten, die mit der Implementierung dieser Problemumgehung in Ihrer jeweiligen Umgebung verbunden sind. Wenn Sie diese Problemumgehung implementieren, führen Sie alle geeigneten zusätzlichen Schritte aus, um Ihr System zu schützen.
Problembeschreibung
Wenn Sie versuchen, eine Verbindung mit einer Website herzustellen, die mit Microsoft Internet Security and Acceleration (ISA) Server 2004 Service Pack 2 (SP2) veröffentlicht wird, wird eine Fehlermeldung angezeigt. Wenn der ISA Server-Weblistener die Standardauthentifizierung aktiviert hat, wird die folgende Fehlermeldung angezeigt:
Fehlercode: 403 Verboten.
Die Seite muss über einen sicheren Kanal (Secure Sockets Layer (SSL)) angezeigt werden. Wenden Sie sich an den Serveradministrator. (12211)
Wenn der ISA Server-Weblistener RADIUS-Authentifizierung oder microsoft Outlook Web Access Forms-Based Authentication (Cookie-auth) aktiviert hat, wird die folgende Fehlermeldung angezeigt:
Fehlercode: 500 Interner Serverfehler.
Interner Fehler. (1359)
Ursache
Dieses Problem tritt auf, wenn alle folgenden Bedingungen erfüllt sind:
Der ISA Server 2004-Weblistener verfügt über eine der folgenden Authentifizierungsmethoden:
- Grundeinstellungen
- RADIUS
- Outlook Web Access Forms-basiert
Der ISA Server 2004-Weblistener ist für die Überwachung von HTTP-Datenverkehr konfiguriert.
Das Kontrollkästchen "Alle Benutzer zum Authentifizieren erforderlich" ist für den Weblistener aktiviert, oder die Webveröffentlichungsregeln gelten für einen anderen Benutzersatz als den Standardbenutzersatz "Alle Benutzer ".
Sie stellen eine Verbindung mit der veröffentlichten Website mithilfe von HTTP anstelle von HTTPS her.
Dieses Problem tritt aufgrund einer Sicherheitsänderung auf, die in ISA Server 2004 SP2 enthalten ist. Wenn Sie HTTP-to-HTTP-Bridging verwenden, aktiviert ISA Server 2004 SP2 keinen Datenverkehr für den externen HTTP-Port, wenn der Weblistener so konfiguriert ist, dass eine oder mehrere der folgenden Arten von Anmeldeinformationen angefordert werden:
- Grundeinstellungen
- RADIUS
- Outlook Web Access Forms-basiert
Dieses Verhalten tritt auf, da diese Arten von Anmeldeinformationen verschlüsselt werden sollen. Diese Anmeldeinformationen sollten nicht in Klartext über HTTP gesendet werden.
Für ISA Server 2004-Versionen, die älter als ISA Server 2004 SP2 sind, werden Sie aufgefordert, Anmeldeinformationen in Klartext einzugeben. Dieses Verhalten kann dazu führen, dass die Anmeldeinformationen über das Netzwerk im Klartext übertragen werden, wenn Sie keine andere Art von Netzwerksicherheit implementiert haben, z. B. einen externen SSL-Accelerator (Secure Sockets Layer) oder einen verschlüsselten Tunnel. ISA Server stellt diese Sicherheitsformen nicht bereit.
ISA Server 2004 SP2 verhindert, dass Sie Anmeldeinformationen in Klartext eingeben. Wenn Sie versuchen, dies zu tun, wird eine Fehlermeldung angezeigt.
Problemumgehung
Warnung
Diese Problemumgehung kann dazu führen, dass Ihr Computer oder Ihr Netzwerk anfälliger für Angriffe durch böswillige Benutzer oder schadhafte Software wie Viren ist. Wir empfehlen diese Problemumgehung nicht, stellen aber diese Informationen bereit, damit Sie diese Problemumgehung nach eigenem Ermessen implementieren können. Die Verwendung dieser Problemumgehung erfolgt auf eigene Verantwortung.
Um dieses Problem zu umgehen, konfigurieren Sie ISA Server 2004 SP2 so, dass es sich wie frühere Versionen von ISA Server 2004 verhält.
Führen Sie dazu das folgende Skript auf dem ISA Server 2004 aus, in dem Sie die Konfiguration ändern möchten. Das Skript legt einen Wert fest, der den Namen AllowAskBasicAuthOverNonSecureConnection in einem neuen Anbieterparameter enthält, der unter dem Stamm des ISA Server 2004-Arrays festgelegt ist.
Die Verwendung der hier aufgeführten Informationen, Makro- oder Programmcodes geschieht auf Ihre eigene Verantwortung. Microsoft stellt Ihnen diese Informationen sowie Makro- und Programmlistings ohne Gewähr auf Richtigkeit, Vollständigkeit und/oder Funktionsfähigkeit sowie ohne Anspruch auf Support zur Verfügung. Die zur Verfügung gestellten Makro- und Programmierungsbeispiele sollen lediglich exemplarisch die Funktionsweise des Beispiels aufzeigen. Die Microsoft Support-Spezialisten können bei der Erläuterung der Funktionalität bestimmter Prozeduren helfen, jedoch werden sie diese Beispiele nicht in Bezug auf eine erweiterte Funktionalität verändern, noch werden sie Prozeduren entwickeln, die auf Ihre besonderen Bedürfnisse zugeschnitten sind.
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
'
' Copyright (c) Microsoft Corporation. All rights reserved.
' THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE
' RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE
' USER. USE AND REDISTRIBUTION OF THIS CODE, WITH OR WITHOUT MODIFICATION, IS
' HEREBY PERMITTED.
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
' This script adds a new VendorParametersSets under the array root.
' add a new VendorParametersSet and add a value name "AllowAskBasicAuthOverNonSecureConnection" set to 1.
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Sub AddAllowAskBasicAuthOverNonSecureConnection()
' Create the root object.
Dim root ' The FPCLib.FPC root object
Set root = CreateObject("FPC.Root")
' Declare the other objects that are required.
Dim array ' An FPCArray object
Dim VendorSets ' An FPCVendorParametersSets collection
Dim VendorSet ' An FPCVendorParametersSet object
' Get references to the array object
' and the network rules collection.
Set array = root.GetContainingArray
Set VendorSets = array.VendorParametersSets
On Error Resume Next
Set VendorSet = VendorSets.Item( "{143F5698-103B-12D4-FF34-1F34767DEabc}" )
If Err.Number <> 0 Then
Err.Clear
' Add the item
Set VendorSet = VendorSets.Add( "{143F5698-103B-12D4-FF34-1F34767DEabc}" )
CheckError
WScript.Echo "New VendorSet added... " & VendorSet.Name
Else
WScript.Echo "Existing VendorSet found... value- " & VendorSet.Value("AllowAskBasicAuthOverNonSecureConnection")
End If
if VendorSet.Value("AllowAskBasicAuthOverNonSecureConnection") <> 1 Then
Err.Clear
VendorSet.Value("AllowAskBasicAuthOverNonSecureConnection") = 1
If Err.Number <> 0 Then
CheckError
Else
VendorSets.Save false, true
CheckError
If Err.Number = 0 Then
WScript.Echo "Done, saved!"
End If
End If
Else
WScript.Echo "Done, no change!"
End If
End Sub
Sub CheckError()
If Err.Number <> 0 Then
WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
Err.Clear
End If
End Sub
AddAllowAskBasicAuthOverNonSecureConnection