Code d’erreur 403 ou 500 lorsque vous vous connectez à un site Web publié à l’aide d’ISA Server 2004 Service Pack 2

  • Article

Cet article fournit une solution à une erreur qui se produit lors de la tentative de connexion à un site Web publié à l’aide de Microsoft Internet Security and Acceleration (ISA) Server 2004 Service Pack 2 (SP2).

Produit concerné : Windows Server 2003
Numéro de la base de connaissances d’origine : 912122

Importante

Cet article contient des informations qui vous montrent comment réduire les paramètres de sécurité ou comment désactiver les fonctionnalités de sécurité sur un ordinateur. Vous pouvez apporter ces modifications pour contourner un problème spécifique. Avant d’apporter ces modifications, nous vous recommandons d’évaluer les risques associés à l’implémentation de cette solution de contournement dans votre environnement particulier. Si vous implémentez cette solution de contournement, prenez toutes les mesures supplémentaires appropriées pour protéger votre système.

Symptômes

Lorsque vous essayez de vous connecter à un site Web publié à l’aide de Microsoft Internet Security and Acceleration (ISA) Server 2004 Service Pack 2 (SP2), vous recevez un message d’erreur. Si l’authentification de base est activée pour l’écouteur web ISA Server, le message d’erreur suivant s’affiche :

Code d’erreur : 403 Interdit.
La page doit être consultée sur un canal sécurisé (SSL(Secure Sockets Layer)). Contactez l’administrateur du serveur. (12211)

Si l’authentification RADIUS ou l’authentification Forms-Based Microsoft Outlook Web Access (Cookie-auth) est activée pour l’écouteur web ISA Server, le message d’erreur suivant s’affiche :

Code d’erreur : 500 Erreur interne du serveur.
Une erreur interne s’est produite. (1359)

Cause

Ce problème se produit si toutes les conditions suivantes sont remplies :

  • L’écouteur web ISA Server 2004 a l’une des méthodes d’authentification suivantes activées :

    • Basic
    • RAYON
    • Outlook Web Access Forms-Based

  • L’écouteur web ISA Server 2004 est configuré pour écouter le trafic HTTP.

  • La zone Exiger que tous les utilisateurs s’authentifient case activée est sélectionnée pour l’écouteur Web ou les règles de publication Web s’appliquent à un ensemble d’utilisateurs autre que le jeu d’utilisateurs Tous les utilisateurs par défaut.

  • Vous vous connectez au site Web publié à l’aide de HTTP au lieu de HTTPS.

Ce problème se produit en raison d’une modification de sécurité incluse dans ISA Server 2004 SP2. Lorsque vous utilisez le pontage HTTP vers HTTP, ISA Server 2004 SP2 n’active pas le trafic sur le port HTTP externe si l’écouteur web est configuré pour demander un ou plusieurs des types d’informations d’identification suivants :

  • Basic
  • RAYON
  • Outlook Web Access Forms-Based

Ce comportement se produit car ces types d’informations d’identification doivent être chiffrées. Ces informations d’identification ne doivent pas être envoyées en texte clair sur HTTP.

Pour les versions d’ISA Server 2004 antérieures à ISA Server 2004 SP2, vous êtes invité à entrer les informations d’identification en texte clair. Ce comportement peut entraîner la transmission des informations d’identification sur le réseau en texte clair si vous n’avez pas implémenté une autre forme de sécurité réseau, telle qu’un accélérateur SSL (Secure Sockets Layer) externe ou un tunnel chiffré. ISA Server ne fournit pas ces formes de sécurité.

ISA Server 2004 SP2 vous empêche d’entrer des informations d’identification en texte clair. Lorsque vous essayez de le faire, vous recevez un message d’erreur.

Solution de contournement

Avertissement

Ce contournement peut rendre votre ordinateur ou réseau plus vulnérable aux attaques provenant d'utilisateurs ou de logiciels (virus, par exemple) malveillants. Nous ne recommandons pas cette solution de contournement, mais nous fournissons ces informations afin que vous puissiez implémenter cette solution de contournement à votre propre discrétion. Son utilisation relève de votre responsabilité.

Pour contourner ce problème, configurez ISA Server 2004 SP2 pour qu’il se comporte comme les versions antérieures d’ISA Server 2004.

Pour ce faire, exécutez le script suivant sur isa Server 2004 où vous souhaitez modifier la configuration. Le script définit une valeur nommée AllowAskBasicAuthOverNonSecureConnection dans un nouveau paramètre fournisseur défini sous la racine du tableau ISA Server 2004.

Microsoft fournit des exemples de programmation à titre d’illustration uniquement, sans garantie expresse ou implicite. Cela inclut, sans y être limité, les garanties implicites de commercialisation et d’adaptation à un but en particulier. Cet article considère que vous connaissez le langage de programmation présenté et les outils utilisés pour créer et déboguer des procédures. Les techniciens du Support technique Microsoft peuvent vous expliquer les fonctionnalités d’une procédure particulière, mais ils ne peuvent pas modifier les exemples en vue de vous fournir des fonctionnalités supplémentaires ou de créer des procédures répondant à vos besoins spécifiques.

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
'
' Copyright (c) Microsoft Corporation. All rights reserved.
' THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE
' RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE
' USER. USE AND REDISTRIBUTION OF THIS CODE, WITH OR WITHOUT MODIFICATION, IS
' HEREBY PERMITTED.
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
' This script adds a new VendorParametersSets under the array root.
' add a new VendorParametersSet and add a value name "AllowAskBasicAuthOverNonSecureConnection" set to 1.
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

Sub AddAllowAskBasicAuthOverNonSecureConnection()

    ' Create the root object.
    Dim root  ' The FPCLib.FPC root object
    Set root = CreateObject("FPC.Root")

    ' Declare the other objects that are required.
    Dim array       ' An FPCArray object
    Dim VendorSets  ' An FPCVendorParametersSets collection
    Dim VendorSet   ' An FPCVendorParametersSet object

    ' Get references to the array object
    ' and the network rules collection.
    Set array = root.GetContainingArray
    Set VendorSets = array.VendorParametersSets

    On Error Resume Next
    Set VendorSet = VendorSets.Item( "{143F5698-103B-12D4-FF34-1F34767DEabc}" )

    If Err.Number <> 0 Then
        Err.Clear

        ' Add the item
        Set VendorSet = VendorSets.Add( "{143F5698-103B-12D4-FF34-1F34767DEabc}" )
        CheckError
        WScript.Echo "New VendorSet added... " & VendorSet.Name

    Else
        WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value("AllowAskBasicAuthOverNonSecureConnection")
    End If

    if VendorSet.Value("AllowAskBasicAuthOverNonSecureConnection") <> 1 Then

        Err.Clear
        VendorSet.Value("AllowAskBasicAuthOverNonSecureConnection") = 1

        If Err.Number <> 0 Then
            CheckError
        Else
            VendorSets.Save false, true
            CheckError

            If Err.Number = 0 Then
                WScript.Echo "Done, saved!"
            End If
        End If
    Else
        WScript.Echo "Done, no change!"
    End If

End Sub

Sub CheckError()

    If Err.Number <> 0 Then
        WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
        Err.Clear
    End If

End Sub

AddAllowAskBasicAuthOverNonSecureConnection