Foutcode 403 of 500 wanneer u verbinding maakt met een website die is gepubliceerd met ISA Server 2004 Service Pack 2

  • Artikel

Dit artikel biedt een oplossing voor een fout die optreedt wanneer u verbinding probeert te maken met een website die is gepubliceerd met behulp van Microsoft Internet Security and Acceleration (ISA) Server 2004 Service Pack 2 (SP2).

Van toepassing op: Windows Server 2003
Origineel KB-nummer: 912122

Belangrijk

Dit artikel bevat informatie over het verlagen van beveiligingsinstellingen of het uitschakelen van beveiligingsfuncties op een computer. U kunt deze wijzigingen aanbrengen om een specifiek probleem te omzeilen. Voordat u deze wijzigingen aanbrengt, raden we u aan de risico's te evalueren die gepaard gaan met het implementeren van deze tijdelijke oplossing in uw specifieke omgeving. Als u deze tijdelijke oplossing implementeert, moet u de benodigde aanvullende stappen uitvoeren om uw systeem te beschermen.

Symptomen

Wanneer u verbinding probeert te maken met een website die is gepubliceerd met behulp van Microsoft Internet Security and Acceleration (ISA) Server 2004 Service Pack 2 (SP2), ontvangt u een foutbericht. Als basisverificatie is ingeschakeld voor de WEB-listener van ISA Server, ontvangt u het volgende foutbericht:

Foutcode: 403 Verboden.
De pagina moet worden weergegeven via een beveiligd kanaal (Secure Sockets Layer (SSL)). Neem contact op met de serverbeheerder. (12211)

Als voor de WEB-listener van DE ISA Server RADIUS-verificatie of Microsoft Outlook Web Access Forms-Based-verificatie (Cookie-auth) is ingeschakeld, wordt het volgende foutbericht weergegeven:

Foutcode: 500 Interne serverfout.
Er is een interne fout opgetreden. (1359)

Oorzaak

Dit probleem treedt op als aan alle volgende voorwaarden wordt voldaan:

  • Voor de WEB-listener van ISA Server 2004 is een van de volgende verificatiemethoden ingeschakeld:

    • Basic
    • RADIUS
    • Outlook Web Access-Forms-Based

  • De ISA Server 2004 Web-listener is geconfigureerd om te luisteren naar HTTP-verkeer.

  • Het selectievakje Alle gebruikers vereisen om te verifiëren is ingeschakeld voor de weblistener of de regels voor webpublicatie zijn van toepassing op een andere gebruikersset dan de standaardgebruikersset Alle gebruikers .

  • U maakt verbinding met de gepubliceerde website via HTTP in plaats van https.

Dit probleem treedt op vanwege een beveiligingswijziging die is opgenomen in ISA Server 2004 SP2. Wanneer u HTTP-naar-HTTP-bridging gebruikt, schakelt ISA Server 2004 SP2 geen verkeer in op de externe HTTP-poort als de weblistener is geconfigureerd voor het aanvragen van een of meer van de volgende soorten referenties:

  • Basic
  • RADIUS
  • Outlook Web Access-Forms-Based

Dit gedrag treedt op omdat dit soort referenties moet worden versleuteld. Deze referenties mogen niet in tekst worden verzonden via HTTP.

Voor ISA Server 2004-versies die ouder zijn dan ISA Server 2004 SP2, wordt u gevraagd om referenties in tekst in te voeren. Dit gedrag kan ertoe leiden dat de referenties in duidelijke tekst via het netwerk worden verzonden als u geen andere vorm van netwerkbeveiliging hebt geïmplementeerd, zoals een externe SSL-accelerator (Secure Sockets Layer) of een versleutelde tunnel. ISA Server biedt deze vormen van beveiliging niet.

ISA Server 2004 SP2 voorkomt dat u referenties in duidelijke tekst invoert. Wanneer u dit probeert te doen, ontvangt u een foutbericht.

Tijdelijke oplossing

Waarschuwing

Deze tijdelijke oplossing kan uw computer of uw netwerk kwetsbaarder maken voor aanvallen door kwaadwillende gebruikers of door schadelijke software zoals virussen. We raden deze tijdelijke oplossing niet aan, maar bieden deze informatie zodat u deze tijdelijke oplossing naar eigen inzicht kunt implementeren. Het gebruik van deze methode is voor uw eigen risico.

U kunt dit probleem omzeilen door ISA Server 2004 SP2 zo te configureren dat deze zich gedraagt als eerdere versies van ISA Server 2004.

Voer hiervoor het volgende script uit op de ISA Server 2004 waar u de configuratie wilt wijzigen. Het script stelt een waarde in met de naam AllowAskBasicAuthOverNonSecureConnection in een nieuwe leveranciersparameters die zijn ingesteld onder de hoofdmap van de ISA Server 2004-matrix.

Microsoft verstrekt programmeervoorbeelden alleen ter illustratie, zonder expliciete of impliciete garantie. daaronder mede begrepen, maar niet beperkt tot impliciete garanties met betrekking tot de verkoopbaarheid en/of geschiktheid voor een bepaald doel. In dit artikel wordt ervan uitgegaan dat u bekend bent met de programmeertaal VBScript, alsmede met de hulpprogramma's waarmee procedures worden gemaakt en waarmee fouten in procedures worden opgespoord. U kunt desgewenst contact opnemen met Microsoft Product Support Services voor uitleg over de functie van een bepaalde procedure. Microsoft Product Support Services is echter niet bereid de voorbeelden aan te passen om extra functies toe te voegen of om procedures te maken die aan uw specifieke eisen voldoen.

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
'
' Copyright (c) Microsoft Corporation. All rights reserved.
' THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE
' RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE
' USER. USE AND REDISTRIBUTION OF THIS CODE, WITH OR WITHOUT MODIFICATION, IS
' HEREBY PERMITTED.
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
' This script adds a new VendorParametersSets under the array root.
' add a new VendorParametersSet and add a value name "AllowAskBasicAuthOverNonSecureConnection" set to 1.
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

Sub AddAllowAskBasicAuthOverNonSecureConnection()

    ' Create the root object.
    Dim root  ' The FPCLib.FPC root object
    Set root = CreateObject("FPC.Root")

    ' Declare the other objects that are required.
    Dim array       ' An FPCArray object
    Dim VendorSets  ' An FPCVendorParametersSets collection
    Dim VendorSet   ' An FPCVendorParametersSet object

    ' Get references to the array object
    ' and the network rules collection.
    Set array = root.GetContainingArray
    Set VendorSets = array.VendorParametersSets

    On Error Resume Next
    Set VendorSet = VendorSets.Item( "{143F5698-103B-12D4-FF34-1F34767DEabc}" )

    If Err.Number <> 0 Then
        Err.Clear

        ' Add the item
        Set VendorSet = VendorSets.Add( "{143F5698-103B-12D4-FF34-1F34767DEabc}" )
        CheckError
        WScript.Echo "New VendorSet added... " & VendorSet.Name

    Else
        WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value("AllowAskBasicAuthOverNonSecureConnection")
    End If

    if VendorSet.Value("AllowAskBasicAuthOverNonSecureConnection") <> 1 Then

        Err.Clear
        VendorSet.Value("AllowAskBasicAuthOverNonSecureConnection") = 1

        If Err.Number <> 0 Then
            CheckError
        Else
            VendorSets.Save false, true
            CheckError

            If Err.Number = 0 Then
                WScript.Echo "Done, saved!"
            End If
        End If
    Else
        WScript.Echo "Done, no change!"
    End If

End Sub

Sub CheckError()

    If Err.Number <> 0 Then
        WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
        Err.Clear
    End If

End Sub

AddAllowAskBasicAuthOverNonSecureConnection