Fehlermeldung in SecureNAT-Clients, nachdem Sie eine Webverkettungsregel zum Weiterleiten von HTTP als HTTPS in ISA Server 2006 oder ISA Server 2004 konfiguriert: "der Ziel-principal Name ist ungültig"

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 923318 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Problembeschreibung

Nachdem Sie eine Webverkettungsregel in Microsoft Internet Security and Acceleration (ISA) Server 2006 konfigurieren, oder Microsoft Internet Security and Acceleration (ISA) Server 2004, bestimmte Clients die folgenden Fehlermeldung empfangen, wenn Sie versuchen, eine Verbindung mit der Ziel-Website herzustellen:
Fehlercode: 500 Interner Serverfehler.

Der Ziel-Prinzipal Name ist falsch. (-2146893022).
Dieses Problem kann auftreten, wenn die folgenden Bedingungen erfüllt sind:
  • Sie konfigurieren die Webverkettungsregel zum Weiterleiten von HTTP-Datenverkehr als HTTPS-Datenverkehr.

    Hinweis: Diese Konfiguration wird als forward SSL-bridging bezeichnet.
  • Die Clientcomputer sind als SecureNAT-Clients konfiguriert.

Ursache

Der ISA Server-Webproxy-Filter überprüft, dass der angeforderte Host-Name der allgemeine Name (CN) übereinstimmt, der auf dem SSL-Zertifikat aus dem Zielwebserver angegeben ist. Der Webproxyfilter überprüft fälschlicherweise nur die Host Namensinformationen, die aus dem URL abgerufen. Der Webproxyfilter nicht das Host-Headerfeld eines bestimmten Anforderung untersuchen.

Dieses Problem tritt auf, weil ein SecureNAT-Client eine IP-Adresse anfordert. Wenn der Webproxyfilter den Proxy-URL-Format erstellt, verwendet der Webproxyfilter die Ziel-IP-Adressinformationen und nicht die Host-Header-Informationen in dieser Anforderung. In diesem Fall schlägt der Vorgang Zertifikat Überprüfung fehl, weil der Webproxyfilter die IP-Adresse ein, der allgemeine Name des SSL-Zertifikat vergleicht.

Lösung

Um dieses Problem zu beheben, beziehen der neuesten ISA Server Service Pack, die in den folgenden Artikeln der Microsoft Knowledge Base erwähnt wird:
954258Wie Sie das neueste Internet Security and Acceleration (ISA) Server 2006 Servicepack erhalten
891024Beziehen des neuesten Servicepacks für ISA Server 2004

Abhilfe

Um dieses Problem zu umgehen, konfigurieren Sie den Clientcomputer als Web Proxy-Client des ISA Server-Computers. Der Webproxyfilter erhält dann den richtigen URL in der Anforderung. Daher ist der fully qualified Domain Name, der in der Anforderung angegeben ist der allgemeine Name des Zertifikats übereinstimmt, die Zertifikat Überprüfung Operation erfolgreich.

Status

Microsoft hat bestätigt, dass dies ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt "Gilt für" aufgeführt sind.

Informationsquellen

Weitere Informationen dazu, wie Sie ISA Server-Hotfixes und Updates installieren klicken Sie auf die folgende Artikelnummer klicken, um den Artikel der Microsoft Knowledge Base anzuzeigen:
885957Installieren von ISA Server-Hotfixes und updates

Eigenschaften

Artikel-ID: 923318 - Geändert am: Mittwoch, 25. März 2009 - Version: 2.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition
  • Microsoft Internet Security and Acceleration Server 2004 Standard Edition
  • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
  • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
Keywords: 
kbmt kbtshoot kbfirewall kbfix kberrmsg kbbug kbprb KB923318 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 923318
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com