Fehlercode 403 oder 500 beim Herstellen einer Verbindung mit einer Website, die mit ISA Server 2004 Service Pack 2 veröffentlicht wird
Dieser Artikel bietet eine Lösung für einen Fehler, der auftritt, wenn versucht wird, eine Verbindung mit einer Website herzustellen, die mit Microsoft Internet Security and Acceleration (ISA) Server 2004 Service Pack 2 (SP2) veröffentlicht wird.
Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 912122
Wichtig
Dieser Artikel enthält Informationen, die Ihnen zeigen, wie Sie die Sicherheitseinstellungen verringern oder Sicherheitsfeatures auf einem Computer deaktivieren können. Sie können diese Änderungen vornehmen, um ein bestimmtes Problem zu umgehen. Bevor Sie diese Änderungen vornehmen, empfehlen wir Ihnen, die Risiken zu bewerten, die mit der Implementierung dieser Problemumgehung in Ihrer speziellen Umgebung verbunden sind. Wenn Sie diese Problemumgehung implementieren, führen Sie alle geeigneten zusätzlichen Schritte aus, um Ihr System zu schützen.
Symptome
Wenn Sie versuchen, eine Verbindung mit einer Website herzustellen, die mit Microsoft Internet Security and Acceleration (ISA) Server 2004 Service Pack 2 (SP2) veröffentlicht wird, erhalten Sie eine Fehlermeldung. Wenn für den ISA Server-Weblistener die Standardauthentifizierung aktiviert ist, wird die folgende Fehlermeldung angezeigt:
Fehlercode: 403 Verboten.
Die Seite muss über einen sicheren Kanal (Secure Sockets Layer (SSL)) angezeigt werden. Wenden Sie sich an den Serveradministrator. (12211)
Wenn für den ISA Server-Weblistener die RADIUS-Authentifizierung oder die Authentifizierung von Microsoft Outlook Web Access Forms-Based (Cookie-auth) aktiviert ist, wird die folgende Fehlermeldung angezeigt:
Fehlercode: Interner Serverfehler 500.
Ein interner Fehler ist aufgetreten. (1359)
Ursache
Dieses Problem tritt auf, wenn alle folgenden Bedingungen erfüllt sind:
Für den ISA Server 2004-Weblistener ist eine der folgenden Authentifizierungsmethoden aktiviert:
- Standard
- RADIUS
- Outlook Web Access Forms-Based
Der ISA Server 2004-Weblistener ist so konfiguriert, dass er auf HTTP-Datenverkehr lauscht.
Das Kontrollkästchen Authentifizierung aller Benutzer erforderlich ist für den Weblistener aktiviert, oder die Webveröffentlichungsregeln gelten für einen anderen Benutzersatz als den Standardbenutzersatz Alle Benutzer .
Sie stellen eine Verbindung mit der veröffentlichten Website her, indem Sie HTTP anstelle von HTTPS verwenden.
Dieses Problem tritt aufgrund einer Sicherheitsänderung auf, die in ISA Server 2004 SP2 enthalten ist. Wenn Sie HTTP-zu-HTTP-Bridging verwenden, aktiviert ISA Server 2004 SP2 keinen Datenverkehr auf dem externen HTTP-Port, wenn der Weblistener für die Anforderung einer oder mehrerer der folgenden Arten von Anmeldeinformationen konfiguriert ist:
- Standard
- RADIUS
- Outlook Web Access Forms-Based
Dieses Verhalten tritt auf, weil diese Arten von Anmeldeinformationen verschlüsselt werden sollten. Diese Anmeldeinformationen sollten nicht als Klartext über HTTP gesendet werden.
Für ISA Server 2004-Versionen vor ISA Server 2004 SP2 werden Sie aufgefordert, Anmeldeinformationen in Klartext einzugeben. Dieses Verhalten kann dazu führen, dass die Anmeldeinformationen im Klartext über das Netzwerk übertragen werden, wenn Sie keine andere Form der Netzwerksicherheit implementiert haben, z. B. einen externen SSL-Accelerator (Secure Sockets Layer) oder einen verschlüsselten Tunnel. ISA Server bietet diese Sicherheitsformen nicht.
ISA Server 2004 SP2 verhindert, dass Sie Anmeldeinformationen in Klartext eingeben. Wenn Sie dies versuchen, erhalten Sie eine Fehlermeldung.
Problemumgehung
Warnung
Diese Problemumgehung kann Ihren Computer oder Ihr Netzwerk anfälliger für Angriffe durch böswillige Benutzer oder durch Schadsoftware wie Viren machen. Wir empfehlen diese Problemumgehung nicht, stellen aber diese Informationen bereit, damit Sie diese Problemumgehung nach eigenem Ermessen implementieren können. Die Verwendung dieser Problemumgehung erfolgt auf eigene Verantwortung.
Um dieses Problem zu umgehen, konfigurieren Sie ISA Server 2004 SP2 so, dass es sich wie frühere Versionen von ISA Server 2004 verhält.
Führen Sie dazu das folgende Skript auf dem ISA Server 2004 aus, in dem Sie die Konfiguration ändern möchten. Das Skript legt einen Wert namens AllowAskBasicAuthOverNonSecureConnection in einem neuen Anbieterparameter fest, der unter dem Stamm des ISA Server 2004-Arrays festgelegt ist.
Die Verwendung der hier aufgeführten Informationen, Makro- oder Programmcodes geschieht auf Ihre eigene Verantwortung. Microsoft stellt Ihnen diese Informationen sowie Makro- und Programmlistings ohne Gewähr auf Richtigkeit, Vollständigkeit und/oder Funktionsfähigkeit sowie ohne Anspruch auf Support zur Verfügung. Die zur Verfügung gestellten Makro- und Programmierungsbeispiele sollen lediglich exemplarisch die Funktionsweise des Beispiels aufzeigen. Die Microsoft Support-Spezialisten können bei der Erläuterung der Funktionalität bestimmter Prozeduren helfen, jedoch werden sie diese Beispiele nicht in Bezug auf eine erweiterte Funktionalität verändern, noch werden sie Prozeduren entwickeln, die auf Ihre besonderen Bedürfnisse zugeschnitten sind.
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
'
' Copyright (c) Microsoft Corporation. All rights reserved.
' THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE
' RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE
' USER. USE AND REDISTRIBUTION OF THIS CODE, WITH OR WITHOUT MODIFICATION, IS
' HEREBY PERMITTED.
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
' This script adds a new VendorParametersSets under the array root.
' add a new VendorParametersSet and add a value name "AllowAskBasicAuthOverNonSecureConnection" set to 1.
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Sub AddAllowAskBasicAuthOverNonSecureConnection()
' Create the root object.
Dim root ' The FPCLib.FPC root object
Set root = CreateObject("FPC.Root")
' Declare the other objects that are required.
Dim array ' An FPCArray object
Dim VendorSets ' An FPCVendorParametersSets collection
Dim VendorSet ' An FPCVendorParametersSet object
' Get references to the array object
' and the network rules collection.
Set array = root.GetContainingArray
Set VendorSets = array.VendorParametersSets
On Error Resume Next
Set VendorSet = VendorSets.Item( "{143F5698-103B-12D4-FF34-1F34767DEabc}" )
If Err.Number <> 0 Then
Err.Clear
' Add the item
Set VendorSet = VendorSets.Add( "{143F5698-103B-12D4-FF34-1F34767DEabc}" )
CheckError
WScript.Echo "New VendorSet added... " & VendorSet.Name
Else
WScript.Echo "Existing VendorSet found... value- " & VendorSet.Value("AllowAskBasicAuthOverNonSecureConnection")
End If
if VendorSet.Value("AllowAskBasicAuthOverNonSecureConnection") <> 1 Then
Err.Clear
VendorSet.Value("AllowAskBasicAuthOverNonSecureConnection") = 1
If Err.Number <> 0 Then
CheckError
Else
VendorSets.Save false, true
CheckError
If Err.Number = 0 Then
WScript.Echo "Done, saved!"
End If
End If
Else
WScript.Echo "Done, no change!"
End If
End Sub
Sub CheckError()
If Err.Number <> 0 Then
WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
Err.Clear
End If
End Sub
AddAllowAskBasicAuthOverNonSecureConnection
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für