Fehlercode 403 oder 500 beim Herstellen einer Verbindung mit einer Website, die mit ISA Server 2004 Service Pack 2 veröffentlicht wird

  • Artikel

Dieser Artikel bietet eine Lösung für einen Fehler, der auftritt, wenn versucht wird, eine Verbindung mit einer Website herzustellen, die mit Microsoft Internet Security and Acceleration (ISA) Server 2004 Service Pack 2 (SP2) veröffentlicht wird.

Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 912122

Wichtig

Dieser Artikel enthält Informationen, die Ihnen zeigen, wie Sie die Sicherheitseinstellungen verringern oder Sicherheitsfeatures auf einem Computer deaktivieren können. Sie können diese Änderungen vornehmen, um ein bestimmtes Problem zu umgehen. Bevor Sie diese Änderungen vornehmen, empfehlen wir Ihnen, die Risiken zu bewerten, die mit der Implementierung dieser Problemumgehung in Ihrer speziellen Umgebung verbunden sind. Wenn Sie diese Problemumgehung implementieren, führen Sie alle geeigneten zusätzlichen Schritte aus, um Ihr System zu schützen.

Symptome

Wenn Sie versuchen, eine Verbindung mit einer Website herzustellen, die mit Microsoft Internet Security and Acceleration (ISA) Server 2004 Service Pack 2 (SP2) veröffentlicht wird, erhalten Sie eine Fehlermeldung. Wenn für den ISA Server-Weblistener die Standardauthentifizierung aktiviert ist, wird die folgende Fehlermeldung angezeigt:

Fehlercode: 403 Verboten.
Die Seite muss über einen sicheren Kanal (Secure Sockets Layer (SSL)) angezeigt werden. Wenden Sie sich an den Serveradministrator. (12211)

Wenn für den ISA Server-Weblistener die RADIUS-Authentifizierung oder die Authentifizierung von Microsoft Outlook Web Access Forms-Based (Cookie-auth) aktiviert ist, wird die folgende Fehlermeldung angezeigt:

Fehlercode: Interner Serverfehler 500.
Ein interner Fehler ist aufgetreten. (1359)

Ursache

Dieses Problem tritt auf, wenn alle folgenden Bedingungen erfüllt sind:

  • Für den ISA Server 2004-Weblistener ist eine der folgenden Authentifizierungsmethoden aktiviert:

    • Standard
    • RADIUS
    • Outlook Web Access Forms-Based

  • Der ISA Server 2004-Weblistener ist so konfiguriert, dass er auf HTTP-Datenverkehr lauscht.

  • Das Kontrollkästchen Authentifizierung aller Benutzer erforderlich ist für den Weblistener aktiviert, oder die Webveröffentlichungsregeln gelten für einen anderen Benutzersatz als den Standardbenutzersatz Alle Benutzer .

  • Sie stellen eine Verbindung mit der veröffentlichten Website her, indem Sie HTTP anstelle von HTTPS verwenden.

Dieses Problem tritt aufgrund einer Sicherheitsänderung auf, die in ISA Server 2004 SP2 enthalten ist. Wenn Sie HTTP-zu-HTTP-Bridging verwenden, aktiviert ISA Server 2004 SP2 keinen Datenverkehr auf dem externen HTTP-Port, wenn der Weblistener für die Anforderung einer oder mehrerer der folgenden Arten von Anmeldeinformationen konfiguriert ist:

  • Standard
  • RADIUS
  • Outlook Web Access Forms-Based

Dieses Verhalten tritt auf, weil diese Arten von Anmeldeinformationen verschlüsselt werden sollten. Diese Anmeldeinformationen sollten nicht als Klartext über HTTP gesendet werden.

Für ISA Server 2004-Versionen vor ISA Server 2004 SP2 werden Sie aufgefordert, Anmeldeinformationen in Klartext einzugeben. Dieses Verhalten kann dazu führen, dass die Anmeldeinformationen im Klartext über das Netzwerk übertragen werden, wenn Sie keine andere Form der Netzwerksicherheit implementiert haben, z. B. einen externen SSL-Accelerator (Secure Sockets Layer) oder einen verschlüsselten Tunnel. ISA Server bietet diese Sicherheitsformen nicht.

ISA Server 2004 SP2 verhindert, dass Sie Anmeldeinformationen in Klartext eingeben. Wenn Sie dies versuchen, erhalten Sie eine Fehlermeldung.

Problemumgehung

Warnung

Diese Problemumgehung kann Ihren Computer oder Ihr Netzwerk anfälliger für Angriffe durch böswillige Benutzer oder durch Schadsoftware wie Viren machen. Wir empfehlen diese Problemumgehung nicht, stellen aber diese Informationen bereit, damit Sie diese Problemumgehung nach eigenem Ermessen implementieren können. Die Verwendung dieser Problemumgehung erfolgt auf eigene Verantwortung.

Um dieses Problem zu umgehen, konfigurieren Sie ISA Server 2004 SP2 so, dass es sich wie frühere Versionen von ISA Server 2004 verhält.

Führen Sie dazu das folgende Skript auf dem ISA Server 2004 aus, in dem Sie die Konfiguration ändern möchten. Das Skript legt einen Wert namens AllowAskBasicAuthOverNonSecureConnection in einem neuen Anbieterparameter fest, der unter dem Stamm des ISA Server 2004-Arrays festgelegt ist.

Die Verwendung der hier aufgeführten Informationen, Makro- oder Programmcodes geschieht auf Ihre eigene Verantwortung. Microsoft stellt Ihnen diese Informationen sowie Makro- und Programmlistings ohne Gewähr auf Richtigkeit, Vollständigkeit und/oder Funktionsfähigkeit sowie ohne Anspruch auf Support zur Verfügung. Die zur Verfügung gestellten Makro- und Programmierungsbeispiele sollen lediglich exemplarisch die Funktionsweise des Beispiels aufzeigen. Die Microsoft Support-Spezialisten können bei der Erläuterung der Funktionalität bestimmter Prozeduren helfen, jedoch werden sie diese Beispiele nicht in Bezug auf eine erweiterte Funktionalität verändern, noch werden sie Prozeduren entwickeln, die auf Ihre besonderen Bedürfnisse zugeschnitten sind.

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
'
' Copyright (c) Microsoft Corporation. All rights reserved.
' THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE
' RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE
' USER. USE AND REDISTRIBUTION OF THIS CODE, WITH OR WITHOUT MODIFICATION, IS
' HEREBY PERMITTED.
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
' This script adds a new VendorParametersSets under the array root.
' add a new VendorParametersSet and add a value name "AllowAskBasicAuthOverNonSecureConnection" set to 1.
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

Sub AddAllowAskBasicAuthOverNonSecureConnection()

    ' Create the root object.
    Dim root  ' The FPCLib.FPC root object
    Set root = CreateObject("FPC.Root")

    ' Declare the other objects that are required.
    Dim array       ' An FPCArray object
    Dim VendorSets  ' An FPCVendorParametersSets collection
    Dim VendorSet   ' An FPCVendorParametersSet object

    ' Get references to the array object
    ' and the network rules collection.
    Set array = root.GetContainingArray
    Set VendorSets = array.VendorParametersSets

    On Error Resume Next
    Set VendorSet = VendorSets.Item( "{143F5698-103B-12D4-FF34-1F34767DEabc}" )

    If Err.Number <> 0 Then
        Err.Clear

        ' Add the item
        Set VendorSet = VendorSets.Add( "{143F5698-103B-12D4-FF34-1F34767DEabc}" )
        CheckError
        WScript.Echo "New VendorSet added... " & VendorSet.Name

    Else
        WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value("AllowAskBasicAuthOverNonSecureConnection")
    End If

    if VendorSet.Value("AllowAskBasicAuthOverNonSecureConnection") <> 1 Then

        Err.Clear
        VendorSet.Value("AllowAskBasicAuthOverNonSecureConnection") = 1

        If Err.Number <> 0 Then
            CheckError
        Else
            VendorSets.Save false, true
            CheckError

            If Err.Number = 0 Then
                WScript.Echo "Done, saved!"
            End If
        End If
    Else
        WScript.Echo "Done, no change!"
    End If

End Sub

Sub CheckError()

    If Err.Number <> 0 Then
        WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
        Err.Clear
    End If

End Sub

AddAllowAskBasicAuthOverNonSecureConnection