在配置 Web 链规则作为在 ISA Server 2006 或 ISA Server 2004 的 HTTPS 转发 HTTP 之后的 SecureNAT 客户端的错误消息:"目标主体名称不正确

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 923318
本文已归档。它按“原样”提供,并且不再更新。
症状
之后您配置站点链接中 Microsoft Internet 安全性和加速 (ISA) 服务器 2006年规则或 Microsoft Internet 安全性和加速 (ISA) Server 2004,某些客户端尝试连接到目标网站时收到以下错误消息:
错误代码: 500 内部服务器错误。

目标主要名称不正确。(-2146893022)。
如果满足以下条件,您会遇到此问题:
  • 配置 Web 链规则将作为 HTTPS 通信的 HTTP 通信。

    注意该配置称为 正向 SSL 桥接
  • 客户端计算机配置为 SecureNAT 客户端。
原因
ISA 服务器 Web 代理筛选器将验证请求的主机名匹配公用名 (CN) 被指定的目标 Web 服务器的 SSL 证书。Web 代理筛选器不正确地验证仅主机名称信息从 URL 它所检索的。Web 代理筛选器不会检查特定请求的主机标头字段。

出现此问题的原因是 SecureNAT 客户端发出请求的 IP 地址。Web 代理筛选器在创建代理格式 URL 时 Web 代理筛选器将该请求中使用目标 IP 地址信息和不主机标头信息。在这种情况下,证书验证操作失败,因为 Web 代理筛选器将 IP 地址的 SSL 证书公用名称进行比较。
解决方案
若要解决此问题,获取最新 ISA 服务器的服务包以下 Microsoft 知识库文章中提到的:
954258如何获取最新的 Internet 安全和 $ 加速 (ISA) Server 2006 服务包
891024如何获取最新的 ISA Server 2004 服务包
替代方法
要变通解决此问题,请为 Web 代理客户端的 ISA 服务器计算机配置客户端计算机。然后,Web 代理筛选器将在请求中收到了正确的 URL。因此,如果请求中指定的完全限定的域名与该证书的公共名称相匹配,证书验证操作是成功的。
状态
Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的问题。
参考
有关如何安装 ISA 服务器修补程序和更新的详细信息单击下面的文章编号,以查看 Microsoft 知识基中的文章:
885957如何安装 ISA 服务器修补程序和更新

警告:本文已自动翻译

属性

文章 ID:923318 - 上次审阅时间:01/16/2015 02:01:39 - 修订版本: 2.1

Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition, Microsoft Internet Security and Acceleration Server 2004 Standard Edition, Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition, Microsoft Internet Security and Acceleration Server 2006 Standard Edition

  • kbnosurvey kbarchive kbmt kbtshoot kbfirewall kbfix kberrmsg kbbug kbprb KB923318 KbMtzh
反馈