locked
ISA2006での統合認証について RRS feed

  • 質問


  • ISA2006での統合認証について質問です。 

    ISA2006を単一ネットワーク構成でWEBプロキシとして構成しています。。
    サーバはドメインに参加させ、InternetへアクセスできるドメインユーザをFirewallポリシーで限定しています。 
    ISAでは、統合認証を選択しています。 

    許可しているドメインユーザは、ISAを通してInternetへアクセスできており特に問題ありませんが、 
    許可していないユーザについては、特に認証ダイアログも表示されず「ページが表示されません」画面になります。

     ##エラー コード: 502 Proxy Error. The ISA Server denied the specified Uniform Resource Locator (URL). (12202) 
     
    ポリシー設定上許可されていないユーザーによるアクセスのため、拒否の動作は正常だと思いますが、
    以前利用していたISA2000では許可されていないユーザがアクセスした場合、認証ダイアログが表示されていました。 

    ISA2006では単純に「拒否」されるだけで、認証ダイアログが表示されないのでしょうか。
    ISA2000と同じように認証ダイアログを表示させる方法があればご教授下さい
    2009年1月29日 16:11

回答

  • MOMO-PM さん、

    こんにちは!
    フォーラム オペレーターの服部 清次です。
    MOMO-PM さんがこちらの質問を投稿されてから少し時間が経ってしまいましたが、遅ればせながら私の方で国内外の情報を探ってみましたところ、関連のありそうな情報が見つかりました。
    http://download.microsoft.com/download/9/1/8/918ed2d3-71d0-40ed-8e6d-fd6eeb6cfa07/ts_rules.doc (英語)

    こちらのドキュメントは、アクセス規則に絡んだクライアント認証に関するトラブルシューティング ガイドになります。
    このドキュメントの9ページで紹介されている "Allow Authenticated Users to Provide Credentials" という項目が参考になりそうなので、この部分を和訳して紹介させていただきますね。 (^^)

    認証ユーザーの資格情報提供を許可する  
     
    問題:
    認証ユーザーが指定の規則でアクセスを許可されたグループのメンバーではない場合、エラー メッセージが出ます。
    本来は、エラー メッセージの代わりにログオン プロンプトが出なければいけません。  
     
    原因:
    ISA Server 2004 では、認証ユーザーが規則によってアクセスを拒否された場合、
    ISA Server が HTTP 502 Bad Gateway エラー メッセージを返し、Internet Explorer は資格情報を要求しません。  
     
    解決策:
    このデフォルトの動作を変更するには、ReturnAuthRequiredIfAuthUserDenied COM プロパティを True に設定する必要があります。
    これを True に設定した場合、ユーザーに対して資格情報の入力を求めるダイアログが表示されます。
    ISA Server 2000 では、これがデフォルト設定でした。
    詳細および、このプロパティを設定するための Microsoft Visual Basic を使用したスクリプトのサンプルは、ISA Server SDK でご確認ください。  
     

    このドキュメントは、ISA Server 2004 向けのものですが、ポイントとなる部分は同じではないかと思います。
    なお、上記で紹介されている ISA Server SDK は英語のみとなっていますので、もし分かりにくい個所がありましたら、お気軽にお尋ねください。 (^o^)

    こちらの情報が参考になることを願っています。
    それでは、また! (^_^)/


    _______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 服部 清次
    2009年2月25日 9:13

すべての返信

  • MOMO-PM さん、

    こんにちは!
    フォーラム オペレーターの服部 清次です。
    MOMO-PM さんがこちらの質問を投稿されてから少し時間が経ってしまいましたが、遅ればせながら私の方で国内外の情報を探ってみましたところ、関連のありそうな情報が見つかりました。
    http://download.microsoft.com/download/9/1/8/918ed2d3-71d0-40ed-8e6d-fd6eeb6cfa07/ts_rules.doc (英語)

    こちらのドキュメントは、アクセス規則に絡んだクライアント認証に関するトラブルシューティング ガイドになります。
    このドキュメントの9ページで紹介されている "Allow Authenticated Users to Provide Credentials" という項目が参考になりそうなので、この部分を和訳して紹介させていただきますね。 (^^)

    認証ユーザーの資格情報提供を許可する  
     
    問題:
    認証ユーザーが指定の規則でアクセスを許可されたグループのメンバーではない場合、エラー メッセージが出ます。
    本来は、エラー メッセージの代わりにログオン プロンプトが出なければいけません。  
     
    原因:
    ISA Server 2004 では、認証ユーザーが規則によってアクセスを拒否された場合、
    ISA Server が HTTP 502 Bad Gateway エラー メッセージを返し、Internet Explorer は資格情報を要求しません。  
     
    解決策:
    このデフォルトの動作を変更するには、ReturnAuthRequiredIfAuthUserDenied COM プロパティを True に設定する必要があります。
    これを True に設定した場合、ユーザーに対して資格情報の入力を求めるダイアログが表示されます。
    ISA Server 2000 では、これがデフォルト設定でした。
    詳細および、このプロパティを設定するための Microsoft Visual Basic を使用したスクリプトのサンプルは、ISA Server SDK でご確認ください。  
     

    このドキュメントは、ISA Server 2004 向けのものですが、ポイントとなる部分は同じではないかと思います。
    なお、上記で紹介されている ISA Server SDK は英語のみとなっていますので、もし分かりにくい個所がありましたら、お気軽にお尋ねください。 (^o^)

    こちらの情報が参考になることを願っています。
    それでは、また! (^_^)/


    _______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 服部 清次
    2009年2月25日 9:13
  • MOMO-PM さん、こんにちは。フォーラムオペレーターの鈴木裕子です(^O^)/

    その後いかがでしたでしょうか?ご投稿がなかったので、無事解決されたのかなと思っておりますが。。。
    お時間がある時でよいので、その後の経過などをご投稿いただけると大変うれしいです(^-^)

    なお、こちらのスレッドを、同様の情報を探している方に活用していただきたいと思いまして、勝手ながら私のほうで回答チェックをつけさせていただきました。もし不適切と思われた場合は、遠慮なくチェックを解除してくださいね。

    これからも何かありましたら、またForumをご活用ください。IT技術者の皆様の情報交換の場として、ご質問・回答ともどもお待ちしております!

    マイクロソフト株式会社 フォーラムオペレータ 鈴木裕子
    2009年3月5日 2:49
  • 解決策として参考にさせていただきました。

    ISA2000からバージョンアップした直後は、動作が違う部分でユーザーもとまどっていましたが、
    運用ルール上、正規の利用方法では問題ないということで、検討した結果、今回は対応しない事にしました。

    今後、運用で問題が出てきた際の回避策とすることにします。

    しかし、なぜデフォルト設定が変わってしまったのでしょう??

    また質問させていただきます。
    ありがとうございました。

    2009年3月7日 15:40