locked
リバースプロキシとしてForefrontTMGを構成後、403 Forbiddenエラーが出力される。 RRS feed

  • 質問

  • お世話になっております。

    表題の件で、自力で解決出来ない問題があり、問合せさせて頂きました。
    些細な情報でも構いませんので、アドバイス頂ければ幸いです。


    ■概要
     ドメインアカウントにより業務Webサイトへのアクセスを制御するリバースプロキシとして
     機能させることを目的として、ForefrontTMGを構築しております。
     (具体的には海外拠点のクライアントPCが使用することを想定しております)

     その際、403 Forbiddenエラーにより、クライアントPCから業務Webサイトへアクセス
     出来ない事象が発生しております。

     どこの設定内容を確認する必要があるか(最低限必要な設定が足りていない?など)についての
     知識が不足しているため、大変お手数ですが本件解決に向けたアドバイスを頂ければ幸いです。


    ■設定内容
     ・ForefrontTMGサーバ、業務Webサーバ、クライアントPCはそれぞれ同一ドメインに参加しております。
      また、ネットワークは上記の3台とも同一セグメントにて構成されております。

     ・ForefrontTMGでは、Webリスナー、ファイアウォールポリシーの構成を行いました。
      (詳細は以下に記載させて頂きます)

     ・ForefrontTMGサーバ、業務Webサーバ、クライアントPC間は名前解決が出来ている状況です。


    ■エラー内容
     ・ForefrontTMGの構成後、クライアントPCのInternet ExplorerでプロキシサーバをForefrontTMG
      サーバに設定し、業務Webサイトへアクセスしようとすると、以下のエラーメッセージが返される状態です。

       技術情報(サポート担当者用)
        ・エラーコード:403 Forbidden. The server denied the specified Uniform
         Resource Locator (URL). Contact the server administrator. (12202)

     ・業務WebサイトのURLは 「http://業務Webサーバホスト名/testpage」 となり、クライアントPCの
      Internet Explorerでプロキシサーバの設定を外し、再度アクセスすると正しく表示される状態です。


    以下にForefrontTMGに設定したパラメータを記載させて頂きます。

    --------------------------------------------------------------------------
    ■Webリスナーの設定
     ・リスナーに対して選択されたネットワーク
       内部
       外部

     ・接続
       HTTPのポート:80
       HTTPSのポート:チェックなし
       HTTPからHTTPSへのダイレクト:チェックなし

     ・証明書
       このWebリスナーに1つの証明書を使う:チェックなし
       IPアドレスごとに証明書を割り当てる:チェックなし

     ・認証
       クライアント認証方法:HTTP認証(統合)
       認証の検証方法:Windows(ActiveDirectory)

       詳細設定
        クライアント構成設定
         すべてのユーザーに認証を要求する:チェックなし
         HTTP経由でのクライアントの認証を許可する:チェックなし

        既定のWindows認証ドメイン
         ForefrontTMGサーバ、業務Webサーバ、クライアントPCが所属する
         ドメインを指定

     ・フォーム
       チェックなし

     ・SSO
       チェックなし


    ■公開ルールの設定(「Webサイト公開ルール」ウィザードを使用)
     ・動作:許可

     ・送信元
       内部
       外部

     ・公開先(このルールを公開されたサイトに適用する)
       業務Webサーバホスト名
      
      公開されたサイトへのプロキシ要求
       ForefrontTMGコンピュータからの要求にする

     ・トラフィック
       HTTP

     ・パブリック名
       すべての要求

     ・パス
       外部パス:<内部と同じ>
       内部パス:/testpage

     ・ブリッジ(Webサーバ)
       HTTPポートに要求をリダイレクトする:80
       SSLポートに要求をリダイレクトする:チェックなし

     ・ユーザー
       Domain Users

     ・認証の委任
       委任できません。クライアントは直接認証できません。
    --------------------------------------------------------------------------

    以上となります。

    お手数をお掛けしますが、何卒宜しくお願い致します。

    2013年2月26日 5:27

回答

  • awakamay さん、こんにちは
    フォーラム オペレーターの星 睦美です。

    エラーメッセージとして出力されている"403 Forbidden" に関連したトラブルシューティングの情報を探してみました。
    英語のページですが、参考までにご紹介します。

    (参考情報)
    ・How to solve the dreaded "403 Forbidden" error in ISA and TMG:
    http://www.chicagotech.net/Security/troubleshootingisa.htm

    こちらの情報がトラブルシューティングのお役にたちましたら幸いです。


    日本マイクロソフト株式会社 フォーラム オペレーター 星 睦美

    • 回答としてマーク awakamay 2013年3月1日 12:01
    2013年2月28日 6:02

すべての返信

  • awakamay さん、こんにちは
    フォーラム オペレーターの星 睦美です。

    エラーメッセージとして出力されている"403 Forbidden" に関連したトラブルシューティングの情報を探してみました。
    英語のページですが、参考までにご紹介します。

    (参考情報)
    ・How to solve the dreaded "403 Forbidden" error in ISA and TMG:
    http://www.chicagotech.net/Security/troubleshootingisa.htm

    こちらの情報がトラブルシューティングのお役にたちましたら幸いです。


    日本マイクロソフト株式会社 フォーラム オペレーター 星 睦美

    • 回答としてマーク awakamay 2013年3月1日 12:01
    2013年2月28日 6:02
  • 星様

    お世話になっております。

    ご回答頂きありがとうございます。

    頂いた情報を基にIIS周りの設定を確認/変更させて頂いたのですが、

    まだ解消できていない状況です。

    TMG側でのログ&レポートで「セッションが認証されていないため、

    操作を実行できません」とのエラーが多発していることから、

    認証系周りの設定を見直したいと思います。

    (現象が解消しましたら改めて報告させて頂きます)

    取り急ぎ、御礼とご連絡までです。

    2013年3月1日 12:00