none
Публикация MS SharePoint Server 2007 на ISA Server 2006: You do not have the permissions required to access this Web site. Please contact the Web site administrator. RRS feed

  • Вопрос

  • Это копия темы http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/00182e3a-85f1-4fd0-b990-a7d9d73ba015

    Т.к. подозреваю, что проблема не в ISA а в MS SharePoint Server 2007, публикую тему здесь.

    Имеем задачу опубликовать внутренний портал для одного из филиалов.

    Исходные данные:

    Домен, имя домена firma.local.
    На одном из серверов поднят MS SharePoint Server 2007 RUS стандартной редакции со всеми обновлениями. Внутреннее имя портала: intranet-server (так его набирают пользователи в адресной строке браузера и так он прописан в групповой политике, подставляющей этот адрес как стартовую страницу браузера по умолчанию.
    Портал представляет собой около сотни узлов разной направленности, установлено несколько официальных (с сайта MS) дополнений, возможностей и вебчастей, персональные узлы не используются.
    В "Сопоставлениях альтернативного доступа" был прописан дополнительный адрес intranet-server.firma.local в зоне Интрасеть.
    Шлюзом доступа к сети Интернет для офиса служит сервер с установленной ISA Server 2006, также со всеми обновлениями, два сетевых интерфейса, внешний адрес - реальный.
    В DNS сервере (расположен вне сети на техплощадке хостера) внесена запись типа "A" с адресом intranet.firma.ru, указывающая на внешний IP адрес шлюза главного офиса (см. выше).

    Перед телодвижениями были изучены следующие источники информации:

    1. Deploying Office SharePoint Server 2007 with ISA Server 2006 (http://technet.microsoft.com/en-us/library/cc268368.aspx) .
    2. How to publish Microsoft Sharepoint services 3.0 with ISA Server 2006 Enterprise (two nodes) (http://www.isaserver.org/tutorials/How-to-Publish-Microsoft-Sharepoint-Service-ISA-Server-2006.html) .
    3. Secure Application Publishing (http://technet.microsoft.com/en-us/library/bb794854.aspx) .

    Телодвижения.

    1. Вначале попытался опубликовать методом, изложенным в [2].
    Все делалось идентично, в настройках альтернативного доступа в MS SPS был указан адрес https://intranet.firma.ru для зоны "Интернет". Через selfssl на сервере с SPS был создан новый сертификат с именем intraner.firma.ru, который был помещен в Trusted Root Certification Authorities, затем был экспортирован на сервер с ISA Server, где также скопирован в Trusted Root Certification Authorities. Длина ключа сертификата - 1024 бита, срок действия - 5 лет. Единственное отличие от алгоритма - опубликованное с помощью стандартного мастера правило было затем открыто на редактирование и в вкладке "From" вместо "Anywhere" прописан внешний IP адрес филиала.
    Правило опубликовки находилось на самом верху.

    При попытке зайти с филиала как и положено отображается веб-форма аутентификации ISA Server, но при попытке войти под существующими в домене главного офиса аккаунтами форма появляется снова и выдается сообщение о ошибке:
    "You do not have the permissions required to access this Web site. Please contact the Web site administrator."
    В логах ISA - лишь "зеленые попадания" в правило опубликовки SPS и пары Initiate/Close Connections.

    2. Затем все телодвижения были удалены и использована "официальная" методика, изложенная в [3].
    Все делалось согласно изложенному в ней алгоритму (все через SSL, доп. сертификат на филиале, работа не через "All Authenticated Users", а через новосозданные "LDAP Users".
    Повторилась та же проблема, что и в п.1

     

    И п.1 и п.2 в итоге пробовались по второму разу, результат нулевой.
    В системных логах ругани на ошибки входа или сертификаты - нет (специально симулировали неправильный сертификат и его отсутствие).
    Вводились учетные данные разных администраторов, в т.ч. те, что в SPS указаны в "Farm Administrators" и под которыми без проблем открывается портал из внутренней сети офиса.

    Есть подозрение что по какой-то причине "отшивает" сам SPS, причем если на сервере с ISA-ой попробовать набрать в браузере https://intranet.firma.ru, то результат аналогичный.

    29 сентября 2010 г. 6:57

Ответы

  • Таки помогло, спасибо.

    Почему-то в приведенных источниках авторы (в т.ч. MS) как-то забыли об этом упомянуть...

    Итоги подведем...

     

    1. Имя сертификата для организации SSL ВОПРЕКИ приведенным выше информационным источникам необходимо иметь в виде <имя сервера>, как его видят внутренние (локальные) пользователи, в моем случае это intranet-server .
    Иначе правило ISA Server не проходит тестирование, выкидывая ошибку сертификата 0x80090322 ( The target principal name is incorrect )
    Подробности здесь: http://technet.microsoft.com/ru-ru/library/cc707230%28en-us%29.aspx#Testrule
    Конечно это справедливо только для моего случая, когда сервер SharePoint сам находится во внутренней сети предприятия, а не в DMZ.

    2. Помимо сопоставления альтернативного доступа в SharePoint Server 2007 ОБЯЗАТЕЛЬНО должно быть проведено расширение веб-приложения.
    Это подробно изложено в http://kichin-denis.blogspot.com/2008/08/ms-office-sharepoint-server-2007-moss.html

    3. В конфигурации ISA должны быть включены следующие Web-Filters:

    Authentication Delegation Filter
    Forms-Based Authentication Filter

    Если вы используете метод идентификации по LDAP, то соответственно должен быть включен фильтр LDAP Authentication Filter .

    В моем случае один из этих фильтров (первый) был выключен, в результате ISA ничего не писала в логи но ругалась в вебформе на неправильно введенные данные...

    • Помечено в качестве ответа Allan Stark 30 сентября 2010 г. 11:41
    30 сентября 2010 г. 11:41

Все ответы

  • Нужно ли как-то настраивать MS SharePoint Server 2007 либо IIS на прием запросов на 443-й порт (HTTPS & SSL) помимо захода в "Сопоставление альтернативного доступа" ?
    29 сентября 2010 г. 9:55
  • Нужно ли как-то настраивать MS SharePoint Server 2007 либо IIS на прием запросов на 443-й порт (HTTPS & SSL) помимо захода в "Сопоставление альтернативного доступа" ?


    Нужно расширить веб-приложение на этот порт (если он не занят на ISA)

    может быть поможет


    MCTS, MCITP:EPM
    • Предложено в качестве ответа Denis KichinEditor 30 сентября 2010 г. 12:32
    29 сентября 2010 г. 13:07
    Отвечающий
  • Таки помогло, спасибо.

    Почему-то в приведенных источниках авторы (в т.ч. MS) как-то забыли об этом упомянуть...

    Итоги подведем...

     

    1. Имя сертификата для организации SSL ВОПРЕКИ приведенным выше информационным источникам необходимо иметь в виде <имя сервера>, как его видят внутренние (локальные) пользователи, в моем случае это intranet-server .
    Иначе правило ISA Server не проходит тестирование, выкидывая ошибку сертификата 0x80090322 ( The target principal name is incorrect )
    Подробности здесь: http://technet.microsoft.com/ru-ru/library/cc707230%28en-us%29.aspx#Testrule
    Конечно это справедливо только для моего случая, когда сервер SharePoint сам находится во внутренней сети предприятия, а не в DMZ.

    2. Помимо сопоставления альтернативного доступа в SharePoint Server 2007 ОБЯЗАТЕЛЬНО должно быть проведено расширение веб-приложения.
    Это подробно изложено в http://kichin-denis.blogspot.com/2008/08/ms-office-sharepoint-server-2007-moss.html

    3. В конфигурации ISA должны быть включены следующие Web-Filters:

    Authentication Delegation Filter
    Forms-Based Authentication Filter

    Если вы используете метод идентификации по LDAP, то соответственно должен быть включен фильтр LDAP Authentication Filter .

    В моем случае один из этих фильтров (первый) был выключен, в результате ISA ничего не писала в логи но ругалась в вебформе на неправильно введенные данные...

    • Помечено в качестве ответа Allan Stark 30 сентября 2010 г. 11:41
    30 сентября 2010 г. 11:41