none
OWA через TMG SP1: медленная авторизация RRS feed

  • Общие обсуждения

  • Доброго времени суток!

    Где-то с месяц назад столкнулся с проблемой, нерешенной по сей день. Дано:

    Через TMG опубликована OWA. Аутентификация проходит на самом TMG. В прослушивателе выставлена HTML form authentication, проверка через Windows (AD), перенаправление трафика с HTTP на HTTPS выставлено, количество подключений не ограничено. В самом правиле authentication delegation метод стоит как basic authentication. Есть так же правило редиректа с http: //mail.domain.ua на https: //mail.domain.ua/owa/ . Malware и кеширование отключены. Сервера TMG и Exchange - виртуалки, но являются разными виртуальными серверами. Exchange находится в internal-сети.

    Суть проблемы в следующем:

    Пользователь заходит на http: //mail.domain.ua, ему загружается веб-форма авторизации TMG. Он вводит данный своей доменной учетки и пароль, жмет вход и... свой ящик получает где-то через минуту-полторы. В логах это выглядит следующим образом:

    1) Пользователь постучался на 80-й порт, правило редиректа allow.

    2) Следом это же правило, но на порту 443 его denied и перебрасывает по назначению.

    3) Идет получение с кусков веб-формы (а-ля GET http: //mail.domain.ua/CookieAuth.dll?GetPic?formdir=1&image=lgnleft.gif) с внешнего ip, на котором опубликована owa (пусть будет x.x.x.x). Все это время user anonimous

    4) Далее пользователь вводит логин и пароль.

     

    Status: 0 The operation completed successfully.
    
    Rule: Redirect OWA mail
    
    Source: External (z.z.z.z:41673)
    
    Destination: Local Host (x.x.x.x:443)
    
    Request: GET http: //mail.domain.ua/
    
    Filter information: Req ID: 0ab7bc90; FBA cookie: exists=yes, valid=yes, updated=no, logged off=no, client type=public, user activity=yes
    
    Protocol: https
    
    User: domain.loc\user1

    5) Потом идет пачка пакетов initiate connection/closed connection между клиентом и TMG по https-протоколу в течение минуты. Никаких failed или denied

    6) и только через минуту получаем (где 10.y.y.y - это локальный ip сервера exchange)

     

    Allowed Connection
    Log type: Web Proxy (Reverse) 
    Status: 200 OK. 
    Rule: OWA 
    Source: External (x.x.x.x:30995) 
    Destination: Local Host (10.y.y.y:443) 
    Request: GET http://mail.domain.ua/owa/ 
    Filter information: Req ID: 0ab7bc95; FBA cookie: exists=yes, valid=yes, updated=no, logged off=no, client type=public, user activity=yes 
    Protocol: https 
    User: domain.loc\user1 
    

     

    Пользователя, разумеется, такой долгий заход раздражает. 

    При этом, если вылогиниться/закрыть окно и заново войти с самого начала, вход будет выполнен очень быстро.

    Администратор exchange клянется, что проблема не с его стороны. Я, в свою очередь, не вижу, что могло бы так замедлять передачу данный авторизации со стороны TMG.

    Подскажите, в чем может быть проблема?

     


    • Изменено iliy 19 сентября 2011 г. 13:25
    • Изменен тип Yuriy Lenchenkov 11 октября 2011 г. 13:47
    19 сентября 2011 г. 13:21

Все ответы

  • посмотрите эту статью http://support.microsoft.com/kb/555958

    и здесь http://technet.microsoft.com/en-us/library/cc514301.aspx раздел

    Client logon is slow and server certificates used for Web publishing are configured with the default purpose settings "Server Authentication" and "Client Authentication"


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    21 сентября 2011 г. 8:50
  • Дело в том, что у меня не разрешено пользователю менять пароль.

    Кто касается настроек в свойствах сертификата, то это, увы, не помогло

    23 сентября 2011 г. 14:52
  • iliy, ваша проблема сохраняется?
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    10 октября 2011 г. 8:17
  • Увы, да. Тему, впрочем, можно закрывать, есть подозрения, что проблемы не в самом TMG, а в AD
    10 октября 2011 г. 10:35