none
Не работает OWA, 403 Forbidden RRS feed

  • Общие обсуждения

  • Опубликовал OWA+FBA+SSL (Exchange 2003), пробую зайти снаружи, после ввода пользователя и пароля выдается ошибка 403 Forbidden, в логе ISA2004:

    12202 The ISA Server denied the specified Uniform Resource Locator (URL).  0x8 0x0 Web Proxy Filter "Source IP" External "Dest IP" 443  https Denied Connection Default rule domain\mailbox http://mail.domain.ru/ mail.domain.ru

    Прочитал кучу литературы на эту тему, кажется уже все перепробовал, да так и не заработало :(

    Что это может быть? 

    16 февраля 2007 г. 11:11

Все ответы

  • Так делали?
    16 февраля 2007 г. 11:20
  • да.читал не один раз и книжку на русском его тоже
    16 февраля 2007 г. 11:24
  • Тогда проверьте, не поднят ли на 443м порту IIS.
    16 февраля 2007 г. 11:25
  • на исе не поднят
    16 февраля 2007 г. 12:28
  • Тогда давайте свое правило в студию со всеми потрохами.
    16 февраля 2007 г. 12:34
  • На форуме isaserver.org пробегала тема, гляньте

    OWA - SSL - Error Code 403: Forbidden  http://forums.isaserver.org/m_230068600/tm.htm

    16 февраля 2007 г. 12:39
  • Вкладка "To" поле "Server": внутренний FQDN, стоят галки "Forward original host header...", "Request appear to come from original client". Вкладка Traffic:https,require 128bit encryption for https traffic-галка стоит. Свойства Listener: сеть External,указан внешний IP адрес, Enable SSL,443,указан сертификат с fqdn совпадающим с внешним fqdn сервера, аутентификация FBA,require to authenticate-стоит, домен не указан. Вкладка Users: Basic delegation галка не стоит. Bridging: стоит только Redirect request to ssl port 443, сертификат не указан (при включении там выдается ошибка, что сертификаты не сконфигурированы, хотя в Listenerе спокойно его указал). Public Name: All requests.
    16 февраля 2007 г. 13:08
  • я вообще даже выключил эту опцию, а когда вкючал все писал без всяких http, так что дело в чем то другом
    16 февраля 2007 г. 13:21
  • мои предположения, что у вас пользователи OWA аутентифицируются на самой ИСЕ, поэтому и получают Forbidden...

    аутентификация OWA F-B должна стоять только на Exchange 2003, а из правила ISA 2004 ее уберите и оставьте только Integrated!

    16 февраля 2007 г. 14:49
  • по http+Basic Auth работает, пробую https://mail.domain.ru/exchange ошибка такая: "Error Code: 500 Internal Server Error. The target principal name is incorrect. (-2146893022)", если просто https://mail.domain.ru, то: "Error Code: 403 Forbidden. The server denied the specified Uniform Resource Locator (URL). Contact the server administrator. (12202)". Аутентификацию сделал, как вы сказали (FBA На exch)
    20 февраля 2007 г. 14:50
  • в IIS6.0, в разделе ExchWeb настроек ни каких не делали? все по умолчанию?

    посмотрите, там должно быть в "Безопасности каталога" - анонимный доступ с юзером IUSR_SRV02.

    а вообще IIS тоже надо настраивать для работы OWA, без него никак работать не будет !

    и еще для полноты картины опишите топологию сети: где ISA, где Exchange, на одном сервере или на разных... и еще где ДНС стоит у вас.

     

     

    20 февраля 2007 г. 15:18
  • ISA2004,на другом сервере Exchange 2003, также внутри сети DNS-серверы на КД, клиенты настроены на них. FBA-аутентификация настроена на Exchange,на исе нет вообще.

    прочитал про это в technet, там говорится что common name сертификата не соответствует имени в поле "To" при публикации, предлагается выпустить еще сертификат или поменять имя и записи в файле hosts. Попробовал 2й вариант (он показался проще) - все получилось! Только одно осталось непонятным: почему nslookup при разрешении внешнего fqdn имени (на исе) выдает внешний айпи, а в кэше то что надо (внутреннее)?

    21 февраля 2007 г. 13:24