none
ISA 2006 и публикация SharePoint Services 2.0 RRS feed

  • Вопрос

  • Коллеги, день добрый!

    Имеется: ISA 2006 Enterprise с одним внешним интерфейсом. На этом интерфейсе опубликован OWA через https.

    Внутри сети имеется выделенный сервер с SharePoint Services 2.0

    Сейчас появилась необходимость опубликовать SharePoint Services 2.0. т.е. сделать так – http://portal.company.ru:8080 или по https://

    Как это сделать? Что необходимо для этого??

    30 июня 2008 г. 9:16

Ответы

  • Вы правильно догадываетесь по поводу запроса wildcard-сертификата. В процессе запроса сертификата необходимо в поле Common Name указать "*.company.com".

    Детальное описание процесса использования wildcard-сертификатов для публикации на ISA Server и запроса сертификата в том числе приведено в статье Тома Шиндера Publishing Multiple Web Sites using a Wildcard Certificate in ISA Server 2004.

     

    А можно ли чтобы запросы до исы шли по https а после до SharePoint по HTTP ??? Внутри сети сейчас по http.

    Да, можно. Для этого необходимо либо в процессе создания правила публикации указать, что от ISA Server запросы к публикуемому веб-серверу будут идти по HTTP, либо в свойствах существующего правила публикации на вкладке Bridging напротив необходимого протокола поставить галочку.

    1 июля 2008 г. 11:19
  • >Создать еще один Listener Иса не дает, для HTTP.

    Правильно не даёт, так как у Вас один внешний IP-адрес и уже существует Web Listener, прослушивающий порты 80 и 443 на этом адресе:

    >Теперь Listener:

    Networks: External

    Connections: -Enable HTTP – 80 -Enable SSL – 443

     

    Странно. Вы везде пишете, что набираете в адресной строке браузера https://portal.company.ru. Соответственно, это веб-узел доступен по стандартному порту 443. А вот в правиле публикации для SharePoint выставлен редирект на порт 8443 публикуемого веб-сервера.

    >Redirect to SSL port – 8443

    Так всё таки по какому порту доступен веб-узел?

    7 июля 2008 г. 11:26

Все ответы

  • Если Вас устраивает метод аутентификации, используемый в Web Listener в первом правиле публикации OWA, положим это будет HTML Form Based Authentication, можно для публикации SharePoint Services (WSS) использовать тот же Web Listener и, соответственно, тот же внешний IP-адрес.

    Для этого необходимо во внешней DNS-зоне создать запись типа A для внешнего имени WSS, к примеру: portal.company.ru <внешний IP-адрес, используемый при публикации OWA>.

    Затем, в Firewall Policy ISA Server создать новое правила публикации Web Site Publishing Rule. В качестве Web Listener в этом правиле использовать старый листенер из правила публикации OWA. После создания правила публикации в его свойствах на вкладке Bridging в пункте Redirect requests to HTTP/SSL Port выставить перенаправление на порт 8080 того протокола, который использовался при публикации (HTTP/HTTPS).

    Вот собственно и всё, что нужно сделать.

    30 июня 2008 г. 10:20
  • У меня WEB Listener для SSL. Придется сертификат создавать на новое имя portal.company.ru ?

    И еще, на самом сервере SharePoint Services 2.0 необходимо делать какие-тио действия?

     

    30 июня 2008 г. 13:19
  • Предлагаю разбираться по порядку. Значит, мы имеем (если не так понял, поправьте):
    1) 1х Внешний сетевой интерфейс;
    2) 1х Внешний IP-адрес;
    3) Web Listener, принимающий запросы по протоколу HTTPS;
    4) С внешним IP-адресом уже ассоциирован SSL-сертификат для публикации OWA.

     

    В таком случае для публикации SharePoint Services по DNS-имени, к примеру, portal.company.com Вам понадобится получить ещё один SSL-сертификат c Subject Common Name "portal.company.com". По причине того, что с одним IP-адресом ассоциировать несколько сертификатов нельзя, Вам понадобиться второй внешний IP-адрес. Отмечу, что ISA Server 2006 позволяет использовать несколько SSL-сертификатов в одном Web Listener, при этом каждый сертификат должен быть ассоциирован с отдельным адресом. Соответственно, для публикации SharePoint Services мы сможете использовать тот же Web Listener.

     

    Если же получение дополнительного внешнего IP-адреса невозможно или затруднительно, можно использовать так называемый "wildcard certificate", у которого в качестве Subject Common Name указывается "*.company.com". С помощью такого сертификата можно опубликовать сколь угодно много веб-узлов, чьи имена подходят под маску "*.company.com". Соотвественно, заменив текущий сертификат в существующем Web Listener на wildcard certificate, Вы сможете опубликовать SharePoint Services с помощью единственного Web Listener  и единственного внешнего IP-адреса.

     

    Что касается настроек на стороне публикуемого сервера. Если в правиле публикации Вы включаете параметр делегирования верительных данных пользователя, то выбранный метод аутентификации должен поддерживаться публикуемым веб-сервером. И, естественно, если в правиле публикации указывается обращаться к публикуемому серверу по HTTPS-потоколу, веб-сервер должен поддерживать запросы по этому протоколу.

     

  •  

    "Если же получение дополнительного внешнего IP-адреса невозможно или затруднительно, можно использовать так называемый "wildcard certificate", у которого в качестве Subject Common Name указывается "*.company.com". С помощью такого сертификата можно опубликовать сколь угодно много веб-узлов, чьи имена подходят под маску "*.company.com". Соотвественно, заменив текущий сертификат в существующем Web Listener на wildcard certificate, Вы сможете опубликовать SharePoint Services с помощью единственного Web Listener  и единственного внешнего IP-адреса.

     

    Что касается настроек на стороне публикуемого сервера. Если в правиле публикации Вы включаете параметр делегирования верительных данных пользователя, то выбранный метод аутентификации должен поддерживаться публикуемым веб-сервером. И, естественно, если в правиле публикации указывается обращаться к публикуемому серверу по HTTPS-потоколу, веб-сервер должен поддерживать запросы по этому протоколу."

     

     

    Да вы все правильно поняли, и проблема такая, что использовать еще один ИП невозможно.

     

    Но как сделать "так называемый "wildcard certificate", у которого в качестве Subject Common Name указывается "*.company.com".??? В локальной сети имеется свой CA. Как то по необычному нужно выдать сертификат, или просто выдать на *.company.ru ??

     

    А можно ли чтобы запросы до исы шли по https а после до SharePoint по HTTP ??? Внутри сети сейчас по http.

     

    Забыл сказать, ведь еще и ActiveSync опубликован.

  • Вы правильно догадываетесь по поводу запроса wildcard-сертификата. В процессе запроса сертификата необходимо в поле Common Name указать "*.company.com".

    Детальное описание процесса использования wildcard-сертификатов для публикации на ISA Server и запроса сертификата в том числе приведено в статье Тома Шиндера Publishing Multiple Web Sites using a Wildcard Certificate in ISA Server 2004.

     

    А можно ли чтобы запросы до исы шли по https а после до SharePoint по HTTP ??? Внутри сети сейчас по http.

    Да, можно. Для этого необходимо либо в процессе создания правила публикации указать, что от ISA Server запросы к публикуемому веб-серверу будут идти по HTTP, либо в свойствах существующего правила публикации на вкладке Bridging напротив необходимого протокола поставить галочку.

    1 июля 2008 г. 11:19
  • День добрый коллеги!

    Решил продолжить тему, не получается так опубликовать у меня SharePoint Services 2.0 через ISA 2006.

     

    Что сейчас имею: был создан сертификат *.company.ru согласно статье http://www.isaserver.org/tutorials/2004wildcardcert.html

     

    На исе сейчас стоит сертификат *.company.ru.

    Если зайти на owa.company.ru - то все ок, я могу зайти через FBA и посмотреть почту.

    Если я захожу на portal.company.ru - то открыается FBA, но если ввести логин и пароль - то потом только :

     

    The page cannot be displayed

    Explanation: There is a problem with the page you are trying to reach and it cannot be displayed.

    Try the following:

    • Refresh page: Search for the page again by clicking the Refresh button. The timeout may have occurred due to Internet congestion.
    • Check spelling: Check that you typed the Web page address correctly. The address may have been mistyped.
    • Access from a link: If there is a link to the page you are looking for, try accessing the page from that link.

    Technical Information (for support personnel)

    • Error Code: 500 Internal Server Error. Главное конечное имя неверно. (-2146893022)

    что не так???

     

     

    Это в логах Исы, после того как ввожу логин и пароль:

    212.xxx.xxx.xxx    192.168.1.6     443      HTTPS     Failed Connection Attempt       SharePoint

    192.168.1.1            192.168.1.6     443      HTTPS     Closed Connection  

     

     

    Где - 212.xxx.xxx.xxx - внешний пользователь

    192.168.1.6 - сервер SharePoint

    192.168.1.1 - сервер ИСА

    3 июля 2008 г. 10:29
  • Error Code: 500 Internal Server Error. Главное конечное имя неверно. (-2146893022)

    Данная ошибка относиться к классу ошибок на стороне веб-сервера. То есть скорее всего ISA Server работает корректно, но при этом не может связаться с публикуемым веб-сервером.

    Приведите конфигурацию обоих правил публикации, а также параметры веб-листенера (благо он у Вас один, насколько я помню).

    С проблемой обязательно разберемся, это далеко не самый сложный сценарий публикации. Единственное, что от Вас требуется, информация о конфигурации политика брандмауэра, а также какие методы аутентификации поддреживает публикуемый сервер с WSS (SharePoint Services).

  • День добрый!

     

    Вот что имеем по SharePoint.

    Настройки на IIS на сервере SharePointя не трогал, сертификат на IIS выдан portal.company.ru. стоит встроенная проверка и если я внутри сети наберу http://имя_сервера_шарепоинт - то любой пользователь спокойно заходит на портал, без всякой проверки. Больше ничего не трогал.

    Самое интересное, если внутри сети набрать https://portal.company.ru то вываливается окно с предложением вести пароль и логин, я ввожу и попадаю на Шарепоинт.А если с внешки зайти https://portal.company.ru то вываливается форма, ввожу пароль и логин, и дальше "Невозможно отобразить страницу"

     

    Теперь Listener:

    Networks:
     External

    Connections:
    -Enable HTTP – 80
    -Enable SSL – 443

    HTTP to HTTPS redirection:
    -Do not redirect

    Certificates:
    *.company.ru

    SSO:

    Forms:
    Authentication – HTML Form Authentication
    -Windows (AD)

     

    Правило для OWA:

    From:
     Anywhere

    To :
    srv-exch-001

    Mail.company.ru

    Стоит галка – Forward the original…

    Traffic:
    HTTP,HTTPS

     

    Public Name:
    Mail.company.ru

    Authentication Delegation:
    Basic Authentication

    Bridging:
    Redirect to SSL port – 443

     

    Правило для SharePoint:

    From:
     Anywhere

    To :
    srv-spoint-001

    portal.company.ru

    Стоит галка – Forward the original…

    Traffic:
    HTTP,HTTPS

     

    Public Name:
    portal.company.ru

    Authentication Delegation:
    Basic Authentication

    Bridging:
    Redirect to SSL port – 8443

     

  • Настройки на IIS на сервере SharePointя не трогал, сертификат на IIS выдан portal.company.ru. стоит встроенная проверка

    Правило для SharePoint:

    From:
     Anywhere

    To :
    srv-spoint-001

    portal.company.ru

    Стоит галка – Forward the original…

    Traffic:
    HTTP,HTTPS

    Public Name:
    portal.company.ru

    Authentication Delegation:
    Basic Authentication

    Bridging:
    Redirect to SSL port – 8443

    Если у Вас в настройках веб-узла SharePoint стоит только "Встроенная проверка подлинности" (Integrated Authentication), а в настройках правила публикации на ISA Server в параметрах на вкладке Authentication Delegatio "Basic Authentication", то запрос пользователя будет отклонён. В Вашем случае самый простой способ - в дополнение к "Встроенной проверки подлинности" в параметрах веб-узла включить поддержку "Basic Authentication" (не помню, как этот пункт называется на русском).

    To :

    srv-spoint-001

    portal.company.ru

    Зачем два имени указано? Судя по приведенной Вами информации, ISA Server общается с опубликованным сервером по HTTPS. Соответственно, для корректной установки SSL-соединения необходимо в параметрах правила публикации на вкладке To указать имя portal.company.ru, так как это имя указано в сертификате веб-узла. Затем на той же вкладке необходимо в пункте Computer Name or IP address... указать имя srv-spoint-001. Отмечу, что последний шаг необходим только в случае если ISA Server НЕ может разрешить dns-имя portal.company.ru в действительный IP-адрес srv-spoint-001.

  •  

    Добавил "Basic Authentication" - сейчас вот:

    The page cannot be displayed

    Explanation: The Web server refused the connection, possibly because a service on the upstream server is inactive.

    Try the following:

    • Refresh page: Search for the page again by clicking the Refresh button. The timeout may have occurred due to Internet congestion.
    • Check spelling: Check that you typed the Web page address correctly. The address may have been mistyped.
    • Access from a link: If there is a link to the page you are looking for, try accessing the page from that link.
    • Contact website: You may want to contact the website administrator to make sure the Web page still exists. You can do this by using the e-mail address or phone number listed on the website home page.

    Technical Information (for support personnel)

    • Error Code 10061: Connection refused
    • Background: When the gateway or proxy server contacted the upstream (Web) server, the connection was refused. This usually results from trying to connect to a service that is inactive on the upstream server.

     

     

    По поводу :

    To :

    srv-spoint-001

    portal.company.ru

    "Зачем два имени указано? Судя по приведенной Вами информации, ISA Server общается с опубликованным сервером по HTTPS. Соответственно, для корректной установки SSL-соединения необходимо в параметрах правила публикации на вкладке To указать имя portal.company.ru, так как это имя указано в сертификате веб-узла. Затем на той же вкладке необходимо в пункте Computer Name or IP address... указать имя srv-spoint-001. Отмечу, что последний шаг необходим только в случае если ISA Server НЕ может разрешить dns-имя portal.company.ru в действительный IP-адрес srv-spoint-001."

     

    сделал так:

    To :

    portal.company.ru

    srv-spoint-001

    Пока ничего.Sad
    4 июля 2008 г. 10:26
  • Доступ на сайт SharePoint по HTTP извне работает?

    С самого сервера ISA Server открывается ли сайт SharePoint по HTTP и по HTTPS?

    В приведенных Вами ошибках четко говорится о проблеме во взаимодействии ISA Server с Web-сервером, на котором хостится SharePoint. В каких узлах Вы правите настройки методов аутентификации?

    4 июля 2008 г. 12:56
  • День добрый!

     

    Доступ на сайт SharePoint по HTTP извне работает?

    Из вне никак не открывается ни по HTTP ни по HTTPS. Создать еще один Listener Иса не дает, для HTTP.

    С самого сервера ISA Server открывается ли сайт SharePoint по HTTP и по HTTPS?

    С  самой ISA сайт открывается. Но открывается так, если наберу https://portal.company.ru, то после выскакивает окно авторизации, ввожу логин и пароль и попадаю на сайт. А если просто наберу http://srv-spoint-001 – то попадаю без ввода логина и пароля.

    В каких узлах Вы правите настройки методов аутентификации?

    Это делал на сервере SharePoint. (IIS - имя сервера-Веб узлы-Веб узел по умолчанию) далее Безопасность каталога.

     

  • >Создать еще один Listener Иса не дает, для HTTP.

    Правильно не даёт, так как у Вас один внешний IP-адрес и уже существует Web Listener, прослушивающий порты 80 и 443 на этом адресе:

    >Теперь Listener:

    Networks: External

    Connections: -Enable HTTP – 80 -Enable SSL – 443

     

    Странно. Вы везде пишете, что набираете в адресной строке браузера https://portal.company.ru. Соответственно, это веб-узел доступен по стандартному порту 443. А вот в правиле публикации для SharePoint выставлен редирект на порт 8443 публикуемого веб-сервера.

    >Redirect to SSL port – 8443

    Так всё таки по какому порту доступен веб-узел?

    7 июля 2008 г. 11:26
  •  

    Артем, 8443 - это я экспериментировал. Сейчас стоит 443 порт.

    Что еще может быть не так?

    7 июля 2008 г. 13:13
  •  

    Артем!!!!Спасибо!!!!

    Все заработало!!! С портами че-то намудрил!!!

    7 июля 2008 г. 13:18
  • На здоровье, Сергей. Обращайтесь, рад помоч.

    Только вот на будущее мой совет - открывать по каждому вопросу или инциденту отдельную тему =)

    Кстати, выход Service Pack 1 для ISA Server 2006 призван свести ошибки подобного рода при создании правил публикации к минимуму. Теперь в момент создания правила публикации или в любое время можно будет протестровать связь ISA Server с публикуемым сервером посредством специальной тестовой кнопки. Т.е. мы могли бы протестировать свое правило доступа при создании и в результатах теста увидеть, что публикуемый веб-сервер не прослушивает указанный Вами порт 8443.

    Более подробно ознакомиться с ISA Server SP1 Вы можете ознакомиться здесь:

    Microsoft ISA Server 2006 Service Pack 1 увидел свет

    8 июля 2008 г. 12:24