Лучший отвечающий
ISA 2006 и публикация SharePoint Services 2.0

Вопрос
-
Коллеги, день добрый!
Имеется: ISA 2006 Enterprise с одним внешним интерфейсом. На этом интерфейсе опубликован OWA через https.
Внутри сети имеется выделенный сервер с SharePoint Services 2.0
Сейчас появилась необходимость опубликовать SharePoint Services 2.0. т.е. сделать так – http://portal.company.ru:8080 или по https://
Как это сделать? Что необходимо для этого??
30 июня 2008 г. 9:16
Ответы
-
Вы правильно догадываетесь по поводу запроса wildcard-сертификата. В процессе запроса сертификата необходимо в поле Common Name указать "*.company.com".
Детальное описание процесса использования wildcard-сертификатов для публикации на ISA Server и запроса сертификата в том числе приведено в статье Тома Шиндера Publishing Multiple Web Sites using a Wildcard Certificate in ISA Server 2004.
А можно ли чтобы запросы до исы шли по https а после до SharePoint по HTTP ??? Внутри сети сейчас по http.
Да, можно. Для этого необходимо либо в процессе создания правила публикации указать, что от ISA Server запросы к публикуемому веб-серверу будут идти по HTTP, либо в свойствах существующего правила публикации на вкладке Bridging напротив необходимого протокола поставить галочку.
1 июля 2008 г. 11:19 -
>Создать еще один Listener Иса не дает, для HTTP.
Правильно не даёт, так как у Вас один внешний IP-адрес и уже существует Web Listener, прослушивающий порты 80 и 443 на этом адресе:
>Теперь Listener:
Networks: External
Connections: -Enable HTTP – 80 -Enable SSL – 443
Странно. Вы везде пишете, что набираете в адресной строке браузера https://portal.company.ru. Соответственно, это веб-узел доступен по стандартному порту 443. А вот в правиле публикации для SharePoint выставлен редирект на порт 8443 публикуемого веб-сервера.
>Redirect to SSL port – 8443
Так всё таки по какому порту доступен веб-узел?
7 июля 2008 г. 11:26
Все ответы
-
Если Вас устраивает метод аутентификации, используемый в Web Listener в первом правиле публикации OWA, положим это будет HTML Form Based Authentication, можно для публикации SharePoint Services (WSS) использовать тот же Web Listener и, соответственно, тот же внешний IP-адрес.
Для этого необходимо во внешней DNS-зоне создать запись типа A для внешнего имени WSS, к примеру: portal.company.ru <внешний IP-адрес, используемый при публикации OWA>.
Затем, в Firewall Policy ISA Server создать новое правила публикации Web Site Publishing Rule. В качестве Web Listener в этом правиле использовать старый листенер из правила публикации OWA. После создания правила публикации в его свойствах на вкладке Bridging в пункте Redirect requests to HTTP/SSL Port выставить перенаправление на порт 8080 того протокола, который использовался при публикации (HTTP/HTTPS).
Вот собственно и всё, что нужно сделать.
30 июня 2008 г. 10:20 -
У меня WEB Listener для SSL. Придется сертификат создавать на новое имя portal.company.ru ?
И еще, на самом сервере SharePoint Services 2.0 необходимо делать какие-тио действия?
30 июня 2008 г. 13:19 -
Предлагаю разбираться по порядку. Значит, мы имеем (если не так понял, поправьте):
1) 1х Внешний сетевой интерфейс;
2) 1х Внешний IP-адрес;
3) Web Listener, принимающий запросы по протоколу HTTPS;
4) С внешним IP-адресом уже ассоциирован SSL-сертификат для публикации OWA.В таком случае для публикации SharePoint Services по DNS-имени, к примеру, portal.company.com Вам понадобится получить ещё один SSL-сертификат c Subject Common Name "portal.company.com". По причине того, что с одним IP-адресом ассоциировать несколько сертификатов нельзя, Вам понадобиться второй внешний IP-адрес. Отмечу, что ISA Server 2006 позволяет использовать несколько SSL-сертификатов в одном Web Listener, при этом каждый сертификат должен быть ассоциирован с отдельным адресом. Соответственно, для публикации SharePoint Services мы сможете использовать тот же Web Listener.
Если же получение дополнительного внешнего IP-адреса невозможно или затруднительно, можно использовать так называемый "wildcard certificate", у которого в качестве Subject Common Name указывается "*.company.com". С помощью такого сертификата можно опубликовать сколь угодно много веб-узлов, чьи имена подходят под маску "*.company.com". Соотвественно, заменив текущий сертификат в существующем Web Listener на wildcard certificate, Вы сможете опубликовать SharePoint Services с помощью единственного Web Listener и единственного внешнего IP-адреса.
Что касается настроек на стороне публикуемого сервера. Если в правиле публикации Вы включаете параметр делегирования верительных данных пользователя, то выбранный метод аутентификации должен поддерживаться публикуемым веб-сервером. И, естественно, если в правиле публикации указывается обращаться к публикуемому серверу по HTTPS-потоколу, веб-сервер должен поддерживать запросы по этому протоколу.
1 июля 2008 г. 5:51 -
"Если же получение дополнительного внешнего IP-адреса невозможно или затруднительно, можно использовать так называемый "wildcard certificate", у которого в качестве Subject Common Name указывается "*.company.com". С помощью такого сертификата можно опубликовать сколь угодно много веб-узлов, чьи имена подходят под маску "*.company.com". Соотвественно, заменив текущий сертификат в существующем Web Listener на wildcard certificate, Вы сможете опубликовать SharePoint Services с помощью единственного Web Listener и единственного внешнего IP-адреса.
Что касается настроек на стороне публикуемого сервера. Если в правиле публикации Вы включаете параметр делегирования верительных данных пользователя, то выбранный метод аутентификации должен поддерживаться публикуемым веб-сервером. И, естественно, если в правиле публикации указывается обращаться к публикуемому серверу по HTTPS-потоколу, веб-сервер должен поддерживать запросы по этому протоколу."
Да вы все правильно поняли, и проблема такая, что использовать еще один ИП невозможно.
Но как сделать "так называемый "wildcard certificate", у которого в качестве Subject Common Name указывается "*.company.com".??? В локальной сети имеется свой CA. Как то по необычному нужно выдать сертификат, или просто выдать на *.company.ru ??
А можно ли чтобы запросы до исы шли по https а после до SharePoint по HTTP ??? Внутри сети сейчас по http.
Забыл сказать, ведь еще и ActiveSync опубликован.
1 июля 2008 г. 8:15 -
Вы правильно догадываетесь по поводу запроса wildcard-сертификата. В процессе запроса сертификата необходимо в поле Common Name указать "*.company.com".
Детальное описание процесса использования wildcard-сертификатов для публикации на ISA Server и запроса сертификата в том числе приведено в статье Тома Шиндера Publishing Multiple Web Sites using a Wildcard Certificate in ISA Server 2004.
А можно ли чтобы запросы до исы шли по https а после до SharePoint по HTTP ??? Внутри сети сейчас по http.
Да, можно. Для этого необходимо либо в процессе создания правила публикации указать, что от ISA Server запросы к публикуемому веб-серверу будут идти по HTTP, либо в свойствах существующего правила публикации на вкладке Bridging напротив необходимого протокола поставить галочку.
1 июля 2008 г. 11:19 -
День добрый коллеги!
Решил продолжить тему, не получается так опубликовать у меня SharePoint Services 2.0 через ISA 2006.
Что сейчас имею: был создан сертификат *.company.ru согласно статье http://www.isaserver.org/tutorials/2004wildcardcert.html
На исе сейчас стоит сертификат *.company.ru.
Если зайти на owa.company.ru - то все ок, я могу зайти через FBA и посмотреть почту.
Если я захожу на portal.company.ru - то открыается FBA, но если ввести логин и пароль - то потом только :
The page cannot be displayed
Explanation: There is a problem with the page you are trying to reach and it cannot be displayed.
Try the following:
- Refresh page: Search for the page again by clicking the Refresh button. The timeout may have occurred due to Internet congestion.
- Check spelling: Check that you typed the Web page address correctly. The address may have been mistyped.
- Access from a link: If there is a link to the page you are looking for, try accessing the page from that link.
Technical Information (for support personnel)
- Error Code: 500 Internal Server Error. Главное конечное имя неверно. (-2146893022)
что не так???
Это в логах Исы, после того как ввожу логин и пароль:
212.xxx.xxx.xxx 192.168.1.6 443 HTTPS Failed Connection Attempt SharePoint
192.168.1.1 192.168.1.6 443 HTTPS Closed Connection
Где - 212.xxx.xxx.xxx - внешний пользователь
192.168.1.6 - сервер SharePoint
192.168.1.1 - сервер ИСА
3 июля 2008 г. 10:29 -
Error Code: 500 Internal Server Error. Главное конечное имя неверно. (-2146893022)
Данная ошибка относиться к классу ошибок на стороне веб-сервера. То есть скорее всего ISA Server работает корректно, но при этом не может связаться с публикуемым веб-сервером.
Приведите конфигурацию обоих правил публикации, а также параметры веб-листенера (благо он у Вас один, насколько я помню).
С проблемой обязательно разберемся, это далеко не самый сложный сценарий публикации. Единственное, что от Вас требуется, информация о конфигурации политика брандмауэра, а также какие методы аутентификации поддреживает публикуемый сервер с WSS (SharePoint Services).
4 июля 2008 г. 5:41 -
День добрый!
Вот что имеем по SharePoint.
Настройки на IIS на сервере SharePointя не трогал, сертификат на IIS выдан portal.company.ru. стоит встроенная проверка и если я внутри сети наберу http://имя_сервера_шарепоинт - то любой пользователь спокойно заходит на портал, без всякой проверки. Больше ничего не трогал.
Самое интересное, если внутри сети набрать https://portal.company.ru то вываливается окно с предложением вести пароль и логин, я ввожу и попадаю на Шарепоинт.А если с внешки зайти https://portal.company.ru то вываливается форма, ввожу пароль и логин, и дальше "Невозможно отобразить страницу"
Теперь Listener:
Networks:
ExternalConnections:
-Enable HTTP – 80
-Enable SSL – 443HTTP to HTTPS redirection:
-Do not redirectCertificates:
*.company.ruSSO:
Forms:
Authentication – HTML Form Authentication
-Windows (AD)Правило для OWA:
From:
AnywhereTo :
srv-exch-001Mail.company.ru
Стоит галка – Forward the original…
Traffic:
HTTP,HTTPSPublic Name:
Mail.company.ruAuthentication Delegation:
Basic AuthenticationBridging:
Redirect to SSL port – 443Правило для SharePoint:
From:
AnywhereTo :
srv-spoint-001portal.company.ru
Стоит галка – Forward the original…
Traffic:
HTTP,HTTPSPublic Name:
portal.company.ruAuthentication Delegation:
Basic AuthenticationBridging:
Redirect to SSL port – 84434 июля 2008 г. 8:47 -
Настройки на IIS на сервере SharePointя не трогал, сертификат на IIS выдан portal.company.ru. стоит встроенная проверка
Правило для SharePoint:
From:
AnywhereTo :
srv-spoint-001portal.company.ru
Стоит галка – Forward the original…
Traffic:
HTTP,HTTPSPublic Name:
portal.company.ruAuthentication Delegation:
Basic AuthenticationBridging:
Redirect to SSL port – 8443Если у Вас в настройках веб-узла SharePoint стоит только "Встроенная проверка подлинности" (Integrated Authentication), а в настройках правила публикации на ISA Server в параметрах на вкладке Authentication Delegatio "Basic Authentication", то запрос пользователя будет отклонён. В Вашем случае самый простой способ - в дополнение к "Встроенной проверки подлинности" в параметрах веб-узла включить поддержку "Basic Authentication" (не помню, как этот пункт называется на русском).
To :
srv-spoint-001
portal.company.ru
Зачем два имени указано? Судя по приведенной Вами информации, ISA Server общается с опубликованным сервером по HTTPS. Соответственно, для корректной установки SSL-соединения необходимо в параметрах правила публикации на вкладке To указать имя portal.company.ru, так как это имя указано в сертификате веб-узла. Затем на той же вкладке необходимо в пункте Computer Name or IP address... указать имя srv-spoint-001. Отмечу, что последний шаг необходим только в случае если ISA Server НЕ может разрешить dns-имя portal.company.ru в действительный IP-адрес srv-spoint-001.
4 июля 2008 г. 9:47 -
Добавил "Basic Authentication" - сейчас вот:
The page cannot be displayed
Explanation: The Web server refused the connection, possibly because a service on the upstream server is inactive.
Try the following:
- Refresh page: Search for the page again by clicking the Refresh button. The timeout may have occurred due to Internet congestion.
- Check spelling: Check that you typed the Web page address correctly. The address may have been mistyped.
- Access from a link: If there is a link to the page you are looking for, try accessing the page from that link.
- Contact website: You may want to contact the website administrator to make sure the Web page still exists. You can do this by using the e-mail address or phone number listed on the website home page.
Technical Information (for support personnel)
- Error Code 10061: Connection refused
- Background: When the gateway or proxy server contacted the upstream (Web) server, the connection was refused. This usually results from trying to connect to a service that is inactive on the upstream server.
По поводу :
To :
srv-spoint-001
portal.company.ru
"Зачем два имени указано? Судя по приведенной Вами информации, ISA Server общается с опубликованным сервером по HTTPS. Соответственно, для корректной установки SSL-соединения необходимо в параметрах правила публикации на вкладке To указать имя portal.company.ru, так как это имя указано в сертификате веб-узла. Затем на той же вкладке необходимо в пункте Computer Name or IP address... указать имя srv-spoint-001. Отмечу, что последний шаг необходим только в случае если ISA Server НЕ может разрешить dns-имя portal.company.ru в действительный IP-адрес srv-spoint-001."
сделал так:
To :
portal.company.ru
srv-spoint-001
Пока ничего.4 июля 2008 г. 10:26 -
Доступ на сайт SharePoint по HTTP извне работает?
С самого сервера ISA Server открывается ли сайт SharePoint по HTTP и по HTTPS?
В приведенных Вами ошибках четко говорится о проблеме во взаимодействии ISA Server с Web-сервером, на котором хостится SharePoint. В каких узлах Вы правите настройки методов аутентификации?
4 июля 2008 г. 12:56 -
День добрый!
Доступ на сайт SharePoint по HTTP извне работает?
Из вне никак не открывается ни по HTTP ни по HTTPS. Создать еще один Listener Иса не дает, для HTTP.
С самого сервера ISA Server открывается ли сайт SharePoint по HTTP и по HTTPS?
С самой ISA сайт открывается. Но открывается так, если наберу https://portal.company.ru, то после выскакивает окно авторизации, ввожу логин и пароль и попадаю на сайт. А если просто наберу http://srv-spoint-001 – то попадаю без ввода логина и пароля.
В каких узлах Вы правите настройки методов аутентификации?
Это делал на сервере SharePoint. (IIS - имя сервера-Веб узлы-Веб узел по умолчанию) далее Безопасность каталога.
7 июля 2008 г. 7:01 -
>Создать еще один Listener Иса не дает, для HTTP.
Правильно не даёт, так как у Вас один внешний IP-адрес и уже существует Web Listener, прослушивающий порты 80 и 443 на этом адресе:
>Теперь Listener:
Networks: External
Connections: -Enable HTTP – 80 -Enable SSL – 443
Странно. Вы везде пишете, что набираете в адресной строке браузера https://portal.company.ru. Соответственно, это веб-узел доступен по стандартному порту 443. А вот в правиле публикации для SharePoint выставлен редирект на порт 8443 публикуемого веб-сервера.
>Redirect to SSL port – 8443
Так всё таки по какому порту доступен веб-узел?
7 июля 2008 г. 11:26 -
Артем, 8443 - это я экспериментировал. Сейчас стоит 443 порт.
Что еще может быть не так?
7 июля 2008 г. 13:13 -
Артем!!!!Спасибо!!!!
Все заработало!!! С портами че-то намудрил!!!
7 июля 2008 г. 13:18 -
На здоровье, Сергей. Обращайтесь, рад помоч.
Только вот на будущее мой совет - открывать по каждому вопросу или инциденту отдельную тему =)
Кстати, выход Service Pack 1 для ISA Server 2006 призван свести ошибки подобного рода при создании правил публикации к минимуму. Теперь в момент создания правила публикации или в любое время можно будет протестровать связь ISA Server с публикуемым сервером посредством специальной тестовой кнопки. Т.е. мы могли бы протестировать свое правило доступа при создании и в результатах теста увидеть, что публикуемый веб-сервер не прослушивает указанный Вами порт 8443.
Более подробно ознакомиться с ISA Server SP1 Вы можете ознакомиться здесь:
8 июля 2008 г. 12:24