Все ответы

• 

  

  0

  Нужно войти

  Если Вас устраивает метод аутентификации, используемый в Web Listener в первом правиле публикации OWA, положим это будет HTML Form Based Authentication, можно для публикации SharePoint Services (WSS) использовать тот же Web Listener и, соответственно, тот же внешний IP-адрес.

  Для этого необходимо во внешней DNS-зоне создать запись типа A для внешнего имени WSS, к примеру: portal.company.ru <внешний IP-адрес, используемый при публикации OWA>.

  Затем, в Firewall Policy ISA Server создать новое правила публикации Web Site Publishing Rule. В качестве Web Listener в этом правиле использовать старый листенер из правила публикации OWA. После создания правила публикации в его свойствах на вкладке Bridging в пункте Redirect requests to HTTP/SSL Port выставить перенаправление на порт 8080 того протокола, который использовался при публикации (HTTP/HTTPS).

  Вот собственно и всё, что нужно сделать.

  30 июня 2008 г. 10:20

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  У меня WEB Listener для SSL. Придется сертификат создавать на новое имя portal.company.ru ?

  И еще, на самом сервере SharePoint Services 2.0 необходимо делать какие-тио действия?

   

  30 июня 2008 г. 13:19

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Предлагаю разбираться по порядку. Значит, мы имеем (если не так понял, поправьте):
  1) 1х Внешний сетевой интерфейс;
  2) 1х Внешний IP-адрес;
  3) Web Listener, принимающий запросы по протоколу HTTPS;
  4) С внешним IP-адресом уже ассоциирован SSL-сертификат для публикации OWA.

   

  В таком случае для публикации SharePoint Services по DNS-имени, к примеру, portal.company.com Вам понадобится получить ещё один SSL-сертификат c Subject Common Name "portal.company.com". По причине того, что с одним IP-адресом ассоциировать несколько сертификатов нельзя, Вам понадобиться второй внешний IP-адрес. Отмечу, что ISA Server 2006 позволяет использовать несколько SSL-сертификатов в одном Web Listener, при этом каждый сертификат должен быть ассоциирован с отдельным адресом. Соответственно, для публикации SharePoint Services мы сможете использовать тот же Web Listener.

   

  Если же получение дополнительного внешнего IP-адреса невозможно или затруднительно, можно использовать так называемый "wildcard certificate", у которого в качестве Subject Common Name указывается "*.company.com". С помощью такого сертификата можно опубликовать сколь угодно много веб-узлов, чьи имена подходят под маску "*.company.com". Соотвественно, заменив текущий сертификат в существующем Web Listener на wildcard certificate, Вы сможете опубликовать SharePoint Services с помощью единственного Web Listener  и единственного внешнего IP-адреса.

   

  Что касается настроек на стороне публикуемого сервера. Если в правиле публикации Вы включаете параметр делегирования верительных данных пользователя, то выбранный метод аутентификации должен поддерживаться публикуемым веб-сервером. И, естественно, если в правиле публикации указывается обращаться к публикуемому серверу по HTTPS-потоколу, веб-сервер должен поддерживать запросы по этому протоколу.

   

  1 июля 2008 г. 5:51

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

   

  "Если же получение дополнительного внешнего IP-адреса невозможно или затруднительно, можно использовать так называемый "wildcard certificate", у которого в качестве Subject Common Name указывается "*.company.com". С помощью такого сертификата можно опубликовать сколь угодно много веб-узлов, чьи имена подходят под маску "*.company.com". Соотвественно, заменив текущий сертификат в существующем Web Listener на wildcard certificate, Вы сможете опубликовать SharePoint Services с помощью единственного Web Listener  и единственного внешнего IP-адреса.

   

  Что касается настроек на стороне публикуемого сервера. Если в правиле публикации Вы включаете параметр делегирования верительных данных пользователя, то выбранный метод аутентификации должен поддерживаться публикуемым веб-сервером. И, естественно, если в правиле публикации указывается обращаться к публикуемому серверу по HTTPS-потоколу, веб-сервер должен поддерживать запросы по этому протоколу."

   

   

  Да вы все правильно поняли, и проблема такая, что использовать еще один ИП невозможно.

   

  Но как сделать "так называемый "wildcard certificate", у которого в качестве Subject Common Name указывается "*.company.com".??? В локальной сети имеется свой CA. Как то по необычному нужно выдать сертификат, или просто выдать на *.company.ru ??

   

  А можно ли чтобы запросы до исы шли по https а после до SharePoint по HTTP ??? Внутри сети сейчас по http.

   

  Забыл сказать, ведь еще и ActiveSync опубликован.

  1 июля 2008 г. 8:15

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Вы правильно догадываетесь по поводу запроса wildcard-сертификата. В процессе запроса сертификата необходимо в поле Common Name указать "*.company.com".

  Детальное описание процесса использования wildcard-сертификатов для публикации на ISA Server и запроса сертификата в том числе приведено в статье Тома Шиндера Publishing Multiple Web Sites using a Wildcard Certificate in ISA Server 2004.

   

  А можно ли чтобы запросы до исы шли по https а после до SharePoint по HTTP ??? Внутри сети сейчас по http.

  Да, можно. Для этого необходимо либо в процессе создания правила публикации указать, что от ISA Server запросы к публикуемому веб-серверу будут идти по HTTP, либо в свойствах существующего правила публикации на вкладке Bridging напротив необходимого протокола поставить галочку.

  1 июля 2008 г. 11:19

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  День добрый коллеги!

  Решил продолжить тему, не получается так опубликовать у меня SharePoint Services 2.0 через ISA 2006.

   

  Что сейчас имею: был создан сертификат *.company.ru согласно статье http://www.isaserver.org/tutorials/2004wildcardcert.html

   

  На исе сейчас стоит сертификат *.company.ru.

  Если зайти на owa.company.ru - то все ок, я могу зайти через FBA и посмотреть почту.

  Если я захожу на portal.company.ru - то открыается FBA, но если ввести логин и пароль - то потом только :

   

  The page cannot be displayed

  Explanation: There is a problem with the page you are trying to reach and it cannot be displayed.

  Try the following: Refresh page: Search for the page again by clicking the Refresh button. The timeout may have occurred due to Internet congestion. Check spelling: Check that you typed the Web page address correctly. The address may have been mistyped. Access from a link: If there is a link to the page you are looking for, try accessing the page from that link. Technical Information (for support personnel) Error Code: 500 Internal Server Error. Главное конечное имя неверно. (-2146893022)

  что не так???

   

   

  Это в логах Исы, после того как ввожу логин и пароль:

  212.xxx.xxx.xxx    192.168.1.6     443      HTTPS     Failed Connection Attempt       SharePoint

  192.168.1.1            192.168.1.6     443      HTTPS     Closed Connection  

   

   

  Где - 212.xxx.xxx.xxx - внешний пользователь

  192.168.1.6 - сервер SharePoint

  192.168.1.1 - сервер ИСА

  3 июля 2008 г. 10:29

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Error Code: 500 Internal Server Error. Главное конечное имя неверно. (-2146893022)

  Данная ошибка относиться к классу ошибок на стороне веб-сервера. То есть скорее всего ISA Server работает корректно, но при этом не может связаться с публикуемым веб-сервером.

  Приведите конфигурацию обоих правил публикации, а также параметры веб-листенера (благо он у Вас один, насколько я помню).

  С проблемой обязательно разберемся, это далеко не самый сложный сценарий публикации. Единственное, что от Вас требуется, информация о конфигурации политика брандмауэра, а также какие методы аутентификации поддреживает публикуемый сервер с WSS (SharePoint Services).

  4 июля 2008 г. 5:41

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  День добрый!

   

  Вот что имеем по SharePoint.

  Настройки на IIS на сервере SharePointя не трогал, сертификат на IIS выдан portal.company.ru. стоит встроенная проверка и если я внутри сети наберу http://имя_сервера_шарепоинт - то любой пользователь спокойно заходит на портал, без всякой проверки. Больше ничего не трогал.

  Самое интересное, если внутри сети набрать https://portal.company.ru то вываливается окно с предложением вести пароль и логин, я ввожу и попадаю на Шарепоинт.А если с внешки зайти https://portal.company.ru то вываливается форма, ввожу пароль и логин, и дальше "Невозможно отобразить страницу"

   

  Теперь Listener:

  Networks:
   External

  Connections:
  -Enable HTTP – 80
  -Enable SSL – 443

  HTTP to HTTPS redirection:
  -Do not redirect

  Certificates:
  *.company.ru

  SSO:

  Forms:
  Authentication – HTML Form Authentication
  -Windows (AD)

   

  Правило для OWA:

  From:
   Anywhere

  To :
  srv-exch-001

  Mail.company.ru

  Стоит галка – Forward the original…

  Traffic:
  HTTP,HTTPS

   

  Public Name:
  Mail.company.ru

  Authentication Delegation:
  Basic Authentication

  Bridging:
  Redirect to SSL port – 443

   

  Правило для SharePoint:

  From:
   Anywhere

  To :
  srv-spoint-001

  portal.company.ru

  Стоит галка – Forward the original…

  Traffic:
  HTTP,HTTPS

   

  Public Name:
  portal.company.ru

  Authentication Delegation:
  Basic Authentication

  Bridging:
  Redirect to SSL port – 8443

   

  4 июля 2008 г. 8:47

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Настройки на IIS на сервере SharePointя не трогал, сертификат на IIS выдан portal.company.ru. стоит встроенная проверка

  Правило для SharePoint:

  From:
   Anywhere

  To :
  srv-spoint-001

  portal.company.ru

  Стоит галка – Forward the original…

  Traffic:
  HTTP,HTTPS

  Public Name:
  portal.company.ru

  Authentication Delegation:
  Basic Authentication

  Bridging:
  Redirect to SSL port – 8443

  Если у Вас в настройках веб-узла SharePoint стоит только "Встроенная проверка подлинности" (Integrated Authentication), а в настройках правила публикации на ISA Server в параметрах на вкладке Authentication Delegatio "Basic Authentication", то запрос пользователя будет отклонён. В Вашем случае самый простой способ - в дополнение к "Встроенной проверки подлинности" в параметрах веб-узла включить поддержку "Basic Authentication" (не помню, как этот пункт называется на русском).

  To :

  srv-spoint-001

  portal.company.ru

  Зачем два имени указано? Судя по приведенной Вами информации, ISA Server общается с опубликованным сервером по HTTPS. Соответственно, для корректной установки SSL-соединения необходимо в параметрах правила публикации на вкладке To указать имя portal.company.ru, так как это имя указано в сертификате веб-узла. Затем на той же вкладке необходимо в пункте Computer Name or IP address... указать имя srv-spoint-001. Отмечу, что последний шаг необходим только в случае если ISA Server НЕ может разрешить dns-имя portal.company.ru в действительный IP-адрес srv-spoint-001.

  4 июля 2008 г. 9:47

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

   

  Добавил "Basic Authentication" - сейчас вот:

  The page cannot be displayed

  Explanation: The Web server refused the connection, possibly because a service on the upstream server is inactive.

  Try the following: Refresh page: Search for the page again by clicking the Refresh button. The timeout may have occurred due to Internet congestion. Check spelling: Check that you typed the Web page address correctly. The address may have been mistyped. Access from a link: If there is a link to the page you are looking for, try accessing the page from that link. Contact website: You may want to contact the website administrator to make sure the Web page still exists. You can do this by using the e-mail address or phone number listed on the website home page. Technical Information (for support personnel) Error Code 10061: Connection refused Background: When the gateway or proxy server contacted the upstream (Web) server, the connection was refused. This usually results from trying to connect to a service that is inactive on the upstream server.

  По поводу :

  To :

  srv-spoint-001

  portal.company.ru

  "Зачем два имени указано? Судя по приведенной Вами информации, ISA Server общается с опубликованным сервером по HTTPS. Соответственно, для корректной установки SSL-соединения необходимо в параметрах правила публикации на вкладке To указать имя portal.company.ru, так как это имя указано в сертификате веб-узла. Затем на той же вкладке необходимо в пункте Computer Name or IP address... указать имя srv-spoint-001. Отмечу, что последний шаг необходим только в случае если ISA Server НЕ может разрешить dns-имя portal.company.ru в действительный IP-адрес srv-spoint-001."

   

  сделал так:

  To :

  portal.company.ru

  srv-spoint-001

  Пока ничего.

  4 июля 2008 г. 10:26

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Доступ на сайт SharePoint по HTTP извне работает?

  С самого сервера ISA Server открывается ли сайт SharePoint по HTTP и по HTTPS?

  В приведенных Вами ошибках четко говорится о проблеме во взаимодействии ISA Server с Web-сервером, на котором хостится SharePoint. В каких узлах Вы правите настройки методов аутентификации?

  4 июля 2008 г. 12:56

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  День добрый!

   

  Доступ на сайт SharePoint по HTTP извне работает?

  Из вне никак не открывается ни по HTTP ни по HTTPS. Создать еще один Listener Иса не дает, для HTTP.

  С самого сервера ISA Server открывается ли сайт SharePoint по HTTP и по HTTPS?

  С  самой ISA сайт открывается. Но открывается так, если наберу https://portal.company.ru, то после выскакивает окно авторизации, ввожу логин и пароль и попадаю на сайт. А если просто наберу http://srv-spoint-001 – то попадаю без ввода логина и пароля.

  В каких узлах Вы правите настройки методов аутентификации?

  Это делал на сервере SharePoint. (IIS - имя сервера-Веб узлы-Веб узел по умолчанию) далее Безопасность каталога.

   

  7 июля 2008 г. 7:01

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  >Создать еще один Listener Иса не дает, для HTTP.

  Правильно не даёт, так как у Вас один внешний IP-адрес и уже существует Web Listener, прослушивающий порты 80 и 443 на этом адресе:

  >Теперь Listener:

  Networks: External

  Connections: -Enable HTTP – 80 -Enable SSL – 443

   

  Странно. Вы везде пишете, что набираете в адресной строке браузера https://portal.company.ru. Соответственно, это веб-узел доступен по стандартному порту 443. А вот в правиле публикации для SharePoint выставлен редирект на порт 8443 публикуемого веб-сервера.

  >Redirect to SSL port – 8443

  Так всё таки по какому порту доступен веб-узел?

  7 июля 2008 г. 11:26

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

   

  Артем, 8443 - это я экспериментировал. Сейчас стоит 443 порт.

  Что еще может быть не так?

  7 июля 2008 г. 13:13

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

   

  Артем!!!!Спасибо!!!!

  Все заработало!!! С портами че-то намудрил!!!

  7 июля 2008 г. 13:18

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  На здоровье, Сергей. Обращайтесь, рад помоч.

  Только вот на будущее мой совет - открывать по каждому вопросу или инциденту отдельную тему =)

  Кстати, выход Service Pack 1 для ISA Server 2006 призван свести ошибки подобного рода при создании правил публикации к минимуму. Теперь в момент создания правила публикации или в любое время можно будет протестровать связь ISA Server с публикуемым сервером посредством специальной тестовой кнопки. Т.е. мы могли бы протестировать свое правило доступа при создании и в результатах теста увидеть, что публикуемый веб-сервер не прослушивает указанный Вами порт 8443.

  Более подробно ознакомиться с ISA Server SP1 Вы можете ознакомиться здесь:

  Microsoft ISA Server 2006 Service Pack 1 увидел свет

  8 июля 2008 г. 12:24

  Ответить

  |

  Цитировать