none
Проблема с опубликованием Owa через iSA 2006 RRS feed

  • Вопрос

  • ДОбрый день!

    Опубликовал Owa через правило публикации, но так и не заработало а в логах пишеться

     

    в столбце асtion failed connection attempt, не могу понять в чем проблема?

Все ответы

  • Exchange какой? 2003? 2007?  У каждого свои приколы.
    Модератор
  • все проделала по статье, exchange 2003, при вводе адреса в браузере, появляеться окно авторизации исы, далее ввожу данные , а потом  ошибка Error Code: 500 Internal Server Error. The target principal name is incorrect. (-2146893022)
  • Через SSL публиковали? Тогда проблема с сертификатом. Скорее всего сертификат выписан на одно имя, а обращение идет по другому.
  • Да через ssl, имя доменное имя совпадает на сертификате и  в браузере, что делать?
  • Почитайте вот здесь.
  • сделал я редирект, все заработало, но хотелось бы сквозную авторизацию, а то приходиться два раза набирать логин и пароль, как это сделать???
  • По моему в ISA можно сделать форвардинг аутентификации. Я просто не использовал его. Если подождете денек, то я покопаюсь и посмотрю где это можно почитать или объясню. Сейчас со временем не очень.
  • конечно подожду, вопрос, а как сделать сертификат чтобы работы как описано в статье Isa.org?
  • Не понял вопроса.
  • Pre-authentication of Connections Made to Published Web Sites

    Web publishing rules can be configured to forward authentication credentials to the destination Web server. ISA 2004 was limited to only basic delegation, but ISA 2006 provides a much richer selection of authentication delegation. This means that you can pre-authenticate the user at the ISA firewall before the connection is forwarded to the published Web server. This pre-authentication prevents unauthenticated connections from ever reaching the Web server. Pre-authentication blocks attackers and other malicious users from leveraging unauthenticated connections to exploit known and unknown weaknesses in Web servers and applications.

    One popular use of pre-authentication is for OWA Web sites. Instead of allowing unauthenticated connections to the OWA Web site, the ISA firewall’s Web Publishing Rule for the OWA Web site can be configured to authenticate the user. If the user successfully authenticates with the ISA firewall, then the connection request is passed to the OWA site. If the user cannot authenticate successfully with the ISA firewall, then the connection attempt is dropped at the firewall and never reaches the published Web site.

     

    Это отсюда: http://www.isaserver.org/tutorials/ISA-2006-Firewall-Web-Publishing-Rules.html

    Более подробно ответить не смогу - опять-таки негде сейчас  смоделировать.

  •  Alexander Trofimov написано:
    Не понял вопроса.

    ну я так понимаю, что проблема в сертификате, т.к выдает 500 ошибку, только вот не понял как сделать чтобы он был нормальным, чтобы работало все нормально

  • Все сделал как описано в статье Шиндлера , но не выходит "каменный цветок", как быть?
  • Посмотрите еще вот эту статью http://www.isaserver.org/tutorials/Using-2006-ISA-Firewall-RC-Publish-OWA-Sites-Part1.html Она как-то попроще.
    Модератор
  • делаю все по статье , однако ничего не выходит, у меня конфиг такой на внешний интерфейсе висит иса , внутри ms exchange, как мне правильно сертификаты сделать , а то не получаеться никак, может кто подробное описать ?
  • кто-нибудь может подсказать, очень нужно?
  • какое имя сервера писать в сертификате на exchange, внутренние или публичное имя мx Записи, и какой сертификат публиковать на isa ?
  • Там написано что надо использовоть приватный сертификат, но когда его используешь, в строке бразера набираешь паблик неим, сертификат отвергаеться т. к. имена не соответсвуют, и что делать? я так и не понял как его опубликовать чтобы работал, уже все варианты перепробовал!
  • Я ничего не понял из того, что сказано. Напишите пошагово, что Вы делаете и что получаете.
  • запускаю мастер публикации Owa через ssl, на старнице internal publishing details, в пункте internal site name ввожу имя почтового сервера(внутреннее имя), в строке computers name or ip adress ввожу ай-пи адресс почтового сервера(внуренний), на странице public name details в строке ввожу внешний адресс,(мх-запись), в wew listener , выбираю сертификат с почтового сервера(где прописано внутренние имя сервера), выбираю html form authentecation, авторизация по асtive directory, далее на странице authetication delegation, выбираю базовую,вот и все мои действия

    в результате получаю, когда набираю веб браузере имя сервера, получаею окно авторизации isa, ввожу данные , а потом получаю ошибку 500

  • А теперь сравните, что Вы мне тут написали с тем, что в tutorial у Шиндера? Вы этот tutorial читали вообще?

    Я не против помочь, но я не имею времени переписывать на русском для Вас эту статью. Какого лешего Вы вводите

    в строке computers name or ip adress ввожу ай-пи адресс почтового сервера(внуренний)
    если у Шиндера даже картинка есть

    А под картинкой есть слова о сплит-ДНС, файле Hosts и прочих неприятностях. Возьмите указанную статью и сделайте все по ней шаг-за-шагом.

  • на картинке иса не 2006, кстати у брал fba на эксчендж, авторизация начала проходит , попадаю в эксчендж, только вот графику не отображает

     

  •  alekzz написано:

    убрал fba на эксчендж, авторизация начала проходит 

    А кто вам сказал, что там должен был быть FBA ?? Вы пути какие опубликовали?

  • То есть читать вы решительно отказываетесь? А Exchweb и public кто опубликовывать будет? Ведь все же это в статьях написано пошагово
  • Павел, а Вы думаете, я просто так возмущаюсь? =)
  • эти папки тоже опубликованы)))
  • ]
    А кто вам сказал, что там должен был быть FBA ?? Вы пути какие опубликовали?

    а почему при включенном fba не работает owa?

    как сделать средсвами исы чтобы пользователь набирал https:\\publicserver.ru (а не https:\\publicserver.ru\exchange), и попадал на owa?

  • вопрсо такой, когда опубликова оwa пишет, что входящий https рубиться правилом enterprize, как такое может быть, зачем тогда публикация?

    а когда пытаюсь сделать разрешающая правило на входящий трафик https, то в алертах, пишеться то данный сетевой адаптер уже занят

    The Web Proxy filter failed to bind its socket to xx.xx.xx.xx port 443. This may have been caused by another service that is already using the same port or by a network adapter that is not functional. To resolve this issue, restart the Microsoft Firewall service. The error code specified in the data area of the event properties indicates the cause of the failure.