ISAServer2024Web代理服務拒絕用戶再次

進行身份驗證

參考Tristank'sBlog和Dr.TomShinder'sISAFirewallSpace

前言:可能很多人都遇到過這個問題，當釀置ISA防火墻(ISAServer2024)的Web代理運用集成

身份驗證時,假如當前登錄的用戶沒能通過驗證,那么ISA防火墻就會干脆拒絕用戶的訪問,而不是和I

SAServer2000中一樣彈出窗口要求用戶輸入賑戶信息進行身份驗證,這讓很多ISA防火墻管理員在

選擇Web代埋的身份驗證方式時,不得不選擇基本身份驗U匕不過,逋過這篇文堂,你用以學習史如何

倒置ISA防火墻來允許這一行為,從而讓你運用更為平安的集成身份驗證而不是基本身份驗證。

可能很多人都遇到過這個問題，當配置ISA防火墻(ISAServer2024)的Web代理運用集成身份驗

證時，假如當前登錄的用戶沒能通過驗證，那么ISA防火墻就會干脆拒絕用戶的訪問，而不是和ISASe

rver2000中一樣彈出窗口要求用戶輸入賬戶信息進行身份驗證，這讓很多ISA防火堵管理員在選擇We

b代理的身份驗證方式時，不得不選擇基本身份驗證。

其實從集成身份驗證的原理來說，當用戶沒有通過身份險證時，正會彈出窗口要求用戶輸入賬戶信息進行

身份驗證的。但是在ISAServer2024中從平安角度考慮，當用戶提交的賬戶信息未能通過身份驗證時，

ISAServer2024會返回代碼為502的錯誤信息(ISA防火墻拒絕了對指定URL的訪問)拒絕客戶的

訪問，而不是返回另外一個代碼為407(要求客戶進行身份驗證)的錯誤信息，所以閱讀器就不會再次提

示用戶進行身份驗證，而是顯示用戶的訪問被拒絕。

這個配置通過ISA防火墻中某個ISA防火堵網(wǎng)絡所對應的Web代理服務偵聽器（默認偵聽8080端口）

的ReturnDeniedlfAuthenticated屬性來進行限制，它的直默認設置為FALSE：假如你將其設置

為TRUE,那么當用戶提交的身份驗證信息未能通過身份驗證時，ISAServer2024會返回另外?個代

碼為407（要求客戶進行身份驗證）的錯誤信息，此時閱讀器就會再次提示你進行身份驗證。

Tristank在他的Blog上供應了一個用于修改此屬性的腳本，如下面所示，其中的Internal代表你想要

修改的代理服務偵聽器所對應的網(wǎng)絡名，在此我們想耍修改默認的內(nèi)部網(wǎng)絡.請依據(jù)你的須要修改此腳本

文件中第一行的網(wǎng)絡名，支持中文網(wǎng)絡名，但是必需保存為ANSI文件格式。你可以點擊此下載完整的腳

本文件，運用之前請記得做好ISA防火墻當前配置的備份：

ISA2024-neverdeny.vbs

TheOnlyOneOflnterest="Internal"'wewanttoresettheinternalnetworklistener

setting=True'True=Enabled,False=Disabled(default)

found=0

setroot=CreateObject("FPC.Root")

setfirewall=root.GetContainingArray

set

foreachnetworkinnetworks

'Wscript.echo

ifTheOnlyOneOflnterest=then

found=found+1

Wscript.echo"Foundnetwork:"+

network.WebListenerPropsrties.ReturnAuthRequiredlfAuthUserDenied=setting

'thisispurebumf-feelfreetocommentitoutifyoudon'twanttobeprompted

'theWscript.stdin.readlinelinerequiresthelatestversionoftheVBScript/WSHcompon

ents

'Wscript.echo"PropertySet-pressEntertoSavethechange."

Wscript.echo"Pleasewait..."

,Committheconfigurationchange

endif

next

iffound=0then

Wscript.echo"Targetnetworkwasnotfound."

else

Wscript.echo"Done."

endif

配置客戶為Web代理客戶,

&\中玄憶

"9

?常規(guī)II運陶私內(nèi)容連接

?

|號一個Internet連接，單擊“設[建立連接也)…]

如果您要為連去

?從不進行撥?

不論網(wǎng)絡連:

始斜撥默認i

當前默認連接：

局域網(wǎng)(UN)設

￡翼露

當我在閱讀器中輸入ISA中文站的地址時，由于當前登錄賬戶未能通過ISAServer2024的集成身份驗

證，所以訪問被拒絕，錯誤代碼是502,ISA防火墻拒絕了指定的URL地址。

地址LL；,固http：//auto,search,msn.com/response.asp?MT=vww.isacn.orgfesrch=E鏈接

0

|X|NetworkAccessMessage:Thepagecannotbedisplayed

Explanation:Thereisaproblemwiththepageyouaretryingtoreach

anditcannotbedisplaced.

Trythefollowing:

?Refreshpage:SearchforthepageagainbyclickingtheRefresh

button.ThetimeoutmayhaveoccurredduetoInternet

congestion.

?Checkspelling:CheckthatyoutypedtheWebpageaddress

correctly.Theaddressmayhavebeenmistyped.

?Accessfromalink:Ifthereisalinktothepageyouarelooking

for,tryaccessingthepagefromthatlink.

Ifyouarestillnotabletoviewtherequestedpage,trycontactingyour

administratororHelpdesk.

TechnicalInformation(forsupportpersonnel)

?ErrorCode:502ProxyError.TheISAServerdeniedthespecified

UniformResourceLocator(URL).(12202)

?IPAddress:

?Date:2005-9-222:38:56

?Server:sctfse,ver

?Source:proxy

司完畢■Internet

從Sniffer上捕獲的數(shù)據(jù)可以看出，ISA防火墻在用戶提交的身份驗證信息未能通過驗證時，返回了一個5

02的錯誤信息，拒絕用戶的訪問。

PacketSourceDestinationSizeDeltaTimeProtocol

3anonymous.sctf.localsctfserver.sztf.local640.000028HTTPProxy

4anonymous.sctf.localsctfserver.sztf.local6130.001561HTTPProxy

5sctfserver.sctf.localanonymous.sctf.local15180.004206HTTPProxy

6sctfserver.sctf.localanonymous.sctf.local15180.001234HTTPProxy

7anonymous.sctf.localsctfserver.s3tf.local640.000042fflTPProxy

8sctfserver.sctf.localanonymous.sctf.local15180.001730HTTPProxy

9sctfserver.sctf.localanonymous.sctf.local1820.000162HTTPProxy

10anonymous.sctf.localsctfserver.s:tf.local640.000015HTTPProxy

11anonymous.sctf.localsctfserver.sztf.local7210.003281HTTPProxy

12sctfserver.sctf.localanonymous.sctf.local5550.003023HTTPProxy

13anonymous.sctf.localsctfserver.sztf.local8810.001587HTTPProxy

14sctfserver.sctf.localanonymous.sctf.local15180.005833HTTPProxy

15sctfserver.sctf.localanonymous.sctf.local15180.001228HTTPProxy

16anonymous.sctf.localsctfserver.sztf.local640.000043HTTPProxy

17sctfserver.sctf.localanonyiaous.sctf.local14350.001122HTTPProxy

18anonymous.sctf.localsctfserver.sztf.local640.003571HTTPProxy

19anonymous.sctf.localsctfserver.sztf.local700.003867HTTPProxy

20sctfserver.sctf.localanonymous.sctf.local700.000616HTTPProxy

21anonymous.sctf.localsctfserver.sztf.local640.000018HTTPProxy

22anonymous.sctf.localsctfserver.s:tf.local5280.003689HTTPProxy

23sctfserver.sctf.localanonymous.sctf.local15180.003799HTTPProxy

24sctfserver.sctf.localanonymous.sctf.local15180.001236HTTPProxy

?一,,?一??■■■4cc4Gnc▼??????——

MM|Q零小包學@

Packet:14MD_?

HTTPStatus:502

HTTPReason:ProxyError(TheISAServerdeniedthespecifiedUniformResour

Via:1.1SCTFSBRVE

Connection:close<CJ?xLF>

Projqr-Coimectlon:closerLFx-

現(xiàn)在，我執(zhí)行腳本文件來修改RetumDeniedlfAuthenticated禺性，吩咐勝利完成,

亙命令提示符ISA中文站

D：\>cscriptisa2004-neuerdeny.ubs

Microsoft<R>UindowsScriptHostUersion5.6

版權(quán)所有(C〉MicrosoftCorporation1996-2001。保留所有權(quán)利。

Foundnetwork：Internal

Pleasewait...

Done.

D：\>_

然后復位內(nèi)部網(wǎng)絡的Web代理服務（禁用再啟用內(nèi)部網(wǎng)絡的Web代理服務，記得每次修改后點擊應用按

鈕保存修改和更新防火墻策略）。

現(xiàn)在我們再打開閱讀器來訪問ISA中文站，留意，此時雖然同樣未能通過ISA防火墻的集成身份驗證，但

是閱讀器卻彈出對話框提示你輸入身份驗證信息，

文件⑦端輯&彝世）收藏口）幫助國：；，

。后退?。,回國心戶搜索［:收藏夾砂氏鼻國口'

地址@）|lE.i“6org國0帆鏈接

gRoboForm-&meib。與張美波含意碼卡片）、二保存。生成密碼

國正在打開網(wǎng)頁http：//wwv.isacn.卜j力Internet

輸入可以通過驗證的賬戶信息,

此時，用戶輸入的身份驗證信息通過ISA防火墻的驗證，ISA防火墻允許客戶的訪問。

包%中空-工克中戈茹-里彘媼&?二蠡鼻畫亙回同

文件9編輯⑥查看9收藏⑥工具①)幫助?if

。后退。,回面G大搜索收藏夾。曲，，，引▼?

地址@)http：〃ww*.isacn.orj0|轉(zhuǎn)到遙接》

國RoboFormyQmeibo小張美波Isacn(+5)保存。生成密碼

」S，\SERVER1

CN-ORG

Yourreliablepartner

RSS^首頁|業(yè)界動態(tài)|技術(shù)文能遞用|技術(shù)文章-工SA|技術(shù)文章-KWF|相關(guān)下載|

進入論壇GFIWebMonitorforISASer

用戶名|ver是GF：［公司推出的一蒙1SA

密碼Server的監(jiān)視插件，你可以通

0記住密碼|登錄過它來實時監(jiān)控用戶瀏競的

網(wǎng)站以及下羲的文件，并且

忘記密碼注冊

在HebMonitor3.。后集成了GF

IdownloaTsecurity中的對

下羲的內(nèi)容進行反病毒掃鉆

的功能，這樣可以保證用戶

貧H人次：2743296

今日訪H：3921所瀏覽的網(wǎng)頁及下載的文件的

安全性，點擊詳細內(nèi)容進

入…

合作站點＞滿維內(nèi)容

1

畫完畢,Internet

同樣在Sniffer上查看捕獲的數(shù)據(jù)包，你可以發(fā)覺ISA防火墻這次返回的是407的錯誤信息(要求用戶進

行身份驗證)而不是返回502來拒絕客戶的訪問。

g①?回邕3U；VJ：電：ys幽

PacketSourceDestinationSizeDeltaTimeProtocol

1anonymous.sctf.localsctfserver.S3tf.local70HTTPProxy

2sctfserver.sctf.localanonymous.sctf.local700.005790HTTPProxy

3anonymous.sctf.localsctfserver.sctf.local640.000029HTTPProxy

4anonymous.sctf.localsctfserver.sztf.local6130.013583HTTPProxy

5sctfserver.sctf.localanonymous.sctf.local15180.004182HTTPProxy

6sctfserver.sctf.localanonymous.sctf.local15180.001231HTTPProxy

7anonymous.sctf.localsctfserver.sctf.local640.000029HTTPProxy

8sctfserver.sctf.localanonymous.sctf.local15180.001726HTTPProxy

9sctfserver.sctf.localanonymous.sctf.local1820.000161HTTPProxy

10anonymous.sctf.localsctfserver.sctf.local640.000012HTTPProxy

11anonymous.sctf.localsctfserver.s:tf.local7210.048191HTTPProxy

12sctfserver.sctf.localanonymous.sctf.local5550.003214HTTPProxy

13anonymous.sctf.localsctfserver.sctf.local8810.001488HTTPProxy

14sctfserver.sctf.localanonymous.sctf.local15180.005888HTTPProxy

15sctfserver.sctf.localanonymous.sctf.local15180.001234HTTPProxy

16anonymous.sctf.localsctfserver.sztf.local640.000038HTTPProxy

17sctfserver.sctf.localanonymous.sctf.local15180.001186HTTPProxy

18sctfserver.sctf.localanonymous.sctf.local1820.000162HTTPProxy

19anonymous.sctf.localsctfserver.sctf.local640.000012HTTPProxy

20anonymous.sctf.localsctfserver.s3tf.local6979.164644HTTPProxy

■A落。飛z胃’畬畬

Packet:14[x]?

舊qJTe1TP—HigperText'I'ranstei?ProtocoJL

RHTTPVersion:HTTP/1.1

eIfTTPStatus:407

&HTTPReason:ProxyAuthenticationRequired(TheISAServerrequiresauthorizat-:

aVia:1.1SCTFSERVER

QProxy-Authenticate:NegotiateVCR)—

AAS.GCA?Ucw-u,〃"——?“LQ-S..--T

假如你查看一下ISA防火墻中的會話,你會發(fā)覺比較好玩的事情，會話中相同的客戶IP地址卻有三個不

同的We