Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4) - [85] :: В помощь системному администратору

Возникли грабли с Исой 2006. Есть нестандартный конфиг домен 2003r2 + отдельно иса тоже в домене. На контроллере крутится стандартный сайт для подачи заявок на получение сертификата работающий через ISS 6 только по проколу https на 443 порту режим проверки подлинности "краткая проверка для серверов доменов windows" -> область указан локальный домен в безопасных подключениях сгенерирован сертификат для сайта. На исе рулесы внутри локалки разрешено все, инет - все протоколы из вкладки веб + создано правило для публикации сайта с конфигом: откуда->везде, куда ->ip контроллера + название веб узла «sertificate.bank» , трафик ->HTTPS, создан прослушиватель с конфигом: [сети->внутреняя+лк, подключения -галка напротив подключения ssl порт 443, сертификаты сгенирован сертификат на имя «sertificate.bank» и он выбран как единый, проверка подлинности->проверка подлинности ssl-сертификат клиента в дополнительно ->список довер. серт. выбран пункт ->принимать любые сер-ты, во вкладке настройка проверка подлинности - выбран пункт "требовать проверку у всех пол-ей" (кстати может кто в курсе как включить - домен проверки подлинности так как он неактивен)], внешнне имя ->запросы к следующим веб узлам добавлен "sertificate.bank", пути -/*, использование моста ->веб-сервер-порт 443,(кто знает как сделать сертификат который бы появился в пункте использовать сер-т для проверки подлинности SSL на веб сервере - так как серт на сам сайт есть в доверенных указан серт контроллера, а это что за приблуда для чего его генерить ) пользователи - просшедшие проверку, делегирование ->без, но клиент может ,преобразование ссылок ->стоит галка применить(рапорт сгенерированый браузером:{ Внешнее имя: sertificate.bank

Исходный URL-адрес Преобразованный URL-адрес Сведения о сопоставлении Один веб-прослушиватель Общий DNS-суффикс Имя массива
http://sertificate.bank:80 https://sertificate.bank Определенное правилом: sertificate.bank
http://sertificate.bank https://sertificate.bank Определенное правилом: sertificate.bank
https://sertificate.bank:443 https://sertificate.bank Определенное правилом: sertificate.bank
https://sertificate.bank https://sertificate.bank Определенное правилом: sertificate.bank }

На клиентах стоит wfc.

Главный прикол инет получается от линуха а именно squid/2.6.STABLE20+ICAP в веб цепочке в действиях указан перенапрвлять на высше указаный сервер тоесть проксю которая требует авторизацию обычную - все данные введены;(на проксе есть фича типа логин привязан к ip), резервный маршрут -напрямую в нет с возможностью делегирования , во вкладке исп-ие моста -перенапрвлять ssl запросы как ssl, http как http.

Собственно трабл: доступа к линуху нет - чтоб править его конфиг, доступа к сайту нет при включенном прокси исы ерор:
ОШИБКА
Запрошенный URL не может быть доставлен

--------------------------------------------------------------------------------

Во время доставки URL:
sertificate.bank:443

Произошла следующая ошибка:

Невозможно определить IP адрес узла
Сервер адресов ответил:

DNS Domain '

Были попытки указать сайт в файле хост, добавить в исключения браузеру, добавить через proxycfg:

Настройка текущих параметров прокси WinHTTP:
HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\
WinHttpSettings :

Прокси-сервер: 192.168.232.209 -(иса)
Список обхода : [sertificate.bank]

Доступа нет ни из своего внутренего диапазона ip а именно 192.168.232.0/24 + с компов которые в домене, но есть доступ с компов которые не в домене которые исп-т проксю линуха но в исключених добавлен этот сайт + указан доп. днс а именно контроллера, основной -для других целей в файле хост записи нет. Если на тазиках домена убрать проксю сайт работает во всех сетях так как настроен в днс.

Есть идея но пока не реализована стоит ли ее воплащать в жизнь, а именно поднять еще одну ису с тем же конфигом но в браузере указать в параметрах прокси сервера для secure - адресс второй исы. Необходимо чтоб был инет от прокси с исой 1 + работал сайт. Задам ламерский вопрос где рыть, куда копать или где мои грабли?

P.S. при отправке поста у вас выкотилось /home2/forum/forum.ru-board.com/data/boardstats.cgi did not return a true value at /home2/forum/forum.ru-board.com/post.cgi lin
For help, please send mail to the webmaster (root@host1), giving this error message and the time and date of the error.

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146