ISA-Server-2025-Web代理服务拒绝用户再次进行身份验证

ISAServer2024Web代理服务拒绝用户再次

进行身份验证

参考Tristank'sBlog和Dr.TomShinder'sISAFirewallSpace

前言:可能很多人都遇到过这个问题，当酿置ISA防火墙(ISAServer2024)的Web代理运用集成

身份验证时,假如当前登录的用户没能通过验证,那么ISA防火墙就会干脆拒绝用户的访问,而不是和I

SAServer2000中一样弹出窗口要求用户输入赈户信息进行身份验证,这让很多ISA防火墙管理员在

选择Web代埋的身份验证方式时,不得不选择基本身份验U匕不过,逋过这篇文堂,你用以学习史如何

倒置ISA防火墙来允许这一行为,从而让你运用更为平安的集成身份验证而不是基本身份验证。

可能很多人都遇到过这个问题，当配置ISA防火墙(ISAServer2024)的Web代理运用集成身份验

证时，假如当前登录的用户没能通过验证，那么ISA防火墙就会干脆拒绝用户的访问，而不是和ISASe

rver2000中一样弹出窗口要求用户输入账户信息进行身份验证，这让很多ISA防火堵管理员在选择We

b代理的身份验证方式时，不得不选择基本身份验证。

其实从集成身份验证的原理来说，当用户没有通过身份险证时，正会弹出窗口要求用户输入账户信息进行

身份验证的。但是在ISAServer2024中从平安角度考虑，当用户提交的账户信息未能通过身份验证时，

ISAServer2024会返回代码为502的错误信息(ISA防火墙拒绝了对指定URL的访问)拒绝客户的

访问，而不是返回另外一个代码为407(要求客户进行身份验证)的错误信息，所以阅读器就不会再次提

示用户进行身份验证，而是显示用户的访问被拒绝。

这个配置通过ISA防火墙中某个ISA防火堵网络所对应的Web代理服务侦听器（默认侦听8080端口）

的ReturnDeniedlfAuthenticated属性来进行限制，它的直默认设置为FALSE：假如你将其设置

为TRUE,那么当用户提交的身份验证信息未能通过身份验证时，ISAServer2024会返回另外•个代

码为407（要求客户进行身份验证）的错误信息，此时阅读器就会再次提示你进行身份验证。

Tristank在他的Blog上供应了一个用于修改此属性的脚本，如下面所示，其中的Internal代表你想要

修改的代理服务侦听器所对应的网络名，在此我们想耍修改默认的内部网络.请依据你的须要修改此脚本

文件中第一行的网络名，支持中文网络名，但是必需保存为ANSI文件格式。你可以点击此下载完整的脚

本文件，运用之前请记得做好ISA防火墙当前配置的备份：

ISA2024-neverdeny.vbs

TheOnlyOneOflnterest="Internal"'wewanttoresettheinternalnetworklistener

setting=True'True=Enabled,False=Disabled(default)

found=0

setroot=CreateObject("FPC.Root")

setfirewall=root.GetContainingArray

set

foreachnetworkinnetworks

'Wscript.echo

ifTheOnlyOneOflnterest=then

found=found+1

Wscript.echo"Foundnetwork:"+

network.WebListenerPropsrties.ReturnAuthRequiredlfAuthUserDenied=setting

'thisispurebumf-feelfreetocommentitoutifyoudon'twanttobeprompted

'theWscript.stdin.readlinelinerequiresthelatestversionoftheVBScript/WSHcompon

ents

'Wscript.echo"PropertySet-pressEntertoSavethechange."

Wscript.echo"Pleasewait..."

,Committheconfigurationchange

endif

next

iffound=0then

Wscript.echo"Targetnetworkwasnotfound."

else

Wscript.echo"Done."

endif

配置客户为Web代理客户,

&\中玄忆

"9

।常规II运陶私内容连接

♦

|号一个Internet连接，单击“设[建立连接也)…]

如果您要为连去

•从不进行拨•

不论网络连:

始斜拨默认i

当前默认连接：

局域网(UN)设

£翼露

当我在阅读器中输入ISA中文站的地址时，由于当前登录账户未能通过ISAServer2024的集成身份验

证，所以访问被拒绝，错误代码是502,ISA防火墙拒绝了指定的URL地址。

地址LL；,固http：//auto,search,msn.com/response.asp?MT=vww.isacn.orgfesrch=E链接

0

|X|NetworkAccessMessage:Thepagecannotbedisplayed

Explanation:Thereisaproblemwiththepageyouaretryingtoreach

anditcannotbedisplaced.

Trythefollowing:

•Refreshpage:SearchforthepageagainbyclickingtheRefresh

button.ThetimeoutmayhaveoccurredduetoInternet

congestion.

•Checkspelling:CheckthatyoutypedtheWebpageaddress

correctly.Theaddressmayhavebeenmistyped.

•Accessfromalink:Ifthereisalinktothepageyouarelooking

for,tryaccessingthepagefromthatlink.

Ifyouarestillnotabletoviewtherequestedpage,trycontactingyour

administratororHelpdesk.

TechnicalInformation(forsupportpersonnel)

•ErrorCode:502ProxyError.TheISAServerdeniedthespecified

UniformResourceLocator(URL).(12202)

•IPAddress:

•Date:2005-9-222:38:56

•Server:sctfse,ver

•Source:proxy

司完毕■Internet

从Sniffer上捕获的数据可以看出，ISA防火墙在用户提交的身份验证信息未能通过验证时，返回了一个5

02的错误信息，拒绝用户的访问。

PacketSourceDestinationSizeDeltaTimeProtocol

3anonymous.sctf.localsctfserver.sztf.local640.000028HTTPProxy

4anonymous.sctf.localsctfserver.sztf.local6130.001561HTTPProxy

5sctfserver.sctf.localanonymous.sctf.local15180.004206HTTPProxy

6sctfserver.sctf.localanonymous.sctf.local15180.001234HTTPProxy

7anonymous.sctf.localsctfserver.s3tf.local640.000042fflTPProxy

8sctfserver.sctf.localanonymous.sctf.local15180.001730HTTPProxy

9sctfserver.sctf.localanonymous.sctf.local1820.000162HTTPProxy

10anonymous.sctf.localsctfserver.s:tf.local640.000015HTTPProxy

11anonymous.sctf.localsctfserver.sztf.local7210.003281HTTPProxy

12sctfserver.sctf.localanonymous.sctf.local5550.003023HTTPProxy

13anonymous.sctf.localsctfserver.sztf.local8810.001587HTTPProxy

14sctfserver.sctf.localanonymous.sctf.local15180.005833HTTPProxy

15sctfserver.sctf.localanonymous.sctf.local15180.001228HTTPProxy

16anonymous.sctf.localsctfserver.sztf.local640.000043HTTPProxy

17sctfserver.sctf.localanonyiaous.sctf.local14350.001122HTTPProxy

18anonymous.sctf.localsctfserver.sztf.local640.003571HTTPProxy

19anonymous.sctf.localsctfserver.sztf.local700.003867HTTPProxy

20sctfserver.sctf.localanonymous.sctf.local700.000616HTTPProxy

21anonymous.sctf.localsctfserver.sztf.local640.000018HTTPProxy

22anonymous.sctf.localsctfserver.s:tf.local5280.003689HTTPProxy

23sctfserver.sctf.localanonymous.sctf.local15180.003799HTTPProxy

24sctfserver.sctf.localanonymous.sctf.local15180.001236HTTPProxy

•一,,•一・♦■■■4cc4Gnc▼・・・・・•——

MM|Q零小包学@

Packet:14MD_?

HTTPStatus:502

HTTPReason:ProxyError(TheISAServerdeniedthespecifiedUniformResour

Via:1.1SCTFSBRVE

Connection:close<CJ?xLF>

Projqr-Coimectlon:closerLFx-

现在，我执行脚本文件来修改RetumDeniedlfAuthenticated禺性，吩咐胜利完成,

亘命令提示符ISA中文站

D：\>cscriptisa2004-neuerdeny.ubs

Microsoft<R>UindowsScriptHostUersion5.6

版权所有(C〉MicrosoftCorporation1996-2001。保留所有权利。

Foundnetwork：Internal

Pleasewait...

Done.

D：\>_

然后复位内部网络的Web代理服务（禁用再启用内部网络的Web代理服务，记得每次修改后点击应用按

钮保存修改和更新防火墙策略）。

现在我们再打开阅读器来访问ISA中文站，留意，此时虽然同样未能通过ISA防火墙的集成身份验证，但

是阅读器却弹出对话框提示你输入身份验证信息，

文件⑦端辑&彝世）收藏口）帮助国：；，

。后退•。,回国心户搜索［:收藏夹砂氏鼻国口'

地址@）|lE.i“6org国0帆链接

gRoboForm-&meib。与张美波含意码卡片）、二保存。生成密码

国正在打开网页http：//wwv.isacn.卜j力Internet

输入可以通过验证的账户信息,

此时，用户输入的身份验证信息通过ISA防火墙的验证，ISA防火墙允许客户的访问。

包%中空-工克中戈茹-里彘媪&〜二蠡鼻画亘回同

文件9编辑⑥查看9收藏⑥工具①)帮助®if

。后退。,回面G大搜索收藏夹。曲，，，引▼»

地址@)http：〃ww*.isacn.orj0|转到遥接》

国RoboFormyQmeibo小张美波Isacn(+5)保存。生成密码

」S，\SERVER1

CN-ORG

Yourreliablepartner

RSS^首页|业界动态|技术文能递用|技术文章-工SA|技术文章-KWF|相关下载|

进入论坛GFIWebMonitorforISASer

用户名|ver是GF：［公司推出的一蒙1SA

密码Server的监视插件，你可以通

0记住密码|登录过它来实时监控用户浏竞的

网站以及下羲的文件，并且

忘记密码注册

在HebMonitor3.。后集成了GF

IdownloaTsecurity中的对

下羲的内容进行反病毒扫钻

的功能，这样可以保证用户

贫H人次：2743296

今日访H：3921所浏览的网页及下载的文件的

安全性，点击详细内容进

入…

合作站点＞满维内容

1

画完毕,Internet

同样在Sniffer上查看捕获的数据包，你可以发觉ISA防火墙这次返回的是407的错误信息(要求用户进

行身份验证)而不是返回502来拒绝客户的访问。

g①।回邕3U；VJ：电：ys幽

PacketSourceDestinationSizeDeltaTimeProtocol

1anonymous.sctf.localsctfserver.S3tf.local70HTTPProxy

2sctfserver.sctf.localanonymous.sctf.local700.005790HTTPProxy

3anonymous.sctf.localsctfserver.sctf.local640.000029HTTPProxy

4anonymous.sctf.localsctfserver.sztf.local6130.013583HTTPProxy

5sctfserver.sctf.localanonymous.sctf.local15180.004182HTTPProxy

6sctfserver.sctf.localanonymous.sctf.local15180.001231HTTPProxy

7anonymous.sctf.localsctfserver.sctf.local640.000029HTTPProxy

8sctfserver.sctf.localanonymous.sctf.local15180.001726HTTPProxy

9sctfserver.sctf.localanonymous.sctf.local1820.000161HTTPProxy

10anonymous.sctf.localsctfserver.sctf.local640.000012HTTPProxy

11anonymous.sctf.localsctfserver.s:tf.local7210.048191HTTPProxy

12sctfserver.sctf.localanonymous.sctf.local5550.003214HTTPProxy

13anonymous.sctf.localsctfserver.sctf.local8810.001488HTTPProxy

14sctfserver.sctf.localanonymous.sctf.local15180.005888HTTPProxy

15sctfserver.sctf.localanonymous.sctf.local15180.001234HTTPProxy

16anonymous.sctf.localsctfserver.sztf.local640.000038HTTPProxy

17sctfserver.sctf.localanonymous.sctf.local15180.001186HTTPProxy

18sctfserver.sctf.localanonymous.sctf.local1820.000162HTTPProxy

19anonymous.sctf.localsctfserver.sctf.local640.000012HTTPProxy

20anonymous.sctf.localsctfserver.s3tf.local6979.164644HTTPProxy

■A落。飞z胃’畲畲

Packet:14[x]?

旧qJTe1TP—HigperText'I'ranstei?ProtocoJL

RHTTPVersion:HTTP/1.1

eIfTTPStatus:407

&HTTPReason:ProxyAuthenticationRequired(TheISAServerrequiresauthorizat-:

aVia:1.1SCTFSERVER

QProxy-Authenticate:NegotiateVCR)—

AAS.GCA•Ucw-u,〃"——・“LQ-S..--T

假如你查看一下ISA防火墙中的会话,你会发觉比较好玩的事情，会话中相同的客户IP地址却有三个不

同的We