У меня проблема с доступом к Tomcat, работающему через SSL с MS ISA 2006 впереди.
Когда я использую внутренний IP-адрес (например, https://10.0.42.136/ ...) все работает нормально и localhost_access_log. покажите мне, что запрос возвращает 200.
Однако - доступ к тому же серверу с использованием FQDN (например, https://mydomain.com/ ...) выдает ошибку 403 - Запрещено в браузере. На сервере Tomcat я обнаружил ошибку 401, а не ошибку 403. Другими словами - ISA выбросит 403, а Tomcat выбросит 401.
И сервер, на котором размещен Tomcat, и сервер, запрашивающий приложение Tomcat, имеют полный доступ к Интернету.
Я полагаю, что может быть проблема с сервером ISA, поскольку я предполагаю, что трафик IP-адреса идет напрямую, в то время как трафик FQDN уходит «наружу», прежде чем он возвращается «внутрь». Но я не уверен в этом.
Требуется ли Tomcat какая-либо дополнительная конфигурация для обслуживания трафика https извне, например добавить IP-адрес ISA-сервера, поскольку он отлично работает с IP-адресом?
Нужно ли нам что-то делать в отношении сертификатов, как указано здесь: http://webcache.googleusercontent.com/search?q=cache:Y0BozNSUpN4J:forums.isaserver.org/fb.aspx%3Fm%3D2002034493+tomcat+behind+isa+server+certificates&cd=1&hl=no&ct=clnk&gl=no?
Почему трафик с моей клиентской машины снаружи проходит нормально, а трафик из внутренней сети не работает?
Вы ничего не сказали о клиенте, и это важно. Следует ли клиенту «выходить», чтобы попасть в полное доменное имя? Вы сказали, что он локальный или что для этого URL-адреса следует избегать использования прокси? (какой клиент?)
В любом случае, я думаю, вы можете столкнуться с защитой от отраженных атак.
Говоря более классически: если ваш набор правил не предполагает, что внутренние хосты могут взаимодействовать с другими внутренними хостами, они не могут.
Если полное доменное имя предназначено для выхода из вашей сети и возврата через ISA, ему нужен набор правил, разрешающий эту комбинацию.
Поэтому, если вы хотите разрешить клиентам внутренней сети подключаться к внешнему веб-сайту HTTPS, попробуйте правило, например: Разрешить / HTTP и HTTPS / От: Внутренняя сеть / Кому: Внутренний IP-адрес используемого хоста (также можно попробовать установить URL-адрес включая его, но это, возможно, не требуется.
Предположим, что nslookup mycompany.com печатает IP-адрес ISA-сервера и 10.0.42.136 - это IP-адрес Tomcat (не ISA).
Итак, когда вы подключаетесь к https://10.0.42.136/ вы подключаетесь напрямую к Tomcat (без ISA). Вы можете просто проверить, работает ли соединение с Tomcat с помощью FDQN, если вы напишете на свой файл hosts:
10.0.42.136 mycompany.com
(Путь к файлу обычно c:\windows\system32\drivers\etc\hosts или /etc/hosts.)
После этого проверьте с помощью ping что твой hosts запись в файл верна. Команда и результаты должны быть примерно такими:
c:\>ping mycompany.com
Pinging mycompany.com [10.0.42.136] with 32 bytes of data:
...
Если это пинги 10.0.42.136 чек https://mycompany.com/ в браузере. Возможно, вам нужно перезапустить браузер перед этим и не забыть удалить строку из hosts файл позже.
Если сайт хорошо работает с hosts запись файла, это определенно проблема ISA-сервера. В противном случае проблема связана с Tomcat.