ISA 2004 Web代理服务拒绝用户再次进行身份验证二

云上舞

　　命令完成后，复位对应网络的Web代理服务（禁用再启用此网络的Web代理服务，记得每个步骤都必须点击 应用 按钮保存修改和更新防火墙策略）即可。 　　 　　在此我给大家演示一下： 　　 　　我在ISA Server 2004的访问规则中要求进行用户身份验证，如下图所示，默认内部网络中启用了Web代理服务，并且只使用了集成身份验证， 　　　

登录/注册后可看大图

　　配置客户为Web代理客户， 　　　

登录/注册后可看大图

　　当我在浏览器中输入ISA中文站的地址时，由于当前登录账户未能通过ISA Server 2004的集成身份验证，所以访问被拒绝，错误代码是502，ISA防火墙拒绝了指定的URL地址。 　　　

登录/注册后可看大图

　　从Sniffer上捕获的数据可以看出，ISA防火墙在用户提交的身份验证信息未能通过验证时，返回了一个502的错误信息，拒绝用户的访问。 　　　

登录/注册后可看大图

　　点击看大图 　　 　　现在，我执行脚本文件来修改ReturnDeniedIfAuthenticated属性，命令成功完成， 　　　

登录/注册后可看大图

　　然后复位内部网络的Web代理服务（禁用再启用内部网络的Web代理服务，记得每次修改后点击应用按钮保存修改和更新防火墙策略）。 　　 　　现在我们再打开浏览器来访问ISA中文站，注意，此时虽然同样未能通过ISA防火墙的集成身份验证，但是浏览器却弹出对话框提示你输入身份验证信息， 　　　

登录/注册后可看大图

　　输入可以通过验证的账户信息， 　　　

登录/注册后可看大图

　　此时，用户输入的身份验证信息通过ISA防火墙的验证，ISA防火墙允许客户的访问。 　　　

登录/注册后可看大图

　　同样在Sniffer上查看捕获的数据包，你可以发现ISA防火墙这次返回的是407的错误信息（要求用户进行身份验证）而不是返回502来拒绝客户的访问。 　　　

登录/注册后可看大图

　　点击看大图 　　 　　如果你查看一下ISA防火墙中的会话，你会发现比较有趣的事情，会话中相同的客户IP地址却有三个不同的Web代理会话，这是为什么呢？ 　　

登录/注册后可看大图

　　这是因为ISA防火墙认为Web代理客户会话是IP地址和用户名的结合，在这个客户的IP地址上，总共有三个用户登录（虽然Anonymous和前面一个s开头的用户被ISA防火墙拒绝访问），所以ISA防火墙认为有三个Web代理客户会话。 　　 　　该脚本支持ISA Server 2004的标准版和企业版。对于企业版的环境，可以在任何一台ISA Server服务器上执行此脚本。 <