ISA Server 2004 Web代理服务拒绝用户再次进行身份验证

ISA Server 2004 Web代理服务拒绝用户再次
进行身份验证
参考Tristank's Blog和Dr. Tom Shinder's ISA Firewall Space
前言：可能很多人都遇到过这个问题，当配置ISA防火墙（ISA Server 2004）的Web代理使用集成身份验证时，如果当前登录的用户没能通过验证，那么ISA防火墙就会直接拒绝用户的访问，而不是和I SA Server 2000中一样弹出窗口要求用户输入账户信息进行身份验证，这让许多ISA防火墙管理员在选择Web代理的身份验证方式时，不得不选择基本身份验证。

不过，通过这篇文章，你可以学习到如何配置ISA防火墙来允许这一行为，从而让你使用更为安全的集成身份验证而不是基本身份验证。

可能很多人都遇到过这个问题，当配置ISA防火墙（ISA Server 2004）的Web代理使用集成身份验证时，如果当前登录的用户没能通过验证，那么ISA防火墙就会直接拒绝用户的访问，而不是和ISA Se rver 2000中一样弹出窗口要求用户输入账户信息进行身份验证，这让许多ISA防火墙管理员在选择We b代理的身份验证方式时，不得不选择基本身份验证。

其实从集成身份验证的原理来说，当用户没有通过身份验证时，是会弹出窗口要求用户输入账户信息进行身份验证的。

但是在ISA Server 2004中从安全角度考虑，当用户提交的账户信息未能通过身份验证时，ISA Server 2004会返回代码为502的错误信息（ISA防火墙拒绝了对指定URL的访问）拒绝客户的访问，而不是返回另外一个代码为407（要求客户进行身份验证）的错误信息，所以浏览器就不会再次提示用户进行身份验证，而是显示用户的访问被拒绝。

这个配置通过ISA防火墙中某个ISA防火墙网络所对应的Web代理服务侦听器（默认侦听8080端口）的ReturnDeniedIfAuthenticated属性来进行控制，它的值默认设置为FALSE；如果你将其设置为TRUE，那么当用户提交的身份验证信息未能通过身份验证时，ISA Server 2004会返回另外一个代码为407（要求客户进行身份验证）的错误信息，此时浏览器就会再次提示你进行身份验证。

Tristank在他的Blog上提供了一个用于修改此属性的脚本，如下面所示，其中的Internal代表你想要修改的代理服务侦听器所对应的网络名，在此我们想要修改默认的内部网络。

请根据你的需要修改此脚本文件中第一行的网络名，支持中文网络名，但是必须保存为ANSI文件格式。

你可以点击此下载完整的脚本文件，使用之前请记得做好ISA防火墙当前配置的备份：
ISA2004-neverdeny.vbs
----------------------------------------------------------------------------------TheOnlyOneOfInterest = "Internal" 'we want to reset the internal network listener setting = True 'True = Enabled, False = Disabled (default)
found = 0
set root = CreateObject("FPC.Root")
set firewall = root.GetContainingArray
set networks = works
for each network in networks
'Wscript.echo
if TheOnlyOneOfInterest = then
found = found + 1
Wscript.echo "Found network: " +
network.WebListenerProperties.ReturnAuthRequiredIfAuthUserDenied = setting
' this is pure bumf- feel free tocomment it out if you don't want to be prompted
' the Wscript.stdin.readline line requires the latest version of the VBScript/WSH compon ents
' Wscript.echo "Property Set - press Enter to Save the change."
' Wscript.stdin.readline
Wscript.echo "Please wait..."
' Commit the configuration change
network.WebListenerProperties.Save
end if
next
if found = 0 then
Wscript.echo "Target network was not found."
else
Wscript.echo "Done."
end if
----------------------------------------------------------------------------------
执行方式为运行
Cscript ISA2004-neverdeny.vbs
命令完成后，复位对应网络的Web代理服务（禁用再启用此网络的Web代理服务，记得每个步骤都必须点击应用按钮保存修改和更新防火墙策略）即可。

在此我给大家演示一下：
我在ISA Server 2004的访问规则中要求进行用户身份验证，如下图所示，默认内部网络中启用了We b代理服务，并且只使用了集成身份验证，
配置客户为Web代理客户，
当我在浏览器中输入ISA中文站的地址时，由于当前登录账户未能通过ISA Server 2004的集成身份验证，所以访问被拒绝，错误代码是502，ISA防火墙拒绝了指定的URL地址。

从Sniffer上捕获的数据可以看出，ISA防火墙在用户提交的身份验证信息未能通过验证时，返回了一个5 02的错误信息，拒绝用户的访问。

现在，我执行脚本文件来修改ReturnDeniedIfAuthenticated属性，命令成功完成，
然后复位内部网络的Web代理服务（禁用再启用内部网络的Web代理服务，记得每次修改后点击应用按钮保存修改和更新防火墙策略）。

现在我们再打开浏览器来访问ISA中文站，注意，此时虽然同样未能通过ISA防火墙的集成身份验证，但是浏览器却弹出对话框提示你输入身份验证信息，
输入可以通过验证的账户信息，
此时，用户输入的身份验证信息通过ISA防火墙的验证，ISA防火墙允许客户的访问。

同样在Sniffer上查看捕获的数据包，你可以发现ISA防火墙这次返回的是407的错误信息（要求用户进行身份验证）而不是返回502来拒绝客户的访问。

如果你查看一下ISA防火墙中的会话，你会发现比较有趣的事情，会话中相同的客户IP地址却有三个不同的Web代理会话，这是为什么呢？
这是因为ISA防火墙认为Web代理客户会话是IP地址和用户名的结合，在这个客户的IP地址上，总共有三个用户登录（虽然Anonymous和前面一个s开头的用户被ISA防火墙拒绝访问），所以ISA防火墙认为有三个Web代理客户会话。

该脚本支持ISA Server 2004的标准版和企业版。

对于企业版的环境，可以在任何一台ISA Server服务器上执行此脚本。