win2k mit isa2k und localhost problem

[cebo 10]

Hallo,

 

habe hier ein Problem. Unter http://localhost/egalwas und http://127.0.0.1/egalwas bekomme ich auf einem all in one DC die ISA Fehlermeldung:

 

403 Verboten - Der Server hat den angegebenen URL (Uniform Resource Locator) verweigert. Wenden Sie sich an den Serveradministrator. (12202)

Internet Security & Acceleration Server

 

Alles andere funktioniert mitlerweile problemlos.

 

Eigentlich dürfte sich der ISA hier doch garnicht einmischen, weil die IP doch eine interne ist. Wo muss die IP im ISA genau eingetragen sein oder was kann ich sonst tun ?

 

Grüsse

 

Cebo

[ChristianHemker 10]

Der ISA kontrolliert alles, also auch den Zugriff von Localhost zu Localhost.

Du könntest natürlich für diesen Zugriff eine Allow Regel einrichten.

[cebo 10]

Über die Zulassungsregel habe ich schon alles aufgemacht. Das ist es nicht. Es muss noch irgenwoanders dran liegen.

 

http://HTTP://Server/irgendwas lässt der ISA ja auch problemlos passieren

 

Und gebe ich einen Fantasienamen ein zb. http://localhose/irgendwas bekomme ich eine Fehlermeldung des IE : DNS kann nicht gefunden werden.

 

Es muss also zwingend ein Problem zwischen ISA und Localhost bzw. 127.0.0.1 existieren.

 

Please Help

 

Edit: http://HTTP://serverIP/irgenwas blockiert der auch.

 

Könnte das irgenwas mit den Einstellungen der Netzwerkkonfiguration im ISA zu tun haben ?

[ChristianHemker 10]

Du hast also den Zugriff von Localhost auf Localhost (bzw. ANY) schon erlaubt?

[cebo 10]

Es gibt im Isa eine aktivierte Zulassungsregel mit

alle Ziele, immer zugriff zulassen, alle Anfragen und alle Inhaltstypengruppen.

 

Eingetragen unter Server>Zugriffsrichtlinie>site- und Inhaltsregeln.

 

Grüsse

 

Edit:

 

-Ping 127.0.0.1 funktioniert ebsnso gut wie Ping localhost

[s.k. 11]

Hallo cebo,

 

Es gibt im Isa eine aktivierte Zulassungsregel mit alle Ziele, immer zugriff zulassen, alle Anfragen und alle Inhaltstypengruppen.

Eingetragen unter Server>Zugriffsrichtlinie>site- und Inhaltsregeln.[/Quote]Eine Site- und Inhaltsregel genügt in diesem Fall nicht. Wie sieht die Protokollregel für HTTP aus? Wurde dort vielleicht eine Einschränkung auf bestimmte Clientadresssätze gemacht, zu denen der Server nicht gehört?

 

Des Weiteren stellt sich für mich die Frage, weshalb Du überhaupt den lokalen Traffic über die Proxy-Komponente des ISA laufen lässt. Deaktiviere doch einfach die Proxynutzung oder definiere eine Ausnahme für die lokalen Ziele. Rein lokaler Traffic (localhost nach localhost) wird m.W. vom ISA2000 nicht beregelt (zumindest wenn man die Proxykomponente nicht anspricht).

 

Gruß

Steffen

[Rudman 10]

Für Interne Adressen, sollte man auch dem IE beibringen das er für vorgegebene Adressen, keinen Proxy benutzen soll.

IE->Extras->Internetoptionen->Verbindungen->Einstellungen->erweitert....

Wir konnten es auch nur so lösen, da der ISA sich immer in unsere GLT reingehangen hat, egal welche regel, wir benutzten.

[cebo 10]

Hi S.K.

 

schön von Dir zu lesem.

 

. Wie sieht die Protokollregel für HTTP aus? Wurde dort vielleicht eine Einschränkung auf bestimmte Clientadresssätze gemacht, zu denen der Server nicht gehört?

 

Eine Einschränkung wurde hier nicht gemacht. Es wurde die Standardprotokollregel für Internetzugriff erstellen ausgeführt.

 

..oder definiere eine Ausnahme für die lokalen Ziele...

 

Kannst du mir hierzu genauere Angaben machen

 

@Rudman

 

Grundsätzlich wird die Proxyeinstellung hier über den DHCP mit WPAD geregelt. Es kann sowohl am Clienten als auch am Server selbst im Exploer der Haken aut.Suche entfernt werden und es wird geroutet. Auch dann und auch wenn der Proxyserver direkt eingetragen wird, und unter Ausnahmen der localhost steht, bekomme ich die Fehlermeldung des ISA.

 

Grüsse

 

Cebo

[s.k. 11]

Hallo cebo,

 

mir scheint, Du hast eine Webserververöffentlichungsregel (=Reverse-Proxy) eingerichtet und greifst jetzt darauf zu. Sprich: der ISA selbst lauscht auf Port 80, wertet die URL aus und ruft dann die Website vom eigentlichen Zielwebserver (hier lokal) ab. Vermutlich sind localhost und die IP-Adresse nicht im Zielsatz der Webserververöffentlichungsregel erfasst.

 

Gruß

Steffen

[cebo 10]

du hast völlig Recht mit Deiner Vermutiung ich habs gerade auprobiert :D Wenn ich localhost hier veröffentliche läufts. Kann ich das problemlios machen ?.

 

Ich habe eine Webveröffentlichungsregel Freigabe für alle Externen. Wenn ich die herausnehme, kann man mich nicht mehr von aussen (dyndns) erreichen. Dann bekomm ich auch dort die Fehlermeldung des ISA .

(wenn diese Freigabe deaktiviert ist, funzt localhost ohne Webfreigabe trotzdem nicht.)

 

Kann ich das so lassen oder bringt das zuviele Probleme mit sich ?

 

Grüsse

 

Cebo

[s.k. 11]

Wenn ich localhost hier veröffentliche läufts. Kann ich das problemlios machen?

Schön ist was anderes. Wirklich "prikelnd" ist die ganze Lösung aber ohnehin nicht (extern erreichbarer Webserver auf DC). :rolleyes:

 

Alternativ könntest Du den Webserver lokal doch einfach so ansprechen, wie es der Reverse-Proxy des ISA-Server macht (also so, wie es in der Webserververöffentlichungsregel hinterlegt ist). Ich vermute, dass der Webserver intern auf einem anderen Port horcht, oder?

Oder man sorgt dafür, dass der ISA-Weblistener lediglich auf der externen IP-Adresse lauscht (Eigenschaften des Servers-->Registerkarte "eingehende Webanfragen") und bindet den Webserver nur an localhost und/oder eine interne IP-Adresse.

 

Ich verstehe allerdings immer noch nicht so ganz, wo das Problem ist. Du kannst doch lokal zugreifen, wenn Du den Servernamen in der URL verwendest. Warum genügt das nicht?

 

Gruß

Steffen