ISA-Server-2026-Web代理服务拒绝用户再次进行身份验证.docVIP

ISAServer2025Web代理服务拒绝用户再次进行身份验证

参考TristanksBlog和Dr.TomShindersISAFirewallSpace

前言：可能很多人都遇到过这个问题，当配置ISA防火墙（ISAServer2025）的Web代理使用集成身份验证时，如果当前登录的用户没能通过验证，那么ISA防火墙就会直接拒绝用户的访问，而不是和ISAServer2000中一样弹出窗口要求用户输入账户信息进行身份验证，这让许多ISA防火墙管理员在选择Web代理的身份验证方式时，不得不选择基本身份验证。不过，通过这篇文章，你可以学习到如何配置ISA防火墙来允许这一行为，从而让你使用更为安全的集成身份验证而不是基本身份验证。

可能很多人都遇到过这个问题，当配置ISA防火墙（ISAServer2025）的Web代理使用集成身份验证时，如果当前登录的用户没能通过验证，那么ISA防火墙就会直接拒绝用户的访问，而不是和ISAServer2000中一样弹出窗口要求用户输入账户信息进行身份验证，这让许多ISA防火墙管理员在选择Web代理的身份验证方式时，不得不选择基本身份验证。

其实从集成身份验证的原理来说，当用户没有通过身份验证时，是会弹出窗口要求用户输入账户信息进行身份验证的。但是在ISAServer2025中从安全角度考虑，当用户提交的账户信息未能通过身份验证时，ISAServer2025会返回代码为502的错误信息（ISA防火墙拒绝了对指定URL的访问）拒绝客户的访问，而不是返回另外一个代码为407（要求客户进行身份验证）的错误信息，所以浏览器就不会再次提示用户进行身份验证，而是显示用户的访问被拒绝。

这个配置通过ISA防火墙中某个ISA防火墙网络所对应的Web代理服务侦听器（默认侦听8080端口）的ReturnDeniedIfAuthenticated属性来进行控制，它的值默认设置为FALSE；如果你将其设置为TRUE，那么当用户提交的身份验证信息未能通过身份验证时，ISAServer2025会返回另外一个代码为407（要求客户进行身份验证）的错误信息，此时浏览器就会再次提示你进行身份验证。

Tristank在他的Blog上提供了一个用于修改此属性的脚本，如下面所示，其中的Internal代表你想要修改的代理服务侦听器所对应的网络名，在此我们想要修改默认的内部网络。请根据你的需要修改此脚本文件中第一行的网络名，支持中文网络名，但是必须保存为ANSI文件格式。你可以点击此下载完整的脚本文件，使用之前请记得做好ISA防火墙当前配置的备份：

ISA2025-neverdeny.vbs

----------------------------------------------------------------------------------

TheOnlyOneOfInterest=Internalwewanttoresettheinternalnetworklistener

setting=TrueTrue=Enabled,False=Disabled(default)

found=0

setroot=CreateObject(FPC.Root)

setfirewall=root.GetContainingArray

setnetworks=firewall.NetworkConfiguration.Networks

foreachnetworkinnetworks

Wscript.echonetwork.name

ifTheOnlyOneOfInterest=network.namethen

found=found+1

Wscript.echoFoundnetwork:+network.name

network.WebListenerProperties.ReturnAuthRequiredIfAuthUserDenied=setting

thisispurebumf-feelfreetocommentitoutifyoudontwanttobeprompted

theWscript.stdin.readlinelinerequiresthelatestversionoftheVBScript/WSHcomponents

Wscript.echoPropertySet-pressEntertoSavethech