命令完成后,复位对应网络的Web代理服务(禁用再启用此网络的Web代理服务,记得每个步骤都必须点击 应用 按钮保存修改和更新防火墙策略)即可。
在此我给大家演示一下:
我在ISA Server 2004的访问规则中要求进行用户身份验证,如下图所示,默认内部网络中启用了Web代理服务,并且只使用了集成身份验证,
配置客户为Web代理客户,
当我在浏览器中输入ISA中文站的地址时,由于当前登录账户未能通过ISA Server 2004的集成身份验证,所以访问被拒绝,错误代码是502,ISA防火墙拒绝了指定的URL地址。
从Sniffer上捕获的数据可以看出,ISA防火墙在用户提交的身份验证信息未能通过验证时,返回了一个502的错误信息,拒绝用户的访问。
点击看大图
现在,我执行脚本文件来修改ReturnDeniedIfAuthenticated属性,命令成功完成,
然后复位内部网络的Web代理服务(禁用再启用内部网络的Web代理服务,记得每次修改后点击应用按钮保存修改和更新防火墙策略)。
现在我们再打开浏览器来访问ISA中文站,注意,此时虽然同样未能通过ISA防火墙的集成身份验证,但是浏览器却弹出对话框提示你输入身份验证信息,
输入可以通过验证的账户信息,
此时,用户输入的身份验证信息通过ISA防火墙的验证,ISA防火墙允许客户的访问。
同样在Sniffer上查看捕获的数据包,你可以发现ISA防火墙这次返回的是407的错误信息(要求用户进行身份验证)而不是返回502来拒绝客户的访问。
点击看大图
如果你查看一下ISA防火墙中的会话,你会发现比较有趣的事情,会话中相同的客户IP地址却有三个不同的Web代理会话,这是为什么呢?
这是因为ISA防火墙认为Web代理客户会话是IP地址和用户名的结合,在这个客户的IP地址上,总共有三个用户登录(虽然Anonymous和前面一个s开头的用户被ISA防火墙拒绝访问),所以ISA防火墙认为有三个Web代理客户会话。
该脚本支持ISA Server 2004的标准版和企业版。对于企业版的环境,可以在任何一台ISA Server服务器上执行此脚本。