J'ai un problème sur une publication IIS sur ISA, au niveau de l'authentification.  
 
Le serveur IIS utilise SSO, mais on souhaite aussi faire une publication Web. Pour ce, j'utilise le reverse proxy que nous avons déjà : isa 2004.
Je modifie IIS pour accepter le header web, test sur le dns local > OK
Je teste la cnx d'isa -> iis (donc dmz -> lan) > OK
Le SSO fonctionne sans problème sur IE en local, et en s'authentifiant avec Firefox.  
Par contre, à partir du moment où je tente un accès via ISA, j'ai bien une demande d'auth, avec firefox ou IE, mais quoi que je rentre ça ne fonctionne pas !  
J'ai testé diverses options d'authentification dans ISA, aucune ne fonctionne.  
 
Ma règle :  
From : Anywhere
To : <mon serveur en lan>
"forward the original host header[...]" est décoché
Coché "request appear from isa server" (ne fonctionne pas en mode "from the original client" ).  
Traffic : http
Listener : HTTP Listener
Request from the following websites : j'ai bien le dns publique
Nous avons installé WebDirect (pour la redirection http -> https d'OWA), j'ai testé avec, mais ça n'est pas sa fonction première, et ça ne fonctionne pas plus.  
Le bridging est bien en mode Web Server, et les requêtes redirigées vers le port 80.
Quand au path, je redirige /* sur /monsite, mais rien de particulier.  
 
Des idées  
 
Merci !

Acun succès avec ces laitages  
Le pire étant que ça fonctionne pour la publication OWA (qui utilise aussi SSO).

 
 
Ca te renvoie quoi comme erreur exactement ? T'as des traces dans les logs ISA ou IIS ?

 
HTTP Error 401.1 - Unauthorized: Access is denied due to invalid credentials.
Internet Information Services (IIS)
 
Logs IIS :  
 

 
J'y accède avec IE7 sur XP Pro. On voit bien l'IP du serveur ISA..  
 
Pour les logs ISA, au format mdf (), je ne peux pas les copier vu qu'ils sont bloqués par ISA, je ne peux pas les éditer, et je n'ai pas trouvé comment faire afficher ses logs à ISA.  
 
Par contre, toujours dans les logs ISA (c'est un serveur soit disant géré par un spécialiste ISA super caïd MCSE toussa), j'ai vu un certain nombre d'erreurs netlogon :  
 

 
Ainsi que kerberos :  
 

 
re-
 
Vu que le serveur est en DMZ, je pense savoir d'où vient le problème, mais j'ai un petit doute à mettre ça sur le dos de ces erreurs, vu que l'authentification OWA fonctionne sans problème.  
Si tu as des idées, je suis preneur. Merci !

Pour lire les logs ISA, normalement dans surveillance/journalisation tu peux lancer des requetes sur les bases qu'il a créé, et suivre en direct ce qui se passe. Si t'installe les outils d'amins SQL sur ton serveur tu peux aussi attaquer directement les bases.
Tu peux aussi basculer les logs en mode fichier a plat.
Et un truc genre wireshark peut etre bien pratique pour voir ce qui arrive et ce qui part exactement de tes serveurs, surtout si c'est du traffic en clair.

Vu, merci.  
Effectivement, je vois passer le traffic, mais hormis les GET (qui passent avec succès après la cnx initiale), rien d'interressant.  
 
Je vais installer Ethereal / Wireshark sur le serveur, et voir ce qu'il en est.  
Merci !

Idem avec Wireshark, rien d'interressant remonté, à priori.  
Mais je ne crois pas que le problème soit aussi "bas", je pense juste faire erreur dans la config d'ISA, mais je n'arrive pas à trouver où.

Si tu fais pas une regle de publication http, mais (si c'est possible) juste pour tester une redirection du port 80 vers ton serveur web, ça marche ?

Nope, ça marche pô, mais de toutes manières, ça ne fait pas de reverse proxy, qui est le but dans mon cas.

Oui, c'est juste pour tester, et si ça marche pas ce serait plutot un soucis de config côté IIS...

Pourtant en interne, je n'ai aucun souci, le SSO fonctionne parfaitement, ou l'authentification manuelle quand j'utilise FF

T'as pas des restrictions d'IP et/ou nom de domaine sur ton site ?

Aucune

C'est mystique

je pense que mon problème est sur Kerberos. je vais faire ouvrir le port 88 vers les DCs, et on verra après.

Et le header configuré dans le site est bien le meme que l'adresse utilisée depuis le net (pas juste l'hote, mais le nom de domaine aussi) ?

Yep, j'ai mis plusieurs headers, dont le full d'internet

Bon, selon le mec qui gère le réseau, c'est déjà ouvert.  
Comme c'est un branque total, je lui ai demandé un monitoring de la machine, et demain j'aurais les logs, pour vérifier tout ça.  
Merci El Pollo ! La suite au prochain numéro ..

Tiens, mes erreurs Kerberos ont disparu d'un seul coup, alors que c'était soit disant déjà ouvert. Mais ça ne marche toujours pas.

Par contre, j'ai testé de ISA > le serveur WEB (directement, en rdp) : ça ne marche pas non plus, je penche de plus en plus pour un problème réseau (FW). P'tain