通过ISA2000防火墙访问非标准HTTPS端口失败的解决办法
接到一个任务,帮一个客户解决一个网络问题。
问题是:
该用户在企业内部通过ISA2000代理访问外网,该企业后勤部门需要使用我公司提供的一个网络服务,我公司提供的该服务使用了7443作为HTTPS端口。用户在无法访问该端口,报错为:
“The page cannot be displayed ”
而该用户访问我公司包括标准端口的HPPTS在内的其他网站都正常。我一个同事帮他在ISA2000折腾了一气也没解决,最后落到我头上了。
客户现场我没去,现象也只是听同事简单描述了一下。我跑了个虚拟机,里机装了个ISA2000来测试,把所有协议、所有客户端都不限制,再访问7443的HTTPS服务,页面显示“The page cannot be displayed ”,同事确认现象与客户那里相同。
我找到ISA2000的日志
C:\Program Files\Microsoft ISA Server\ISALogs\WEBEXTD20120305.log
里面除了访问7443的请求有问题以外,其他访问均正常。而对7443端口访问的sc-status的值是12204,根据sc-status和12204两个关键字在网络上搜索,找到一个贴子:
http://forums.isaserver.org/m_10271900/mpage_1/key_/tm.htm#10271900
该贴子的回复者给了两个链接:
http://support.microsoft.com/default.aspx?scid=kb;EN-US;283284
前一链接给出了MS官的解释及提供的解决办法,后一个链接给了一个网站,从该网站可以找到一个现成的脚本来处理。
我先按MS官方给出的VBS,执行出错。再从第二个链接的网站的页面:
http://www.isatools.org/tools.asp?Context=ISA2000
中找到了“ISA tunnel port too l”这个脚本,下载下来,在ISA服务器上执行成功,根据提示要求重启电脑,再从模拟客户机访问7443端口的网站,终于见到了盼望已久的页面。
==========================================
BTW:
对于使用ISA的用户,http://www.isatools.org 这个网站值得收藏,里面的工具都挺实用的。