ポート変更されたSSL通信が出来ない時は@ISA Server2006

ISAServer2006をプロキシサーバとして稼働させている環境でSSLのデフォルトポート443以外のポートをサーバ側が指定している場合にエラーが表示される。

エラー コード: 502 Proxy Error. The specified Secure Sockets Layer (SSL) port is not allowed. ISA Server is not configured to allow SSL requests from this port. Most Web browsers use port 443 for SSL requests. (12204)


ISAServerのデフォルト設定では、SSLトンネリングはクライアントからの外部に対するポート443および563への要求に対して実行されます。SSLトンネリングをその他のポートに追加するには、ISAServerのAdminCOMオブジェクトであるFPCTunnelPortRangeオブジェクトで設定しなければなりません。

FPCTunnelPortRangeオブジェクトを使用すると、トンネリングのポートの範囲にアクセスできます。トンネリングのポートによって、外部サーバーの一般的なポートとの通信におけるデータの”ポンプ”としてISAServerが使用できるようになります。この処理は、実際にはISAServerプロトコルのルールをバイパスし、これが可能な外部ポート範囲を、デフォルトで単一のポート443(SSL)に対して443〜443に設定し、また単一のポート563(NNTP)に対して563〜563に設定しています。FPCTunnelPortRangeオブジェクトを使用すると、トンネリングのポートを作成できるポートの範囲を変更できます。

例えば

https://hogehoge.com:5984

というサイトにISAプロキシ経由でアクセスする場合には以下のVBSスクリプトを作成し、ISAサーバ上で実行します。

Dim root
Dim tpRanges
Dim newRange
Set root = CreateObject("FPC.Root")
Set tpRanges = root.GetContainingArray.ArrayPolicy.WebProxy.TunnelPortRanges
set newRange = tpRanges.AddRange("SSL 5984", 5984, 5984)
tpRanges.Save

なお、この設定はISAのバージョンによって異なるため今回使用したISA Server 2006 STD以外の場合には下記サイトを参照。

ISA Server 経由で SSL サイトを表示すると、空白ページが表示される、またはページが表示されない

ISA Server 2004 におけるトンネリングのポート範囲の管理に関する詳細については、マイクロソフト Web サイトを参照

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です