%20%E3%81%AF%E3%80%81%E4%B8%80%E9%83%A8%E3%81%AE%E3%83%96%E3%83%A9%E3%82%A6%E3%82%B6%E3%81%A7%E3%81%AE%E3%81%BF%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%A7%E3%81%8D%E3%81%BE%E3%81%9B%E3%82%93%E3%80%82.png)
Forefront TMG を使用して HTTPS Web サイトとして公開したサイトがあります。有効な SSL 証明書 (EV) があります。Safari、Midori、Dolphin を除くすべてのブラウザーでサイトが正しく表示されます。
問題は、Safari では Web サイトにまったく接続できないことです。サイトがリクエストにまったく応答しないかのようです。ファイルは転送されません。接続は完全に切断されています。少なくとも長時間 (30 秒から 2、3 分) は切断されます。
HTTPS 経由で構成された複数の異なる Web サイトがあります。ドメイン、IP、証明書が異なります。証明書は発行元が異なります。
この問題は、すべての HTTPS ウェブサイトで発生しており、Safari、Midori、Dolphin ブラウザでのみ発生します。他のすべてのブラウザでは、3 つのサイトはすべて正常に動作します。遅延はなく、問題も報告されていません。
証明書の問題を排除するために、TMG リスナーで HTTP から HTTPS へのリダイレクトを無効にしようとしました。http 経由でも Web サイトにアクセスできません。ただし、Firefox、Opera、Chrome、IE、Vivaldi、Slimjet、Edge ブラウザーからは完全にアクセスできます。
Safari で 1 ページだけ表示できる場合もありますが、表示に 30 秒以上かかり、一部の画像 (および/または CSS) が欠落しています。その後、CORS ヘッダーが正しく構成され、参照された URL が応答することさえあるにもかかわらず、ページ上の AJAX が失敗するため、Web サイトが失敗します (大きな遅延あり)。
次のような感じです。URL を入力すると、サイトにアクセスできないというメッセージが表示されます。その後、ページを数回更新すると、ようやく表示されますが、ひどく壊れています (多くのファイルにアクセスできないなど)。
他のブラウザでは遅延はありません。すべてのファイルにすぐにアクセスできます。
Web アクセス ポリシー タブでは、すべての検査およびプロキシ オプションが無効になっています。
最も奇妙なのは、同じサーバー上に別のサイト (HTTP) があるのですが、別の IP で公開されていることです。このサイトはすべてのブラウザーで問題なく動作します。すべての IP とルーティングは適切に設定されているようですが、そうでない場合、他のブラウザーではサイトがどのように表示されるのでしょうか。
ちなみに、これは Web サイト自体にはまったく関係ありません。サイトから HTML ファイルや画像を 1 つ開こうとしても、Safari では取得できません。
重要: サイトの SSL 証明書情報が正しく表示されています。これは、これらのサイトからダウンロードされる唯一のものです。そのため、南京錠アイコンとサイト情報は表示されますが、コンテンツは表示されません。HTTP 接続を許可した後、HTTP 経由でも機能しません。一部のブラウザでは HTTP 経由で動作します。
重要: TMG を省略すると (VPN 経由で、NLB IP を直接参照する場合)、上記のサイトはすべてすべてのブラウザーでアクセスできます。
問題は、仮想サーバーを新しいネットワーク上の新しいホストに移動したときに発生しました。古いネットワークではすべて機能していました。しかし、特定のブラウザでのみサイトにアクセスできないのは、内部ネットワーク構成にどのような影響があるのでしょうか。
アップデート
CISCO ASA ファイアウォールの MTU を変更するなど、さまざまなことを試しましたが、効果はありませんでした。次のチュートリアルを使用して、TMG の SSL 構成を更新してみました。
Forefront TMG での SSL セキュリティの向上
テストは完了すらせず、終了しました。さらに、「サーバー構成が不一致」という警告が出ました。そして、「長いハンドシェイクの回避策: ハンシェイクは 0x200 バイト以下: 132」というメッセージで停止しました。ええと、ドメイン www.example.com と example.com を別のアドレスに設定しています。これは意図的です。そして、2 つの間にはリダイレクトがいくつかあります。ちなみに、www サイトには、誰かが https で URL を入力した場合に備えて独自の証明書があります。しかし、ほとんど使用されていません。そして、はい、私は www 以外のサーバーの証明書を交換しましたが、www は更新されずに残っています。これはエラーですが、www サイトのみに影響するはずです。しかし、動作がおかしいのは次のものです。https://example.com、 ないhttps://www.example.com。
何が問題なのでしょうか? 前回はうまくいったので、同じ TMG VM を別のホストに持っていました。サイトは別の (古い) IIS サーバーにありました。外部 IP は異なり、DMZ はありませんでした。証明書も異なり、古く、256 ビット キーではなく 128 ビット キーでした。CISCO ASA ファイアウォールはありませんでした。すべての Web サイトを新しいマシンに移動した後、この問題が発生しました。Safari、Midori、Dolphin を除くすべてのブラウザーで動作します。
アップデート
私は VPN、ASA 経由で内部ネットワークに接続しています。サイト ドメイン IP を内部 NLB アドレスに直接設定すると、機能します。DMZ IP に設定すると、機能しません。もちろん、外部 IP でも機能しません。もちろん、3 つのパスはすべてほとんどのブラウザーで完全に機能しますが、Safari、Midori、Dolphin のみが影響を受けます。
ちなみに、まったく同じ CISCO ASA が Web リクエストをパブリック ネットワークにルーティングします。
BTW2: まったく同じ IIS->NLB->TMG->DMZ->ASA からの純粋な HTTP サイト (証明書なし) - Safari で遅延やその他の問題なく動作します。テストしていないのは、証明書を削除して HTTP アクセスのみに設定することだけです。これは実稼働 Web サイトなので、実行するなら夜間に急いで行う必要があります。
答え1
これは基本的なネットワーク接続の問題のようです。症状は、MTU の設定が間違っている場合によく発生します。あるいは、TGM が何かおかしなことをしている可能性もありますが、それについては詳しくないのでわかりません。
まず、MTU を小さくしてテストすることをお勧めします。サーバーまたはクライアントのいずれか、あるいは両方を MTU 1200 に設定するのが、開始点として適切です。あるいは、接続を Wireshark で調べて、どのような TCP パラメータがネゴシエートされているかを確認し、そこから始めることもできます。
[編集] Windows で MTU を変更する方法は、実行している Windows のバージョンによって若干異なります。指定されていないため、一般的な Google の結果を示します。