Un error que me he encontrado recientemente en varias ocasiones al publicar sitios web seguros a través de ISA Server, tanto con ISA Server 2004 como con ISA Server 2006, tanto con Array de múltiples servidores ISA (en particular un Array de cuatro ISA Servers 2006) como en Arrays de un único servidor ISA, es el Error Code: 500 Internal Server Error. The target principal name is incorrect. (-2146893022).
Lo primero de todo, quiero describir el escenario en que me he encontrado el Error Code: 500 Internal Server Error. The target principal name is incorrect. (-2146893022).
Se trata de una infraestructura de Publicación basada en ISA Server, expuesta a Internet a través del puerto 443 sólo y exclusivamente, utilizando para ello, un Web Listener con SSL que tiene asociado el correspondiente certificado digital. Los servidores Web, he trabajado con dos casos, Aplicaciones Web de IIS "home-made" (ya sean ASP o ASP.Net) y también con MOSS 2007. Además, las reglas de publicación, están configuradas para que la comunicación entre ISA Server y los IIS sea a través de SSL. Es decir, el usuario se conecta con SSL a los ISA Server (que están configurados en NLB o tras un balanceador hardware). A su vez, los ISA Server, en vez de conectarse a los IIS a través de HTTP, se conectan a través de HTTPS (con SSL).
A continuación se incluye el Visio de turno.
En lo referente a los certificados digitales, he trabajado con el siguiente escenario:
- Los ISA Server con un certificados Wildcard (ej: *.guillesql.es), mientras que los servidores web tienen un certificado convencional (ej: extranet.guillesql.local).
Con esta configuración, cuando el usuario intenta acceder a los Sitios Web a través de la infraestructura de publicación de ISA Server, obtiene el Error Code: 500 Internal Server Error. The target principal name is incorrect. (-2146893022), como se muestra en la siguiente pantalla capturada de ejemplo.
Quizás, lo más curioso de este error, es que si configuramos la regla de publicación de ISA Server para que se conecte con los IIS utilizando HTTP, todo funciona correctamente, es decir, el usuario se conecta a través de Internet con SSL (como debe ser), y la comunicación entre ISA Server y los servidores web internos es a través de HTTP en la DMZ, y además, no hay errores. Bueno, ya tenemos un WorkAround (en español, ñapa ;-).
Sin embargo, si necesitamos que la comunicación entre ISA Server y los servidores web sea segura (HTTPS), entonces ¿Qué hacemos? ¿Cómo corregimos este error?
Sorprendentemente, la solución a este error consiste en modificar el fichero HOST en los servidores ISA Server, para añadir una nueva entrada que relacione la dirección IP de los Servidores IIS que estamos publicando, con el nombre completo DNS utilizado en la publicación y asociado al certificado.
Vamos a poner un ejemplo. Publicamos a través de ISA Server una Aplicación Web, que es accesible en Internet a través de la URL https://extranet.guillesql.es. Evidentemente, en los servidores DNS de Internet, el nombre o alias extranet.guillesql.es apuntará a la dirección IP de la patita externa de los servidores ISA, siendo dicha dirección IP la utilizada en el Web Listener utilizado en ISA Server, al que hemos asociado el certificado correspondiente a *.guillesql.es (esto es, un certificado Wildcard).
A su vez, existe una regla de publicación, que publica el contenido de un Sitio Web en IIS. Dicho contenido, está hospedado en dos Servidores IIS, que comparten una misma dirección IP a través del Balanceo de Carga NLB de Windows Server 2003. En nuestro caso, la dirección IP del NLB que hospeda la Aplicación Web es 10.0.0.7 (por poner algo).
Con todo esto sobre la mesa, el Plan de Acción es el siguiente:
- Modificar el fichero Hosts en todos los servidores ISA Server, para relacionar la dirección IP 10.0.0.7 con el nombre extranet.guillesql.es. Es necesario que los servidores ISA resuelvan el nombre del certificado utilizado en los IIS, con la dirección IP utilizada en la publicación. En caso contrario, error 500 al canto.
- Reiniciar el servicio Firewall de los ISA Server. No es imprescindible, pero en función de lo que podamos haber tocado antes, podemos encontrarnos que los cambios realizados no tomen correctamente efecto hasta reiniciar el servicio Firewall de los ISA Server. Al menos esto me ha ocurrido con ISA Server 2004 Enterprise. Si estamos haciendo pruebas con algún navegador, cerrar el navegador y volver a abrirlo. El que avisa no es traidor...
Ya tá. Fácil y sencillo ;-)
Esta misma solución (modificar los ficheros HOSTS de los ISA Server), también me ha servido en el escenario de servidores ISA Server con un certificado normal (ej: extranet.guillesql.es), y los servidores web también, utilizando ambos (ISA Server e IIS) el mismo certificado digital. En esta ocasión, si no disponemos de una correcta resolución de nombres, el error es otro : Error code: 12206. Background: The page you requested could not be reached. Al menos, en ISA Server 2004 (con ISA Server 2006 no recuerdo el error).
Otro caso en el que me he encontrado el Error Code: 500 Internal Server Error. The target principal name is incorrect. (-2146893022), ha sido cuando estaban utilizando certificados Wildcard los servidos Web internos, es decir, los que estamos publicando. En este escenario, la solución, es utilizar certificados convencionales en los servidores web internos (ej: extranet.guillesql.es), y los certificados Wildcard, sólo en los ISA Server (o sin utilizar certificados Wildcard). Tras cambiar el certificado Wildcard de los IIS por un certificado convencional, es recomendable (de nuevo) reiniciar el servicio Firewall de los ISA Server.
Por último, hace un par de días, me encontré con una página de Microsoft en la que se indicaba el hecho de tener que modificar el fichero HOSTS. Os paso la URL: Create the HOSTS File Entries on the ISA Server 2004 Firewall. Para ISA Server 2006, también aplica.
Seguí buscando, y existe una KB de Microsoft, pero la verdad, es que no es muy explícita. Se trata de la KB 841664, y bueno, yo ahora la leo y está claro, pero si fuese más directa y sugiriese modificar el fichero HOSTS, pues mejor.
Otro enlace de Microsoft al respecto: Troubleshooting SSL Certificates in ISA Server 2004 Publishing.
Y poco más. Hasta aquí hemos llegado por hoy. Espero os sirva.
