GuilleSQL :: Microsoft SQL Server, SSIS, y más !!

Error Code: 500 Internal Server Error. The target principal name is incorrect. (-2146893022)


Un error que podemos encontrarnos al publicar Sitios Web de IIS a través de ISA Server 2004 o ISA Server 2006 por HTTPS (es decir, con SSL), es el Error Code: 500 Internal Server Error. The target principal name is incorrect. (-2146893022). Este error es algo desconcertante, pues el mismo sitio publicado por HTTP funciona, y al publicarlo por HTTPS (con SSL) se muestra este error, que a priori, no da muchas pistas para su resolución. ¿Cómo solucionar este error de publicación de ISA Server?

Un error que me he encontrado recientemente en varias ocasiones al publicar sitios web seguros a través de ISA Server, tanto con ISA Server 2004 como con ISA Server 2006, tanto con Array de múltiples servidores ISA (en particular un Array de cuatro ISA Servers 2006) como en Arrays de un único servidor ISA, es el Error Code: 500 Internal Server Error. The target principal name is incorrect. (-2146893022).

Lo primero de todo, quiero describir el escenario en que me he encontrado el Error Code: 500 Internal Server Error. The target principal name is incorrect. (-2146893022).

Se trata de una infraestructura de Publicación basada en ISA Server, expuesta a Internet a través del puerto 443 sólo y exclusivamente, utilizando para ello, un Web Listener con SSL que tiene asociado el correspondiente certificado digital. Los servidores Web, he trabajado con dos casos, Aplicaciones Web de IIS "home-made" (ya sean ASP o ASP.Net) y también con MOSS 2007. Además, las reglas de publicación, están configuradas para que la comunicación entre ISA Server y los IIS sea a través de SSL. Es decir, el usuario se conecta con SSL a los ISA Server (que están configurados en NLB o tras un balanceador hardware). A su vez, los ISA Server, en vez de conectarse a los IIS a través de HTTP, se conectan a través de HTTPS (con SSL).

A continuación se incluye el Visio de turno.

En lo referente a los certificados digitales, he trabajado con el siguiente escenario:

  • Los ISA Server con un certificados Wildcard (ej: *.guillesql.es), mientras que los servidores web tienen un certificado convencional (ej: extranet.guillesql.local).

Con esta configuración, cuando el usuario intenta acceder a los Sitios Web a través de la infraestructura de publicación de ISA Server, obtiene el Error Code: 500 Internal Server Error. The target principal name is incorrect. (-2146893022), como se muestra en la siguiente pantalla capturada de ejemplo.

Quizás, lo más curioso de este error, es que si configuramos la regla de publicación de ISA Server para que se conecte con los IIS utilizando HTTP, todo funciona correctamente, es decir, el usuario se conecta a través de Internet con SSL (como debe ser), y la comunicación entre ISA Server y los servidores web internos es a través de HTTP en la DMZ, y además, no hay errores. Bueno, ya tenemos un WorkAround (en español, ñapa ;-).

Sin embargo, si necesitamos que la comunicación entre ISA Server y los servidores web sea segura (HTTPS), entonces ¿Qué hacemos? ¿Cómo corregimos este error?

Sorprendentemente, la solución a este error consiste en modificar el fichero HOST en los servidores ISA Server, para añadir una nueva entrada que relacione la dirección IP de los Servidores IIS que estamos publicando, con el nombre completo DNS utilizado en la publicación y asociado al certificado.

Vamos a poner un ejemplo. Publicamos a través de ISA Server una Aplicación Web, que es accesible en Internet a través de la URL https://extranet.guillesql.es. Evidentemente, en los servidores DNS de Internet, el nombre o alias extranet.guillesql.es apuntará a la dirección IP de la patita externa de los servidores ISA, siendo dicha dirección IP la utilizada en el Web Listener utilizado en ISA Server, al que hemos asociado el certificado correspondiente a *.guillesql.es (esto es, un certificado Wildcard).

A su vez, existe una regla de publicación, que publica el contenido de un Sitio Web en IIS. Dicho contenido, está hospedado en dos Servidores IIS, que comparten una misma dirección IP a través del Balanceo de Carga NLB de Windows Server 2003. En nuestro caso, la dirección IP del NLB que hospeda la Aplicación Web es 10.0.0.7 (por poner algo).

Con todo esto sobre la mesa, el Plan de Acción es el siguiente:

  • Modificar el fichero Hosts en todos los servidores ISA Server, para relacionar la dirección IP 10.0.0.7 con el nombre extranet.guillesql.es. Es necesario que los servidores ISA resuelvan el nombre del certificado utilizado en los IIS, con la dirección IP utilizada en la publicación. En caso contrario, error 500 al canto.
  • Reiniciar el servicio Firewall de los ISA Server. No es imprescindible, pero en función de lo que podamos haber tocado antes, podemos encontrarnos que los cambios realizados no tomen correctamente efecto hasta reiniciar el servicio Firewall de los ISA Server. Al menos esto me ha ocurrido con ISA Server 2004 Enterprise. Si estamos haciendo pruebas con algún navegador, cerrar el navegador y volver a abrirlo. El que avisa no es traidor...

Ya tá. Fácil y sencillo ;-)

Esta misma solución (modificar los ficheros HOSTS de los ISA Server), también me ha servido en el escenario de servidores ISA Server con un certificado normal (ej: extranet.guillesql.es), y los servidores web también, utilizando ambos (ISA Server e IIS) el mismo certificado digital. En esta ocasión, si no disponemos de una correcta resolución de nombres, el error es otro : Error code: 12206. Background: The page you requested could not be reached. Al menos, en ISA Server 2004 (con ISA Server 2006 no recuerdo el error).

Otro caso en el que me he encontrado el Error Code: 500 Internal Server Error. The target principal name is incorrect. (-2146893022), ha sido cuando estaban utilizando certificados Wildcard los servidos Web internos, es decir, los que estamos publicando. En este escenario, la solución, es utilizar certificados convencionales en los servidores web internos (ej: extranet.guillesql.es), y los certificados Wildcard, sólo en los ISA Server (o sin utilizar certificados Wildcard). Tras cambiar el certificado Wildcard de los IIS por un certificado convencional, es recomendable (de nuevo) reiniciar el servicio Firewall de los ISA Server.

Por último, hace un par de días, me encontré con una página de Microsoft en la que se indicaba el hecho de tener que modificar el fichero HOSTS. Os paso la URL: Create the HOSTS File Entries on the ISA Server 2004 Firewall. Para ISA Server 2006, también aplica.

Seguí buscando, y existe una KB de Microsoft, pero la verdad, es que no es muy explícita. Se trata de la KB 841664, y bueno, yo ahora la leo y está claro, pero si fuese más directa y sugiriese modificar el fichero HOSTS, pues mejor.

Otro enlace de Microsoft al respecto: Troubleshooting SSL Certificates in ISA Server 2004 Publishing.

Y poco más. Hasta aquí hemos llegado por hoy. Espero os sirva.


[Fecha del Artículo (UTC): 17/07/2009]
[Autor: GuilleSQL]



Escribir un Comentario

Para poder escribir un comentario, debe Iniciar Sesión con un usuario.

Si no dispone de un usuario, puede Registrarse y hacerse miembro.

Si dispone de un usuario, pero no recuerda sus credenciales de acceso, puede Restablecer su Contraseña.

Miembros de
Miembros de GITCA (Global IT Community Association)

Menu de Usuario
  Iniciar Sesión
  Registrarse
  Restablecer Contraseña
  Ventajas de Registrarse

Acerca de
  Contigo desde Oct 2007
  771 usuarios registrados
  86146 pageloads/mes
  Ranking Alexa 498160

Social Networks
Sigue a Portal GuilleSQL en Linkedin !!
Sigue a Portal GuilleSQL en Twitter !!



Archivo

Julio de 2018 (1)
Junio de 2018 (4)
Mayo de 2018 (5)
Abril de 2018 (3)
Marzo de 2018 (2)
Febrero de 2018 (7)
Enero de 2018 (1)
Diciembre de 2017 (15)
Noviembre de 2017 (7)
Junio de 2017 (3)
Mayo de 2017 (1)
Marzo de 2017 (3)
Enero de 2017 (4)
Junio de 2016 (1)
Mayo de 2016 (2)
Abril de 2016 (2)
Septiembre de 2015 (2)
Agosto de 2015 (2)
Junio de 2015 (10)
Mayo de 2015 (4)
Abril de 2015 (8)
Marzo de 2015 (11)
Octubre de 2014 (3)
Septiembre de 2014 (7)
Agosto de 2014 (5)
Julio de 2014 (2)
Mayo de 2014 (4)
Abril de 2014 (4)
Marzo de 2014 (4)
Febrero de 2014 (1)
Enero de 2014 (5)
Diciembre de 2013 (8)
Noviembre de 2013 (2)
Octubre de 2013 (7)
Septiembre de 2013 (6)
Agosto de 2013 (1)
Julio de 2013 (6)
Junio de 2013 (11)
Mayo de 2013 (7)
Abril de 2013 (6)
Febrero de 2013 (5)
Enero de 2013 (7)
Diciembre de 2012 (12)
Noviembre de 2012 (13)
Octubre de 2012 (5)
Septiembre de 2012 (3)
Agosto de 2012 (6)
Julio de 2012 (4)
Junio de 2012 (1)
Mayo de 2012 (2)
Abril de 2012 (7)
Marzo de 2012 (16)
Febrero de 2012 (9)
Enero de 2012 (5)
Diciembre de 2011 (10)
Noviembre de 2011 (10)
Octubre de 2011 (4)
Septiembre de 2011 (5)
Agosto de 2011 (2)
Julio de 2011 (2)
Junio de 2011 (4)
Mayo de 2011 (2)
Abril de 2011 (6)
Marzo de 2011 (4)
Febrero de 2011 (10)
Enero de 2011 (5)
Diciembre de 2010 (6)
Noviembre de 2010 (4)
Octubre de 2010 (8)
Septiembre de 2010 (4)
Agosto de 2010 (1)
Julio de 2010 (3)
Mayo de 2010 (5)
Abril de 2010 (6)
Marzo de 2010 (8)
Febrero de 2010 (3)
Enero de 2010 (1)
Diciembre de 2009 (9)
Noviembre de 2009 (14)
Octubre de 2009 (2)
Septiembre de 2009 (8)
Agosto de 2009 (2)
Julio de 2009 (10)
Junio de 2009 (9)
Mayo de 2009 (10)
Abril de 2009 (9)
Marzo de 2009 (3)
Febrero de 2009 (2)
Enero de 2009 (3)
Noviembre de 2008 (2)
Octubre de 2008 (2)
Septiembre de 2008 (2)
Agosto de 2008 (5)
Julio de 2008 (5)
Junio de 2008 (1)
Mayo de 2008 (3)
Abril de 2008 (2)
Marzo de 2008 (2)
Febrero de 2008 (2)
Enero de 2008 (5)
Noviembre de 2007 (2)
Octubre de 2007 (2)






Esta información se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This information is provided "AS IS" with no warranties, and confers no rights.

Copyright © 2007 GuilleSQL, todos los derechos reservados.
GuilleSQL.com y GuilleSQL.net son también parte de Portal GuilleSQL.

Visitas recibidas (Page Loads) en GuilleSQL (fuente: StatCounter):

screen resolution stats
Visitas