17
OWA mit ISA 2006
Hallo, ich hoffe ihr könnt mir helfen.
Ich versuche OWA über ISA 2006 zu veröffentlichen.
Folgendes Szenario:
ISA Server mit 2 Netzwerkkarten. 1 mal DMZ und 1 mal Internet Netzwerk.
Es soll mal eine INternetseite https://meinefirma.de mit dem Port 443 auf die IP des ISA Servers in der DMZ umgeleitet werden und der soll das ganze dann zum Exchange Server im Internen Netz weiterleiten.
Aber zum testen habe ich einen Testrechner und in die Hostsdatei meinefirma.de auf den ISA Server in der DMZ umgeleitet.
Ich habe eine OWA Firewallregel erstellt (zum test ohne HTTPS - nur mit HTTP).
Sobald ich auf dem Testrechner die seite http://meinefirma.de eingebe kommt im Log des ISA - dass http von dem Rechner geblockt habe. Also habe ich eine Firewallregel erstellt die von DMZ zu lokaler Host http erlaubt.
Also nochmals im Browser http://meinefirma.de eingetragen und im Log des ISA kommt nun eine initierte HTTP anfrage an - aber das wars auch.
Was hab ich da falsch eingestellt?
Ich versuche OWA über ISA 2006 zu veröffentlichen.
Folgendes Szenario:
ISA Server mit 2 Netzwerkkarten. 1 mal DMZ und 1 mal Internet Netzwerk.
Es soll mal eine INternetseite https://meinefirma.de mit dem Port 443 auf die IP des ISA Servers in der DMZ umgeleitet werden und der soll das ganze dann zum Exchange Server im Internen Netz weiterleiten.
Aber zum testen habe ich einen Testrechner und in die Hostsdatei meinefirma.de auf den ISA Server in der DMZ umgeleitet.
Ich habe eine OWA Firewallregel erstellt (zum test ohne HTTPS - nur mit HTTP).
Sobald ich auf dem Testrechner die seite http://meinefirma.de eingebe kommt im Log des ISA - dass http von dem Rechner geblockt habe. Also habe ich eine Firewallregel erstellt die von DMZ zu lokaler Host http erlaubt.
Also nochmals im Browser http://meinefirma.de eingetragen und im Log des ISA kommt nun eine initierte HTTP anfrage an - aber das wars auch.
Was hab ich da falsch eingestellt?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 78200
Url: https://administrator.de/contentid/78200
Printed on: April 19, 2024 at 21:04 o'clock
17 Comments
Latest comment
Hi batman,
schau dir mal die OWA freigeben an. Allerdings wird es erst ab Punkt 3 interessant.
Grüße
Dani
schau dir mal die OWA freigeben an. Allerdings wird es erst ab Punkt 3 interessant.
Grüße
Dani
Nach genau der Anleitung hab ich s gemacht
moin,
Was für ein Exchange Server benutzt du ? Welche Server werden benutzt, W2k3 ?
Wie sieht das Netzt genau aus?
Ist der Exchange, testrechner und ISA im gleichen Netz ?
Was meinst du mit der OWA Firewallregel; ?
Du musst keine Firewallregel, sondern eine "Webveröffentlichungsregel für Exchange Webzugriff" erstellen.
Wie sieht es mit den Zertifikaten aus ? Ist die Verbindung zwischen ISA und Exchange auf Port 443 also SSL ? wenn ja brauchst du Server Zertifikate.
Wie ist der Listener konfiguriert?
Was sind bei der Regel die Pfade, also wohin darf geroutet/weiter geleitet werden ?
MfG ich
Was für ein Exchange Server benutzt du ? Welche Server werden benutzt, W2k3 ?
Wie sieht das Netzt genau aus?
Ist der Exchange, testrechner und ISA im gleichen Netz ?
Was meinst du mit der OWA Firewallregel; ?
Du musst keine Firewallregel, sondern eine "Webveröffentlichungsregel für Exchange Webzugriff" erstellen.
Wie sieht es mit den Zertifikaten aus ? Ist die Verbindung zwischen ISA und Exchange auf Port 443 also SSL ? wenn ja brauchst du Server Zertifikate.
Wie ist der Listener konfiguriert?
Was sind bei der Regel die Pfade, also wohin darf geroutet/weiter geleitet werden ?
MfG ich
Hallo,
also Exchange ist 2003 das BS ist auch 2003. ISA Server BS 2003 R2 und ISA 2006
Netz INtern: 192.168.110.0
DMZ: 192.168.0.0
ISA Server intern: 192.168.110.18
ISA Server DMZ: 192.168.0.2
Testrechner: 192.168.0.10
ISA hat 2 Netzwerkkarte und ist in beiden Netzen.
Ich meinte dass diese OWA Regel die ich unter Firewallrichtlinien rechts im Punkt Firewallrichtlinienaufgaben erstellt habe. Die steht dann ja bei den Firewallrichtlinien.
Will das erst mal ohne Zertifikate machen. Zum testen ob es überhaupt funktioniert. Daher nur HTTP. Ist ja noch nicht von extern erreichbar.
Listener ist so konfiguriert:
Reiter Netzwerke hab ich DMZ aktiviert
Verbindungen ist HTTP angehakt
Authentifizierung: HTML-Formularauthentifizierung
Das mit den Regeln der Pfade wohin geroutet wird ist mir nicht ganz klar.
In der OWA Veröffentlichungsregel hab ich hinterlegt:
Reiter Bis: Steht der Servername drin, wie er über das Internet Netzwerk erreichbar ist.
Also SERVERNAME.FIRMENNAME.de
Reiter Datenverkehr: HTTP
Aber mir ist nicht klar mit was der beim ISA aus der DMZ ankommen muss und wo ich ihm sagen muss dass er auf die Seite: SERVERNAME.FIRMENNAME.de/exchange routen muss.
also Exchange ist 2003 das BS ist auch 2003. ISA Server BS 2003 R2 und ISA 2006
Netz INtern: 192.168.110.0
DMZ: 192.168.0.0
ISA Server intern: 192.168.110.18
ISA Server DMZ: 192.168.0.2
Testrechner: 192.168.0.10
ISA hat 2 Netzwerkkarte und ist in beiden Netzen.
Ich meinte dass diese OWA Regel die ich unter Firewallrichtlinien rechts im Punkt Firewallrichtlinienaufgaben erstellt habe. Die steht dann ja bei den Firewallrichtlinien.
Will das erst mal ohne Zertifikate machen. Zum testen ob es überhaupt funktioniert. Daher nur HTTP. Ist ja noch nicht von extern erreichbar.
Listener ist so konfiguriert:
Reiter Netzwerke hab ich DMZ aktiviert
Verbindungen ist HTTP angehakt
Authentifizierung: HTML-Formularauthentifizierung
Das mit den Regeln der Pfade wohin geroutet wird ist mir nicht ganz klar.
In der OWA Veröffentlichungsregel hab ich hinterlegt:
Reiter Bis: Steht der Servername drin, wie er über das Internet Netzwerk erreichbar ist.
Also SERVERNAME.FIRMENNAME.de
Reiter Datenverkehr: HTTP
Aber mir ist nicht klar mit was der beim ISA aus der DMZ ankommen muss und wo ich ihm sagen muss dass er auf die Seite: SERVERNAME.FIRMENNAME.de/exchange routen muss.
moin,
Also ist der Exchange im Internen Netzt und nicht im DMZ.
Je nach dem wie du das konfiguriert hast, kannst du eigentlich die HTML-Formularauthentifizierung im Listener abstellen, weil sonst du dich 2 mal Anmelden musst einmal am ISA und einmal am Exchange.
Bei der Firewall Regel/Webveröffentlichungsregel müssen folgende Sachen je nach dem was du alles benutzen willst, d.h. OWA / Active Sync etc. im Reiter "Pfade" eingetragen sein klick
im Reiter "Bis" müsste es so aussehen wenn dein Server Exchange heißt klick
Beim Namen/IP gibts du den Names des Exchange Servers an, solltest du den Namen eingebn muss der FQDN da stehen also z.B. "exchange.meinefirma.de"
Beim Reiter "Bridging" muss Webserver aktiv sein und "Anforderung an HTTP-Port umleiten 80".
MfG ich
Also ist der Exchange im Internen Netzt und nicht im DMZ.
Je nach dem wie du das konfiguriert hast, kannst du eigentlich die HTML-Formularauthentifizierung im Listener abstellen, weil sonst du dich 2 mal Anmelden musst einmal am ISA und einmal am Exchange.
Bei der Firewall Regel/Webveröffentlichungsregel müssen folgende Sachen je nach dem was du alles benutzen willst, d.h. OWA / Active Sync etc. im Reiter "Pfade" eingetragen sein klick
im Reiter "Bis" müsste es so aussehen wenn dein Server Exchange heißt klick
Beim Namen/IP gibts du den Names des Exchange Servers an, solltest du den Namen eingebn muss der FQDN da stehen also z.B. "exchange.meinefirma.de"
Beim Reiter "Bridging" muss Webserver aktiv sein und "Anforderung an HTTP-Port umleiten 80".
MfG ich
Ist so alles drin. Ich verstehs nicht. Darf ich mal ein paar snapshots posten?
LINKS:
Anwendungseinstellungen:
Authentifizierung:
Bis:
Briding:
Datenverkehr:
Firewallrichtlinie:
Listenerauth:
Listenernetzwerke:
Listenerverbindunge:
Pfade:
[Dani: - 15.01.2008 16:35]
Bitte in Zukunft die Bilder im Beitrag über den entsprechenden Button direkt hochladen (gilt für alle).
LINKS:
Anwendungseinstellungen:
Authentifizierung:
Bis:
Briding:
Datenverkehr:
Firewallrichtlinie:
Listenerauth:
Listenernetzwerke:
Listenerverbindunge:
Pfade:
[Dani: - 15.01.2008 16:35]
Bitte in Zukunft die Bilder im Beitrag über den entsprechenden Button direkt hochladen (gilt für alle).
moin,
Also scheint alles richtig zu sein, außer das bei mir unter dem Reiter "Anwendungseinstellungen" der Eintrag "keine Delegierung, aber direkte Authentifizierung des Clients" gewählt ist.
Wie weit kommt der testrechner denn wenn du OWA aufrufst, unter welcher Adresse rufst du OWA auf ? kommt da ne Fehlerseite ? Wenn ja von wem, ISA oder Exchange.
Und guck mal beim ISA was bei der Protokolierung steht wenn du veruschst OWA aufzurufen.
MfG ich
Also scheint alles richtig zu sein, außer das bei mir unter dem Reiter "Anwendungseinstellungen" der Eintrag "keine Delegierung, aber direkte Authentifizierung des Clients" gewählt ist.
Wie weit kommt der testrechner denn wenn du OWA aufrufst, unter welcher Adresse rufst du OWA auf ? kommt da ne Fehlerseite ? Wenn ja von wem, ISA oder Exchange.
Und guck mal beim ISA was bei der Protokolierung steht wenn du veruschst OWA aufzurufen.
MfG ich
Was soll ich denn bei Anwendungseinstellungen einstellen?
Zum Verständnis. Sollte der ISA also auf der Netzwerkkarte 192.168.0.2 eine HTTP anforderung erhalten wird er diese automatisch auf den Exchangeserver umleiten?
Also wenn ich von dem Testrechner mit dem Internetexplorer auf 192.168.0.2 zugreife kommt erst mal nichts und dann schaltet er auf google um und trägt in die Suchleiste 192.168.0.2 ein.
Ich habe ja auch die Host ein wenig verändert. Ich habe die Internetseite. meinefirma.de auf 192.168.0.2 umgebogen. wenn ich die eingebe
Bei beiden Vorgängen wird im ISA folgendes Protokolliert:
Verweigerte Verbindung:
Typ: Firewalldienst
Regel: Standardregeö
Quelle DMZ: 192.168.0.10
Ziel Lokaler Host: 192.168.0.2
Protokoll HTTP
Wenn ich eine neue Firewallregel erstelle die von DMZ zu lokaer Host HTTP erlaubt kommt im IE des Testrechners eine Fehlerseite: Die Webseite kann nicht angezeigt werden.
Im Log des ISA kommt:
Initiierte Verbindung:
Typ: Firewalldienst
Regel: http
Quelle DMZ 192.168.0.10:41638
Ziel: lokaler Host 192.168.0.2:80
Protokoll HTTP
Als ob (ich als ISA Leihe) er das Routing von dem DMZ Netz nicht ins Interne Netz schafft oder blickt.
Zum Verständnis. Sollte der ISA also auf der Netzwerkkarte 192.168.0.2 eine HTTP anforderung erhalten wird er diese automatisch auf den Exchangeserver umleiten?
Also wenn ich von dem Testrechner mit dem Internetexplorer auf 192.168.0.2 zugreife kommt erst mal nichts und dann schaltet er auf google um und trägt in die Suchleiste 192.168.0.2 ein.
Ich habe ja auch die Host ein wenig verändert. Ich habe die Internetseite. meinefirma.de auf 192.168.0.2 umgebogen. wenn ich die eingebe
Bei beiden Vorgängen wird im ISA folgendes Protokolliert:
Verweigerte Verbindung:
Typ: Firewalldienst
Regel: Standardregeö
Quelle DMZ: 192.168.0.10
Ziel Lokaler Host: 192.168.0.2
Protokoll HTTP
Wenn ich eine neue Firewallregel erstelle die von DMZ zu lokaer Host HTTP erlaubt kommt im IE des Testrechners eine Fehlerseite: Die Webseite kann nicht angezeigt werden.
Im Log des ISA kommt:
Initiierte Verbindung:
Typ: Firewalldienst
Regel: http
Quelle DMZ 192.168.0.10:41638
Ziel: lokaler Host 192.168.0.2:80
Protokoll HTTP
Als ob (ich als ISA Leihe) er das Routing von dem DMZ Netz nicht ins Interne Netz schafft oder blickt.
Mir ist jetzt noch was aufgefallen.
Im Isa Überwachungsfenster Überischt stand ein Ressourcenfehler drin.
Im Eventlog des Server steht folgendes (kann damit nur nichts anfangen:
Der Webproxyfilter konnte das Socket nicht an 192.168.0.2, Port 80 binden. Mglicherweise verwendet ein anderer Dienst bereits diesen Port, oder der Netzwerkadapter funktioniert nicht. Starten Sie den Microsoft-Firewalldienst neu, um diesen Fehler zu beheben. Der Fehlercode im Datenbereich der Ereigniseigenschaften zeigt die Ursache des Fehlers an.
Im Isa Überwachungsfenster Überischt stand ein Ressourcenfehler drin.
Im Eventlog des Server steht folgendes (kann damit nur nichts anfangen:
Der Webproxyfilter konnte das Socket nicht an 192.168.0.2, Port 80 binden. Mglicherweise verwendet ein anderer Dienst bereits diesen Port, oder der Netzwerkadapter funktioniert nicht. Starten Sie den Microsoft-Firewalldienst neu, um diesen Fehler zu beheben. Der Fehlercode im Datenbereich der Ereigniseigenschaften zeigt die Ursache des Fehlers an.
Am besten du stellt wieder die Originale Host Datei her, damit wir da Fehler ausschließen können.
Dann musst auf dem testrechner die IP des ISA-Server eingebn und halt /exchange, also in dem Fall http://192.168.0.2/exchange.
Wenn du dieses eingegeben hast gehst du erstmal auf den ISA-Server port 80, der Listener erkennt das und leitet dich (hier kommt die Webveröffentlichungsregel zum Einsatz) an den Exchange weiter. Der Exchange nimmt die Anfrage an bearbeitet diese, dann musst du dich nochmal am exchange anmelden, und schickt die OWA Seite mit den Daten zum ISA und der ISA wiederrum zu dir.
kannst du vom ISA-Server den Exchange Server auflösen, bzw. die IP oder den Namen auflösen per nslookup ?
hast mal den Server neu gestartet ? könnte auch sein das sich irgendein Prozess des ISA-Server aufgehangen hat, oder die Datenbank, was ich aber net vermute.
MfG ich
Dann musst auf dem testrechner die IP des ISA-Server eingebn und halt /exchange, also in dem Fall http://192.168.0.2/exchange.
Wenn du dieses eingegeben hast gehst du erstmal auf den ISA-Server port 80, der Listener erkennt das und leitet dich (hier kommt die Webveröffentlichungsregel zum Einsatz) an den Exchange weiter. Der Exchange nimmt die Anfrage an bearbeitet diese, dann musst du dich nochmal am exchange anmelden, und schickt die OWA Seite mit den Daten zum ISA und der ISA wiederrum zu dir.
kannst du vom ISA-Server den Exchange Server auflösen, bzw. die IP oder den Namen auflösen per nslookup ?
hast mal den Server neu gestartet ? könnte auch sein das sich irgendein Prozess des ISA-Server aufgehangen hat, oder die Datenbank, was ich aber net vermute.
MfG ich
Also habs gestern noch teilweise hinbekommen.
Der IIS hat den Port 80 für die Standardwebsite für sich beansprucht.
Jetzt tuts ohne SSL.
Muss da noch ein wenig rumbasteln. Wenn ich das ganze mit SSL mache - also auf dem Testrechner die https://meinfirmenname.de/exchange eingebe - dann kommt erst eine Meldung dass das Zertifikat von einer nicht Vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde - was stimmt - da wir das intern gemacht haben und wenn ich dann auf Laden dieser Website fortsetzen klicken kommt:
Die Seite kann nicht angezeigt werden.
Fehlercode: 403 Verboten. Der Server hat die angegebene URL verweigert. Wenden Sie sich an den Serveradministrator. (12202)
Im ISA Log kommt:
Verweigerte Verbindung
Typ: Webproxy (Reverse)
Status 12202 ISA Server hat die angeggebene URL verweigert
Regel: Standardregel
Quelle DMZ (192.168.0.10)
Ziel 192.168.0.2:443
Anforderuing: GET http://mail.FIRMENNAME.com/
Filterinformatione: Req ID: 07814e10; Compression: Client=Yes, server=No, compress rate=0% decompress rate=0%; FBA cookie: exist=no, valid=no, updated=no, logged off=no, client type=unknown, user activity=yes
Progokoll: https
Benutzer: anonymous
Der IIS hat den Port 80 für die Standardwebsite für sich beansprucht.
Jetzt tuts ohne SSL.
Muss da noch ein wenig rumbasteln. Wenn ich das ganze mit SSL mache - also auf dem Testrechner die https://meinfirmenname.de/exchange eingebe - dann kommt erst eine Meldung dass das Zertifikat von einer nicht Vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde - was stimmt - da wir das intern gemacht haben und wenn ich dann auf Laden dieser Website fortsetzen klicken kommt:
Die Seite kann nicht angezeigt werden.
Fehlercode: 403 Verboten. Der Server hat die angegebene URL verweigert. Wenden Sie sich an den Serveradministrator. (12202)
Im ISA Log kommt:
Verweigerte Verbindung
Typ: Webproxy (Reverse)
Status 12202 ISA Server hat die angeggebene URL verweigert
Regel: Standardregel
Quelle DMZ (192.168.0.10)
Ziel 192.168.0.2:443
Anforderuing: GET http://mail.FIRMENNAME.com/
Filterinformatione: Req ID: 07814e10; Compression: Client=Yes, server=No, compress rate=0% decompress rate=0%; FBA cookie: exist=no, valid=no, updated=no, logged off=no, client type=unknown, user activity=yes
Progokoll: https
Benutzer: anonymous
moin,
Also wenn du das mit SSL mach möchtest, musst du den Listener auf SSL einstellen und diesem auch ein Zertifikat ausstellen, also der ISA-Server muss ein gültiges Zertifikat haben.
Der Exchange Server muss ebenso ein gültiges zertifikat haben.
Der hacken dabei ist, der Name des Zertfikats muss dem FQDN des ISA-Servers entsprechen, d.h. der ISA-Server muss ein Serverzertifikat haben mit dem Namen "meinfirmenname.de" (wenn er vom testrechner mit "https://meinefirmenname.de/exchange" ereichbar ist).
Der Exchange muss wiederrum ein Zertifikat haben mit dem FQDN unter dem er von dem ISA-Server erreichbar ist, d.h. wenn der ISA-Server den Exchange unter "https://mail.meinfirmenname.de/exchange" erreicht oder anspricht muss das Serverzertifikat des Exchangeservers "mail.meinfirmenname.de" heißen.
Am bestem ist es wenn in der Webveröffentlichungsregel, in deinem Fall "OWA", unter dem Reiter "Bis" nicht die IP sondern der FQDN des Servers steht, also "mail.meinfiremname.de", weil sonst Fehler bei der Zertifizierung auftreten können.
Wenn du die Zertifikate selber vergibst, z.B. mit dem zertifikatsserver im W2k3 Server, musst du dir das "Stammzellenzertifikat" runterladen, und jeweils in die Server (Exchange und ISA) kopieren/einfügen und zwar unter "Vertrauenswürdige Stammzertifizierungsstellen" des lokalen Computerkontos, und nicht des Benutzerkontos.
Dann werden die Zertifikate auch als Vertrauenwürdig angesehen und sind gültig.
Wie ist denn der IIS konfiguriert, da musst du zur OWA Website ein Zertifikat hinzufügen, und die Windowsintegrierte Anmeldung aktivieren und die annonyme anmeldeung ausschalten.
kannst du vom ISA-Server auf die OWA Seite zugreifen, also wenn du aufm ISA-Server im explorer https://firmenname.de/exchange oder https://mail.firmenname.de (je nach dem unter was er erreichbar ist vom ISA aus) eingibst.
MfG ich
Also wenn du das mit SSL mach möchtest, musst du den Listener auf SSL einstellen und diesem auch ein Zertifikat ausstellen, also der ISA-Server muss ein gültiges Zertifikat haben.
Der Exchange Server muss ebenso ein gültiges zertifikat haben.
Der hacken dabei ist, der Name des Zertfikats muss dem FQDN des ISA-Servers entsprechen, d.h. der ISA-Server muss ein Serverzertifikat haben mit dem Namen "meinfirmenname.de" (wenn er vom testrechner mit "https://meinefirmenname.de/exchange" ereichbar ist).
Der Exchange muss wiederrum ein Zertifikat haben mit dem FQDN unter dem er von dem ISA-Server erreichbar ist, d.h. wenn der ISA-Server den Exchange unter "https://mail.meinfirmenname.de/exchange" erreicht oder anspricht muss das Serverzertifikat des Exchangeservers "mail.meinfirmenname.de" heißen.
Am bestem ist es wenn in der Webveröffentlichungsregel, in deinem Fall "OWA", unter dem Reiter "Bis" nicht die IP sondern der FQDN des Servers steht, also "mail.meinfiremname.de", weil sonst Fehler bei der Zertifizierung auftreten können.
Wenn du die Zertifikate selber vergibst, z.B. mit dem zertifikatsserver im W2k3 Server, musst du dir das "Stammzellenzertifikat" runterladen, und jeweils in die Server (Exchange und ISA) kopieren/einfügen und zwar unter "Vertrauenswürdige Stammzertifizierungsstellen" des lokalen Computerkontos, und nicht des Benutzerkontos.
Dann werden die Zertifikate auch als Vertrauenwürdig angesehen und sind gültig.
Wie ist denn der IIS konfiguriert, da musst du zur OWA Website ein Zertifikat hinzufügen, und die Windowsintegrierte Anmeldung aktivieren und die annonyme anmeldeung ausschalten.
kannst du vom ISA-Server auf die OWA Seite zugreifen, also wenn du aufm ISA-Server im explorer https://firmenname.de/exchange oder https://mail.firmenname.de (je nach dem unter was er erreichbar ist vom ISA aus) eingibst.
MfG ich
O.K. Dann liegts an den Zertifikaten.
Jetzt nochmal zum schlau werden.
Die Internetseite über diei die User auf OWA zugreifen soll lautet: mail.Firmenname.com
Der ISA Server der in der DMS steht hat den FQDN ISA.FIRMENNAME.Firmenname.com
Der Mailserver hat den FQDN FIRMENNAME-EX1.FIRMENNAME.FIRMENNAME.com
Also muss ich ein Zertifikat für den ISA erstellen: isa.firmenname.firmenname.com
Und der Mailserver: FIRMENNAME-EX1.FIRMENNAME.FIRMENNAME.com
???
Ich habs so gemacht - das ich ein Zertifikat erstellt habe und dieses auf ISA und Mailserver importiert. Dies ist aber ausgestellt auf mail.firmenname.com - so wie die INternetseit über das Internet erreichbar ist.
Würde die vorgehensweise dann stimmen?
Jetzt nochmal zum schlau werden.
Die Internetseite über diei die User auf OWA zugreifen soll lautet: mail.Firmenname.com
Der ISA Server der in der DMS steht hat den FQDN ISA.FIRMENNAME.Firmenname.com
Der Mailserver hat den FQDN FIRMENNAME-EX1.FIRMENNAME.FIRMENNAME.com
Also muss ich ein Zertifikat für den ISA erstellen: isa.firmenname.firmenname.com
Und der Mailserver: FIRMENNAME-EX1.FIRMENNAME.FIRMENNAME.com
???
Ich habs so gemacht - das ich ein Zertifikat erstellt habe und dieses auf ISA und Mailserver importiert. Dies ist aber ausgestellt auf mail.firmenname.com - so wie die INternetseit über das Internet erreichbar ist.
Würde die vorgehensweise dann stimmen?
Hm...Also
Die OWA Website soll unter mail.firmenname.com erreichbar sein
1. Exchange Server | 192.168.110.20 | Firmenname-EX1.firmenname.firmenname.com
2. ISA-Server | intern 192.168.110.18 | DMZ 192.168.0.2 | ISA.firmenname.firmenname.com
3. Testrechner | DMZ 192.168.0.10 | Testrechner
Exchange -------intern--------ISA---------dmz----------Testrechner
Jetzt noch eine Verständniss Frage, ist der ISA-Server vom Testrechner unter "ISA.firmenname.firmenname.com" erreichbar und unter "mail.firmenname.com", das ist so korrekt oder ?
Der Exchange muss ein Zertifikat haben mit dem Zertifikatsnamen "Firmenname-EX1.firmenname.firmenname.com".
Der ISA-Server muss ein Zertifikat haben mit dem Zertifikatsnamen "mail.firmename.com"(wenn die Website unter mail.firmenname.com erreichbar sein soll)
Auf dem ISA Server muss bei der Webveröffentlichungsregel "OWA" bei den Eigenschaften unter dem Reiter "Bis" nicht die IP stehen sondern der FQDN des Exchange-Servers also "Firmenname-EX1.firmenname.firmenname.com".
MfG ich
Die OWA Website soll unter mail.firmenname.com erreichbar sein
1. Exchange Server | 192.168.110.20 | Firmenname-EX1.firmenname.firmenname.com
2. ISA-Server | intern 192.168.110.18 | DMZ 192.168.0.2 | ISA.firmenname.firmenname.com
3. Testrechner | DMZ 192.168.0.10 | Testrechner
Exchange -------intern--------ISA---------dmz----------Testrechner
Jetzt noch eine Verständniss Frage, ist der ISA-Server vom Testrechner unter "ISA.firmenname.firmenname.com" erreichbar und unter "mail.firmenname.com", das ist so korrekt oder ?
Der Exchange muss ein Zertifikat haben mit dem Zertifikatsnamen "Firmenname-EX1.firmenname.firmenname.com".
Der ISA-Server muss ein Zertifikat haben mit dem Zertifikatsnamen "mail.firmename.com"(wenn die Website unter mail.firmenname.com erreichbar sein soll)
Auf dem ISA Server muss bei der Webveröffentlichungsregel "OWA" bei den Eigenschaften unter dem Reiter "Bis" nicht die IP stehen sondern der FQDN des Exchange-Servers also "Firmenname-EX1.firmenname.firmenname.com".
MfG ich
Also, bin schon wesentlich weiter - aber es hackt noch ein wenig.
Habe also für den Mailserver ein Zertifikat erstellt: FIRMENNAME-EX1.frimenname.firmenname.com
Habe ein Zertifikat für den ISA erstellt: isa.firmenname.firmenname.com und an den Servern eingespielt. Das tut.
Kann also jetzt wenn ich von meinem Notebook aus firmenname-ey1.firmenname.firmenname.com/exchange eingebe auf das OWA zugreifen per SSL.
Habe dann noch der Zertifikat des Mailserver auf den ISA importiert.
Ich kann im Browser des ISA Servers als firmenname-ex1.firmenname.firmenname.com/exchange eingeben und komme auf das owa per SSL ohne Zertifikatsfehler.
Wenn ich jedoch jetzt von dem Testrechner mail.firmenname.com eingebe - dann kommt erst dass das Zertifikat von einer nicht vertrauenswürdiger steller erstellt wurde - wen ich dann anklicke "Seite trotzdem Laden" kommt sofort die Meldung:
Die Seite kann nicht angezeigt werden.
Fehlercode: 403 Verboten. Der Server hat die angegebene URL verweigert. Wenden Sie sich an den Serveradministrator. (12202)
Das gleiche wenn ich Versuche von Intern über den ISA auf das OWA zu kommen.
Im Log des ISA kommt dann komischerweise:
m ISA Log kommt:
Verweigerte Verbindung
Typ: Webproxy (Reverse)
Status 12202 ISA Server hat die angeggebene URL verweigert
Regel: Standardregel
Quelle DMZ (192.168.0.10)
Ziel 192.168.0.2:443
Anforderuing: GET http://mail.FIRMENNAME.com/
Filterinformatione: Req ID: 07814e10; Compression: Client=Yes, server=No, compress rate=0% decompress rate=0%; FBA cookie: exist=no, valid=no, updated=no, logged off=no, client type=unknown, user activity=yes
Progokoll: https
Benutzer: anonymous
Er wendet also die Standardregel an - die ja alles verbietet. Als ob ich mich irgendwie nicht authentifiziert hab.
Wenn ich im Listener dann unter Authentifizierung auf erweitert gehe und dort dann Authentifizierung ist für alle Benutzer erforderlich aktiviere und das ganze nochmals vom Testrechner aus teste dann erscheint nachdem ich bestätigt habe dass die Seite geladen werden soll obwohl die Seite als nicht sicher gilt die Anmeldemaske vom ISA 2006.
Gebe ich dann DOMÄNE/Benutzer und Passwort ein kommt dann wieder die Meldung:
Seite kann nicht angezeigt werden
ehlercode: 403 Verboten. Der Server hat die angegebene URL verweigert. Wenden Sie sich an den Serveradministrator. (12202)
Und im Log das gleiche wie oben nur als Benutzer: DOMÄNE/MEINBENUTZERNAME
Habe also für den Mailserver ein Zertifikat erstellt: FIRMENNAME-EX1.frimenname.firmenname.com
Habe ein Zertifikat für den ISA erstellt: isa.firmenname.firmenname.com und an den Servern eingespielt. Das tut.
Kann also jetzt wenn ich von meinem Notebook aus firmenname-ey1.firmenname.firmenname.com/exchange eingebe auf das OWA zugreifen per SSL.
Habe dann noch der Zertifikat des Mailserver auf den ISA importiert.
Ich kann im Browser des ISA Servers als firmenname-ex1.firmenname.firmenname.com/exchange eingeben und komme auf das owa per SSL ohne Zertifikatsfehler.
Wenn ich jedoch jetzt von dem Testrechner mail.firmenname.com eingebe - dann kommt erst dass das Zertifikat von einer nicht vertrauenswürdiger steller erstellt wurde - wen ich dann anklicke "Seite trotzdem Laden" kommt sofort die Meldung:
Die Seite kann nicht angezeigt werden.
Fehlercode: 403 Verboten. Der Server hat die angegebene URL verweigert. Wenden Sie sich an den Serveradministrator. (12202)
Das gleiche wenn ich Versuche von Intern über den ISA auf das OWA zu kommen.
Im Log des ISA kommt dann komischerweise:
m ISA Log kommt:
Verweigerte Verbindung
Typ: Webproxy (Reverse)
Status 12202 ISA Server hat die angeggebene URL verweigert
Regel: Standardregel
Quelle DMZ (192.168.0.10)
Ziel 192.168.0.2:443
Anforderuing: GET http://mail.FIRMENNAME.com/
Filterinformatione: Req ID: 07814e10; Compression: Client=Yes, server=No, compress rate=0% decompress rate=0%; FBA cookie: exist=no, valid=no, updated=no, logged off=no, client type=unknown, user activity=yes
Progokoll: https
Benutzer: anonymous
Er wendet also die Standardregel an - die ja alles verbietet. Als ob ich mich irgendwie nicht authentifiziert hab.
Wenn ich im Listener dann unter Authentifizierung auf erweitert gehe und dort dann Authentifizierung ist für alle Benutzer erforderlich aktiviere und das ganze nochmals vom Testrechner aus teste dann erscheint nachdem ich bestätigt habe dass die Seite geladen werden soll obwohl die Seite als nicht sicher gilt die Anmeldemaske vom ISA 2006.
Gebe ich dann DOMÄNE/Benutzer und Passwort ein kommt dann wieder die Meldung:
Seite kann nicht angezeigt werden
ehlercode: 403 Verboten. Der Server hat die angegebene URL verweigert. Wenden Sie sich an den Serveradministrator. (12202)
Und im Log das gleiche wie oben nur als Benutzer: DOMÄNE/MEINBENUTZERNAME
moin,
Also der Zertifikat auf dem ISA Server ist der Falsche, weil du rufst ja beim Testrechner die Seite https://mail.firmenname.com/exchnage auf, somit muss das Zertifikat auf dem ISA Server den selben Namen haben also mail.firmenname.com.
Zur Zeit hast du ja als Zertifikatsnamen isa.firmenname.firmenname.com auf dem ISA-Server.
versuch mal vom Testrechner folgendes, im explorer https://isa.firmenname.firmenname.com/exchange.
Das mit dem Proxyfehler muss ich mir mal bei mir angucken, der sagt mir nix.
MfG ich
Also der Zertifikat auf dem ISA Server ist der Falsche, weil du rufst ja beim Testrechner die Seite https://mail.firmenname.com/exchnage auf, somit muss das Zertifikat auf dem ISA Server den selben Namen haben also mail.firmenname.com.
Zur Zeit hast du ja als Zertifikatsnamen isa.firmenname.firmenname.com auf dem ISA-Server.
versuch mal vom Testrechner folgendes, im explorer https://isa.firmenname.firmenname.com/exchange.
Das mit dem Proxyfehler muss ich mir mal bei mir angucken, der sagt mir nix.
MfG ich
Ach tschuldigung. Keine Ahnung was ich da geschrieben habe.
Der ISA hat das Zertifikat mail.frimenname.de und darüber rufe ich auch mit dem Testrechner das owa auf ...
Somit passt das dann. Aber wie gesagt. Er nimmt dannirgendwann die STandardregel und schmeisst mich raus.
Der ISA hat das Zertifikat mail.frimenname.de und darüber rufe ich auch mit dem Testrechner das owa auf ...
Somit passt das dann. Aber wie gesagt. Er nimmt dannirgendwann die STandardregel und schmeisst mich raus.
