azubaer
Goto Top

Kniffliges HTTP zu HTTPS Weiterleitungsproblem für OWA-Freigabe im ISA 2006

Hallo,
also wir haben seit einigen Tagen ein ziemlich kniffliges Problem.
Erst einmal die Eckdaten:
- Ein Webserver mit IIS 6, ein Exchange 2003 SP2, ein ISA 2006 - alles auf Windows 2003 SP1
- Der Webserver und Exchange hosten mehrere Internet-Domains zum Mailversand und Webseitenbetrieb. Es gibt neben Domains eine Hauptdomain auf die alle Nebendomains zum OWA-Zugriff nach untenstehender Weiterleitungs-Methodik verweisen. Es gibt den OWA nur auf einer Domain um nur ein öffentliches SSL-Zertifikat kaufen zu müssen. (Also: http://mail.domainname1.de und http://mail.domain2.de leiten weiter auf https://mail.hauptdomain.de/exchange)
- Auf dem Exchange ist OWA, RPC/HTTPS, OMA und Exchange ActiveSync komplett funktionsfähig konfiguriert
- Die Freigaben wurden über den ISA realisiert. Für OWA, RPC/HTTPS, OMA und Exchange ActiveSync existiert jeweils eine eigene Richtlinie. Alle Webseiten haben die Subdomain www, unter Subdomain mail erreicht man per HTTPS das OWA Interface und den RPC (https://mail.hauptdomainname.de). OMA und Exchange Active Sync nutzen die jeweils dritte Subdomain mobile (mobile.hauptdomain.de).
- Die Subdomains mail und www teilen (Port 80 und 443) sich im ISA eine der vorhandenen öffentlichen IP-Adressen. Die andere nimmt "mobile.hauptdomain.de" für OMA und ActiveSync ein.
- Da der erste der beiden Listener durch Verwendung von Port 80 UND 443 für mail und www KEINE automatische Umleitung von HTTP-Anfragen auf HTTPS unterstützen kann, wurde eine Redirect-Regel am ISA eingepflegt die alle "mail"-HTTP-Anfragen (http://mail.domainnameX.de) annimmt und über eine auf einem Webserver gespeicherte ASP-Seite an die eigentliche veröffentlichte OWA-URL https://mail.hauptdomain.net/exchange umleitet.

Nochmal: Wie bereits erwähnt gibt es mehrere Domains (http://mail.domainname1.de), http://mail.domainname2.de) die durch eine ISA-Regel mit Hilfe eins ASP-Redirects auf die Exchange-URL der Hauptdomain leiten (https://mail.hauptdomain.de/exchange) damit die User keine HTTPS und /Exchange-Eingabe machen müssen. (Im Normalfall erfolgt dies über eine automatische HTTPS Umsetzung durch den ISA 2006. Da leider auch der Port 80 für die WWW-Anfragen auf dieser IP benötoigt wird ist dies nicht möglich). Auch diese Art des umleitens funktionierte bislang immer.

Diese Konfiguration ist soweit in Ordnung, und funktioniert auch!

Seit der Implementierung von Exchange ActiveSync und OMA jedoch gibt es folgendes Problem:
Wenn ein Benutzer http://mail.hauptdomain.de eingibt bekommt er von der ASP-Redirect-Seite folgende URL zurück: http://mail.hauptdomain.de/exchange
Der korrekte URL (wie er auch in der ASP Seite korrekt hinterlegt ist) müsste jedoch httpS://mail.hauptdomain.de/exchange lauten.
Der Webserver scheint beim Aufruf der OWA-Hauptdomain eine Adresse in HTTP statt HTTPS anzufordern, was mit Fehler 404 fehlschlägt.
Das interessante ist, dass eine Anfrage an http://mail.domainname1.de jedoch die korrekte Adresse https://mail.hauptdomain.de/exchange (also MIT https) wiedergibt und das obwohl mail.domainname1.de und mail.hauptdomain.de dieselbe ISA-Regel und dasselbe Redirect-ASP-Web verwenden.
Wird aber die OWA-URL https://mail.hauptdomain.de/exchange in der Redirect-ASP-Seite testweise durch eine andere HTTPS-Adresse (zum Beispiel https://signin.ebay.de) ersetzt funktioniert der Redirect mit Aufruf von http://mail.hauptdomain.de korrekt und ich finde mich auf der Ebay-Seite wieder.
Es muss also irgendwo zwischen Webserver (Redirect), ISA und Exchange-Server (Exchange-Webs auf dem Exchange-Server-IIS) liegen. Die einzige Änderung die dort gemacht wurde ist eine Kopie des Exchange Verzeichnisses welche "exchange-oma" genannt wurde (nach Microsoft Anleitung zur Aktivieruzng von OMA und Exchange Active Sync). Andererseits funktionier das Exchange-Web ja, da alle anderen Aufrufe des OWA (über http://mail.domainnameX.de oder direkt über https://mail.hauptdomain.de/exchange) ja funktionieren. Alles was nicht funktioniert ist der Redirekt der Hauptdomain auf die genannte HTTPS-Adresse es OWA...

Hat irgendeiner eine Idee???????????

Content-ID: 53707

Url: https://administrator.de/contentid/53707

Ausgedruckt am: 22.11.2024 um 05:11 Uhr