12
OWA SSL Protokoll Error
Hallo zusammen,
ich bin neu hier, sowie im Beruf des Informatikers. Vor einigen Monaten habe ich nach meiner Ausbildung die IT eines kleinen Unternehmens übernommen.
Das läuft auch alles sehr gut, da ich viele Freiheiten habe und an vielem "basteln" und ausprobieren kann und mir so Wissen aufbauen kann.
Manchmal komme ich aber, wie in diesem Fall, einfach nicht weiter und habe außer Google halt auch niemandem zum Fragen, weshalb ich es hier versuchen will.
Ich will, dass OWA von extern über remote.COMPANY.de erreichbar ist. Soweit ich weiß, habe ich alles richtig eingestellt, nur bekomme ich im Browser nur die Meldung:
Die Webseite kann keine sichere Verbindung bereitstellen.
remote.COMPANY.de hat eine ungültige Antwort gesendet.
ERR_SSL_PROTOCOL_ERROR
Die Subdomain zeigt auf die öffentliche IP Adresse des Unternehmens. Bei der Firewall ist der HTTPS Port für den Exchange offen. Der Exchange besitzt auch ein gültiges Zertifikat für *.COMPANY.de. Zudem ist OWA aus dem internen Netz über remote.COMPANY.de erreichbar und das Zertifikat wird auch übermittelt, funktioniert also einwandfrei. Nur von extern kommt es zu dem oben beschriebenem Fehler.
Hab ich was vergessen oder habt ihr Tipps, an welchen Stellen ich noch nachschauen kann oder wie ich das Problem eingrenzen kann?
Danke schonmal im Voraus,
Finn
ich bin neu hier, sowie im Beruf des Informatikers. Vor einigen Monaten habe ich nach meiner Ausbildung die IT eines kleinen Unternehmens übernommen.
Das läuft auch alles sehr gut, da ich viele Freiheiten habe und an vielem "basteln" und ausprobieren kann und mir so Wissen aufbauen kann.
Manchmal komme ich aber, wie in diesem Fall, einfach nicht weiter und habe außer Google halt auch niemandem zum Fragen, weshalb ich es hier versuchen will.
Ich will, dass OWA von extern über remote.COMPANY.de erreichbar ist. Soweit ich weiß, habe ich alles richtig eingestellt, nur bekomme ich im Browser nur die Meldung:
Die Webseite kann keine sichere Verbindung bereitstellen.
remote.COMPANY.de hat eine ungültige Antwort gesendet.
ERR_SSL_PROTOCOL_ERROR
Die Subdomain zeigt auf die öffentliche IP Adresse des Unternehmens. Bei der Firewall ist der HTTPS Port für den Exchange offen. Der Exchange besitzt auch ein gültiges Zertifikat für *.COMPANY.de. Zudem ist OWA aus dem internen Netz über remote.COMPANY.de erreichbar und das Zertifikat wird auch übermittelt, funktioniert also einwandfrei. Nur von extern kommt es zu dem oben beschriebenem Fehler.
Hab ich was vergessen oder habt ihr Tipps, an welchen Stellen ich noch nachschauen kann oder wie ich das Problem eingrenzen kann?
Danke schonmal im Voraus,
Finn
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1988482681
Url: https://administrator.de/contentid/1988482681
Printed on: April 25, 2024 at 13:04 o'clock
12 Comments
Latest comment
Moin,
ist es denn ein öffentliches oder ein selbst signiertes Zertifikat?
Und was genau meinst du mit "offenen SSL Port"? Was für eine Firewall ist im Einsatz und wie hast du darüber den Exchange veröffentlicht?
Gruß
ist es denn ein öffentliches oder ein selbst signiertes Zertifikat?
Und was genau meinst du mit "offenen SSL Port"? Was für eine Firewall ist im Einsatz und wie hast du darüber den Exchange veröffentlicht?
Gruß
Hallo,
der Fehler könnte bedeuten, dass die Gegenseite kein HTTPs ist.
Also z.B. nur HTTP oder was ganz anderes.
HTTPs Port ist offen?
Also ist Port TCP 443 auf die IP des Exchange weitergeleitet?
Stefan
der Fehler könnte bedeuten, dass die Gegenseite kein HTTPs ist.
Also z.B. nur HTTP oder was ganz anderes.
HTTPs Port ist offen?
Also ist Port TCP 443 auf die IP des Exchange weitergeleitet?
Stefan
Hallo,
welche Exchange-Version hast Du da laufen? Ich vermute hier was älteres wie auf einem SBS2011, richtig?
cu,
ipzipzap
welche Exchange-Version hast Du da laufen? Ich vermute hier was älteres wie auf einem SBS2011, richtig?
cu,
ipzipzap
Moin...
was hast du den für einen exchange genau? ich hoffe doch keinen SBS2011... oder ähnlich
wenn ich Lese:
aber nun gut! der port 443 also dein HTTPS Port ist nicht nur offen, sondern hat bestimmt auch ein Port Forwarding zum Exchange!
das ist nicht schön, da sollte besser ein Proxy etc.. zwischen!
wenn du keine Firewall mit Proxy hast, nutze doch den Free LoadMaster Load Balancer vomn Kemp!
Free LoadMaster Load Balancer
Free Reverse Proxy for Microsoft Exchange
der sollte für den anfang reichen!
anbei noch eine Setup Hilfe, für angehende Exchange Admins
Howto: Exchange 2019 und Kemp Loadmaster mit ESP
schreib uns mal deine Exchange version, dann wissen wir mehr, und du bekommst eine passende URL config!
und wenn es hart auf hart kommt, darfst du mich auch anrufen
Frank
was hast du den für einen exchange genau? ich hoffe doch keinen SBS2011... oder ähnlich
wenn ich Lese:
Ich will, dass OWA von extern über remote.COMPANY.de erreichbar ist.
undVor einigen Monaten habe ich nach meiner Ausbildung die I.....
undBei der Firewall ist der HTTPS Port für den Exchange offen...
denke ich mir.... der hat nix gelernt, oder nicht aufgepasst!aber nun gut! der port 443 also dein HTTPS Port ist nicht nur offen, sondern hat bestimmt auch ein Port Forwarding zum Exchange!
das ist nicht schön, da sollte besser ein Proxy etc.. zwischen!
wenn du keine Firewall mit Proxy hast, nutze doch den Free LoadMaster Load Balancer vomn Kemp!
Free LoadMaster Load Balancer
Free Reverse Proxy for Microsoft Exchange
der sollte für den anfang reichen!
anbei noch eine Setup Hilfe, für angehende Exchange Admins
Howto: Exchange 2019 und Kemp Loadmaster mit ESP
schreib uns mal deine Exchange version, dann wissen wir mehr, und du bekommst eine passende URL config!
Manchmal komme ich aber, wie in diesem Fall, einfach nicht weiter und habe außer Google halt auch niemandem zum Fragen, weshalb ich es hier versuchen will.
natürlich hast du uns zum Fragen, also du bist nicht alleine...und wenn es hart auf hart kommt, darfst du mich auch anrufen
Frank
1
Guten Morgen,
einmal ein Update: Ich habe gestern noch selber ein wenig rumprobiert und mit euren Ansätzen herausgefunden wo mein Problem ist. Wir haben noch einen weiteren Webserver im internen Netz, der unter ticket.COMPANY.de (Ticketsystem) erreichbar ist. Mein Fehler ist, dass ich dachte, die Firewall "öffnet" nur die Ports für bestimmte Server. Es ist ja aber, wie ihr schon gesagt habt eine Weiterleitung. Es besteht halt bereits eine Weiterleitung von HTTPS Anfragen zum Ticketsystemserver. Somit erklärt sich für mich auch das komplette Verhalten. Ich hatte nur an der falschen Stelle gesucht und war zu fixiert auf die Zertifikate.
Als Firewall haben wir eine Securepoint UTM. Ich muss mich jetzt definitiv erstmal gründlich in das Thema Firewalls und Proxys einlesen. Wie ich das jetzt erstmal gesehen habe ist dieser auch bereits in der Firewall mit drinnen.
Vielen Dank für die Hilfe!
Finn
einmal ein Update: Ich habe gestern noch selber ein wenig rumprobiert und mit euren Ansätzen herausgefunden wo mein Problem ist. Wir haben noch einen weiteren Webserver im internen Netz, der unter ticket.COMPANY.de (Ticketsystem) erreichbar ist. Mein Fehler ist, dass ich dachte, die Firewall "öffnet" nur die Ports für bestimmte Server. Es ist ja aber, wie ihr schon gesagt habt eine Weiterleitung. Es besteht halt bereits eine Weiterleitung von HTTPS Anfragen zum Ticketsystemserver. Somit erklärt sich für mich auch das komplette Verhalten. Ich hatte nur an der falschen Stelle gesucht und war zu fixiert auf die Zertifikate.
Als Firewall haben wir eine Securepoint UTM. Ich muss mich jetzt definitiv erstmal gründlich in das Thema Firewalls und Proxys einlesen. Wie ich das jetzt erstmal gesehen habe ist dieser auch bereits in der Firewall mit drinnen.
denke ich mir.... der hat nix gelernt, oder nicht aufgepasst!
Das stimmt halt leider, mein Ausbildungsbetrieb war der letzte Dreck, wo ich 2 Jahre nur 1st Lvl machen durfte und sonst auch wirklich garnichts lernen konnte. Meine einzige Wissensquelle war die Berufsschule und da lernt man oft nur die Theorie. Ich bin also blutiger Anfänger. Jetzt erst kann ich ein komplettes kleines Netzwerk alleine administrieren und hab alleine im ersten Monat mehr gelernt, als in der ganzen Ausbildung, angefangen mit Routing & Switching, letztens hab ich dann GPO für mich entdeckt und nun ist eben die Firewall & Proxy dran, da fehlt mir echt einiges an Wissen und Erfahrung.was hast du den für einen exchange genau? ich hoffe doch keinen SBS2011... oder ähnlich
Ne, nicht ganz so schlimm, ist schon ein Exchange Server 2016 Vielen Dank für die Hilfe!
Finn
Hallo nochmal,
leider muss ich mich nochmal melden. Ich habe mich jetzt in das Thema Firewalls und den Reverse Proxy eingearbeitet und es ist meines Wissens nach alles eingerichtet. Ich habe mich dabei an folgende Anleitung gehalten und es genau so eingerichtet: Securepoint: OWA über Reverse Proxy. Leider kommt es weiterhin zu genau dem Fehler wie ganz am Anfang.
leider muss ich mich nochmal melden. Ich habe mich jetzt in das Thema Firewalls und den Reverse Proxy eingearbeitet und es ist meines Wissens nach alles eingerichtet. Ich habe mich dabei an folgende Anleitung gehalten und es genau so eingerichtet: Securepoint: OWA über Reverse Proxy. Leider kommt es weiterhin zu genau dem Fehler wie ganz am Anfang.
ist es denn ein öffentliches oder ein selbst signiertes Zertifikat?
Ein öffentliches Wildcard Zertifikat (*.COMPANY.de)Und was genau meinst du mit "offenen SSL Port"? Was für eine Firewall ist im Einsatz und wie hast du darüber den Exchange veröffentlicht?
Es handelt sich um eine Securepoint UTM
Moin...
warum stellst du regel 42 nicht auf Aktiv? ich nehme an, es ist der Exchange... oder?
Frank
Zitat von @finn.h:
Hallo nochmal,
leider muss ich mich nochmal melden. Ich habe mich jetzt in das Thema Firewalls und den Reverse Proxy eingearbeitet und es ist meines Wissens nach alles eingerichtet. Ich habe mich dabei an folgende Anleitung gehalten und es genau so eingerichtet: Securepoint: OWA über Reverse Proxy. Leider kommt es weiterhin zu genau dem Fehler wie ganz am Anfang.
Hallo nochmal,
leider muss ich mich nochmal melden. Ich habe mich jetzt in das Thema Firewalls und den Reverse Proxy eingearbeitet und es ist meines Wissens nach alles eingerichtet. Ich habe mich dabei an folgende Anleitung gehalten und es genau so eingerichtet: Securepoint: OWA über Reverse Proxy. Leider kommt es weiterhin zu genau dem Fehler wie ganz am Anfang.
ist es denn ein öffentliches oder ein selbst signiertes Zertifikat?
Ein öffentliches Wildcard Zertifikat (*.COMPANY.de)Und was genau meinst du mit "offenen SSL Port"? Was für eine Firewall ist im Einsatz und wie hast du darüber den Exchange veröffentlicht?
Es handelt sich um eine Securepoint UTMwarum stellst du regel 42 nicht auf Aktiv? ich nehme an, es ist der Exchange... oder?
Frank
Moin,
ok, hab ich jetzt aktiv, aber es gibt noch eine andere Regel, die HTTPS aus dem internal-network, wo ja der Exchange mit drin ist, öffnet. Der andere Webserver ticket.COMPANY.de ist ja auch von außen erreichbar.
Gruß
Finn
ok, hab ich jetzt aktiv, aber es gibt noch eine andere Regel, die HTTPS aus dem internal-network, wo ja der Exchange mit drin ist, öffnet. Der andere Webserver ticket.COMPANY.de ist ja auch von außen erreichbar.
Gruß
Finn
Moin..
es macht in meinen augen keinen sinn, dein regelwerk zu posten, ruf doch bitte bei Securepoint an, und frage nach support! im zweifel machen wir mehr falsch, weil wir nicht alles wissen über das regelwerk.
Gruß
Finn
Frank
Zitat von @finn.h:
Moin,
ok, hab ich jetzt aktiv, aber es gibt noch eine andere Regel, die HTTPS aus dem internal-network, wo ja der Exchange mit drin ist, öffnet. Der andere Webserver ticket.COMPANY.de ist ja auch von außen erreichbar.
wir sehen nicht, was wo in welchen regeln drin ist!Moin,
ok, hab ich jetzt aktiv, aber es gibt noch eine andere Regel, die HTTPS aus dem internal-network, wo ja der Exchange mit drin ist, öffnet. Der andere Webserver ticket.COMPANY.de ist ja auch von außen erreichbar.
es macht in meinen augen keinen sinn, dein regelwerk zu posten, ruf doch bitte bei Securepoint an, und frage nach support! im zweifel machen wir mehr falsch, weil wir nicht alles wissen über das regelwerk.
Gruß
Finn
Moin,
so war das nicht gemeint, ich wollte nicht das Regelwerk posten und damit sagen "schaut da mal rüber".
Ich habe das einfach nur auf die folgende Frage von ArnoNymous geantwortet, wie der Exchange auf der Firewall veröffentlicht ist (hätte ich dazuschreiben sollen).
Ich denke nicht, dass die Firewallregeln an dem Fehler schuld sind, wie ich das sehe geht die Verbindung ja durch, bekommt nur vom Exchange eine ungültige Antwort oder macht das Sinn in dem Fall mal den Securepoint Support anzufragen? Für mich ergibt das erstmal wenig Sinn.
Gibt es denn keine Möglichkeit das Problem weiter einzugrenzen/bestimmte Sachen auszuschließen? Gibt es eine Möglichkeit im Browser zu sehen, was genau schief gegangen ist? Gibt es vielleicht eine Möglichkeit am Exchange nachzuschauen, wie auf die Anfragen reagiert wurde?
Ich tu mich schwer damit, jetzt einfach aufzugeben ...
Gruß
Finn
so war das nicht gemeint, ich wollte nicht das Regelwerk posten und damit sagen "schaut da mal rüber".
Ich habe das einfach nur auf die folgende Frage von ArnoNymous geantwortet, wie der Exchange auf der Firewall veröffentlicht ist (hätte ich dazuschreiben sollen).
Was für eine Firewall ist im Einsatz und wie hast du darüber den Exchange veröffentlicht?
Ich denke nicht, dass die Firewallregeln an dem Fehler schuld sind, wie ich das sehe geht die Verbindung ja durch, bekommt nur vom Exchange eine ungültige Antwort oder macht das Sinn in dem Fall mal den Securepoint Support anzufragen? Für mich ergibt das erstmal wenig Sinn.
Gibt es denn keine Möglichkeit das Problem weiter einzugrenzen/bestimmte Sachen auszuschließen? Gibt es eine Möglichkeit im Browser zu sehen, was genau schief gegangen ist? Gibt es vielleicht eine Möglichkeit am Exchange nachzuschauen, wie auf die Anfragen reagiert wurde?
Ich tu mich schwer damit, jetzt einfach aufzugeben ...
Gruß
Finn
Moin...
deine Zeit will ja auch bezahlt werden!
Gibt es denn keine Möglichkeit das Problem weiter einzugrenzen/bestimmte Sachen auszuschließen? Gibt es eine Möglichkeit im Browser zu sehen, was genau schief gegangen ist? Gibt es vielleicht eine Möglichkeit am Exchange nachzuschauen, wie auf die Anfragen reagiert wurde?
natürlich... dazu hat der exchange2016 (wie jeder Server)Event Logs´s etc...
Ich tu mich schwer damit, jetzt einfach aufzugeben ...
also wenn du den support anrufst, hat das nix mit aufgeben zu tun!
Gruß
Finn
Frank
Zitat von @finn.h:
Moin,
so war das nicht gemeint, ich wollte nicht das Regelwerk posten und damit sagen "schaut da mal rüber".
Ich habe das einfach nur auf die folgende Frage von ArnoNymous geantwortet, wie der Exchange auf der Firewall veröffentlicht ist (hätte ich dazuschreiben sollen).
Ich denke nicht, dass die Firewallregeln an dem Fehler schuld sind, wie ich das sehe geht die Verbindung ja durch, bekommt nur vom Exchange eine ungültige Antwort oder macht das Sinn in dem Fall mal den anzufragen? Für mich ergibt das erstmal wenig Sinn.
also wenn du nicht sicher bist, ob dein Regelwerk richtig ist, wäre der Securepoint Support die erste anlaufstelle!Moin,
so war das nicht gemeint, ich wollte nicht das Regelwerk posten und damit sagen "schaut da mal rüber".
Ich habe das einfach nur auf die folgende Frage von ArnoNymous geantwortet, wie der Exchange auf der Firewall veröffentlicht ist (hätte ich dazuschreiben sollen).
Was für eine Firewall ist im Einsatz und wie hast du darüber den Exchange veröffentlicht?
Ich denke nicht, dass die Firewallregeln an dem Fehler schuld sind, wie ich das sehe geht die Verbindung ja durch, bekommt nur vom Exchange eine ungültige Antwort oder macht das Sinn in dem Fall mal den anzufragen? Für mich ergibt das erstmal wenig Sinn.
deine Zeit will ja auch bezahlt werden!
Gibt es denn keine Möglichkeit das Problem weiter einzugrenzen/bestimmte Sachen auszuschließen? Gibt es eine Möglichkeit im Browser zu sehen, was genau schief gegangen ist? Gibt es vielleicht eine Möglichkeit am Exchange nachzuschauen, wie auf die Anfragen reagiert wurde?
C:\inetpub\logs\LogFiles\" C:\Program Files\Microsoft\Exchange Server\V15\Logging\C:\Program Files\Microsoft\Exchange Server\V15\Bin\Search\Ceres\Diagnostics\ETLTraces\C:\Program Files\Microsoft\Exchange Server\V15\Bin\Search\Ceres\Diagnostics\LogsIch tu mich schwer damit, jetzt einfach aufzugeben ...
Gruß
Finn
Frank
