lkaderavek
Goto Top

SBS 2011 - Interne Webseite - externer Zugriff - Seite kann nicht angezeigt werden

Hallo,

ich möchte die Interne Webseite über die Remote-Oberfläche erreichen können.

Leider geht das nur intern über http://companyweb.

Es bringt der Aufruf über remote die Meldung, dass die Seite nicht angezeigt werden kann.

Der Port 987 wird auf den Server umgeleitet.

Bitte um Info.

Danke

LG

Lukas

Content-Key: 229082

Url: https://administrator.de/contentid/229082

Ausgedruckt am: 28.03.2024 um 22:03 Uhr

Mitglied: aqui
aqui 07.02.2014 aktualisiert um 20:11:05 Uhr
Goto Top
Die Beschreibung ist recht oberflächlich und zwingt jedenfalls aus Netzwerksicht zum Raten oder zur Kristallkugel... face-sad
Nur nochmal dumm nachgefragt:
  • Du möchtest von extern (Internet) eine interne Webseite im lokalen LAN erreichen ?
  • Dazu musst du über einen NAT Router der Port Translation macht eingehend TCP 987 auf ausgehend intern TCP 80 HTTP ?
  • Was ist "Remote-Oberfläche" ?? Ist das RDP ?
  • Sprichst du die Seite über die IP oder Hostnamen an ?
TCP 987 ist ein IANA reservierter Port ! http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers wie alle Ports bis 1024.
Für eigene Ports sollte man die freien Ephemeral Ports nutzen von 49152 bis 65535. Allein schon aus Sicherheitsgründen empfiehlt sich das, denn die reservierten Ports sind generell Ziel von Portscannern und machen deinen Host sofort identifizierbar für Angreifer von außen.
Da TCP 987 ein Sharepoint Port ist könntest du auch Sharepoint meinen...?!
Etwas mehr Infos also bitte für eine zielführende Hilfe.
Mitglied: LKaderavek
LKaderavek 07.02.2014 um 20:12:43 Uhr
Goto Top
Also beim Small Business Server gibt es eine Remote-Oberfläche, wo man schnell ins OWA, auf seinen Computer, aufs Filesystem und eben auch auf den Sharepoint kommt.

Das macht man in der Regel von extern, da in der Firma ja die Funktionen auf meinem Client verfügbar sind.

Die Seite wird über den https://remote.deinedomäne.xxx/remote aufgerufen.

Ob das ein reservierter Port ist, weiß ich nicht, Microsoft verwendet ihn jedenfalls für die SharePoint Bindung.
Mitglied: transocean
transocean 07.02.2014 um 20:49:56 Uhr
Goto Top
Moin,

ist der Port 987 im IIS bei den Sitebindungen eingetragen?

Gruß

Uwe
Mitglied: LKaderavek
LKaderavek 07.02.2014 um 20:52:19 Uhr
Goto Top
Ja,

das passiert ja schon beim SBS-Setup.


SBS Sharepoint ist an 987 gebunden.
Mitglied: LKaderavek
LKaderavek 07.02.2014 um 20:53:09 Uhr
Goto Top
Der Aufruf funktioniert ja intern über http://companyweb.

https://companyweb lädt die IIS Startseite
Mitglied: transocean
transocean 07.02.2014 aktualisiert um 20:58:58 Uhr
Goto Top
Wurde in letzter Zeit irgendetwas am SBS geändert?
Mitglied: keine-ahnung
keine-ahnung 07.02.2014 um 21:10:10 Uhr
Goto Top
schon mal probiert?

LG, Thomas
Mitglied: LKaderavek
LKaderavek 07.02.2014 um 21:21:01 Uhr
Goto Top
Neu-Installation, also nichts geändert.
Den KB-Artikel kannte ich noch nicht.

Werde es gleich testen.
Danke.
Mitglied: LKaderavek
LKaderavek 07.02.2014 um 21:32:14 Uhr
Goto Top
Also den KB-Artikel muss ich nicht bearbeiten, denn die Einstellungen sind bereits so.

Der Port der Binding ist eben 987 und die Alternate Access Binding ist ebenfalls auf diesen Port gesetzt.
Mitglied: LKaderavek
LKaderavek 07.02.2014 um 21:33:05 Uhr
Goto Top
Hat niemand, der den SBS 2011 einsetzt dieses Verhalten, also ich habe zur Zeit acht im Einsatz und bei jedem ist das so, egal ob von mir installiert wurde oder von jemand anderen.
Mitglied: aqui
aqui 08.02.2014 aktualisiert um 13:38:46 Uhr
Goto Top
Nöö, funktioniert wunderbar wenn man die richtigen Ports forwardet im NAT Router ! Tip siehe oben...
Ob das ein reservierter Port ist, weiß ich nicht, Microsoft verwendet ihn jedenfalls für die SharePoint Bindung.
Das solltest du aber wissen denn wenn du diesen Port nicht forwardest ist klar das das nicht funktioniert.
Du musst also TCP 80, TCP 443 und TCP 987 im Router auf die lokale IP des Servers forwarden.
Warum bitte nimmst du nicht mal einen Wireshark zur Hand oder für Winblows Knechte den MS Netmonitor und checkst mal ob diese Pakete überhaupt sicher vom NAT Router an den Server geforwardet werden ??
Da siehst du doch auf Schlag schon gleich WO das Problem ist !
Mitglied: keine-ahnung
keine-ahnung 08.02.2014 um 15:41:27 Uhr
Goto Top
Moin,
Das solltest du aber wissen denn wenn du diesen Port nicht forwardest ist klar das das nicht funktioniert.
ich will jetzt nicht klug###en, aber IMHO wird das kein Problem der Portweiterleitung sein, wenn der Aufruf über den "Webarbeitsplatz" erfolgt. Da bist Du schon über :443 durch den Router durch ...und der Aufruf des Sharepoint's sollte vom lokalen Horst erfolgen face-wink.

Ich werde das ganze allerdings bei mir nicht testen --> dieser ganze Remotemist im SBS sieht aus, als wäre das ein Programmmodul, dass die NSA herself gestrickt hat face-wink. Ist für mich ein nogo und inaktiv, nebst eventueller dafür notwendiger Portweiterleitungen.

LG, Thomas
Mitglied: LKaderavek
LKaderavek 08.02.2014 um 15:47:06 Uhr
Goto Top
Also die Ports sind bereits weitergeleitet.
Das funktioniert auch intern nicht.

Also muss entweder etwas mit den Services oder Bindungen nicht passen.

Nachdem ich aber kein Referenz-System habe, kann ich nichts abmalen - wie gesagt hab ich das bei allen SBS 2011.

Was hat denn da die NSA damit zu tun?

Aber egal...für konstruktive Hilfe bin ich dankbar.

LG
Mitglied: keine-ahnung
keine-ahnung 08.02.2014 um 15:55:47 Uhr
Goto Top
Was hat denn da die NSA damit zu tun?
Hab ich doch gesagt, die haben das Modul vermutlich geschrieben - wer sonst hätte Interesse daran, Server mit dem nackten Hintern ins Internet zu stellen face-wink? OK, Stasi, Tscheka, die Araber und der Mossad. Aber sonst doch niemand ...
Aber egal...für konstruktive Hilfe bin ich dankbar.
Gerne: der einzige für mich wirklich konstruktive Weg heisst vernünftiger VPN-Router vor die Büchsen ...

LG, Thomas
Mitglied: transocean
transocean 08.02.2014 um 16:09:47 Uhr
Goto Top
Moin,

ich hab es eben mal hier probiert. Es reicht aus, nur den 443er Port zu öffnen, um von außerhalb auf die Remote-Site zu gelangen. Weiter geht es dann eh über den SBS.
Zusätzlich habe ich auch mal den 987er Port zum SBS hin geöffnet und den 443er wieder dichtgeholt. Mit https://remote.achteraus.de:987 lande ich auf der
SharePoint Site.

Mein SBS befindet sich seit der gefühlt zehnten Neuinstallation vor fast zwei Jahren immer noch im unverbastelten Originalzustand.


Gruß

Uwe
Mitglied: LKaderavek
LKaderavek 08.02.2014 um 17:08:17 Uhr
Goto Top
Mir ist ###egal ob irgendein Geheimdienst der Welt das Modul geschrieben haben.
Wenn ich nicht drauf komm kommen die auch nicht drauf...abgesehen davon ist es mir ###egal...gläsern sind wir schon alle...
Wenn man das nicht will, dann muss man pakistanischer Schafhirte werden!

1. Es liegt NICHT an der Firewall, außerdem kann Portforwarding jeder billige ###-Router, Fortinet ist mit bestimmt nicht billig und mehr als vernünftig!
2. Funktioniert auch der Aufruf intern nicht - intern nur über http://companyweb, https://companyweb lädt die IIS-Startseite, https://remote.NETZWERK.XX:987 lädt nix.
Also muss es irgendwas mit der Bindung und dem Service haben...

Aber lassen wir das...das schweift schon wieder ab und wird mir zu infantil...

Danke

LG
Mitglied: LKaderavek
LKaderavek 08.02.2014 um 17:51:58 Uhr
Goto Top
Hallo Uwe,

kannst du bitte mal im IIS-Manager auf die SBS Sharepoint Seite gehen und im Aktions-Menü "http://localhost:987 öffnen" klicken...

Was passiert da?

Bitte um Info.

Danke
Mitglied: transocean
transocean 08.02.2014 um 18:14:30 Uhr
Goto Top
http geht nicht, weil nicht angeboten. https bringt eine Warnung wegen dem Zertifikat. Wenn ich die ignoriere, lande ich auf der Companyweb Site.
Mitglied: LKaderavek
LKaderavek 08.02.2014 um 18:30:12 Uhr
Goto Top
OK...

Ich habs jetzt einmal zum Teil behoben...intern geht's genauso wie bei dir...

Extern bekomme ich noch eine Zertifikatsmeldung...

Mit welchem Zertifikat signierst du die https-Bindung?


""
Der Inhalt wurde blockiert, da er nicht mit einem gültigen Sicherheitszertifikat signiert wurde.
Weitere Informationen erhalten Sie in der Internet Explorer-Hilfe unter “Info zu Zertifikatfehlern“.
""
Mitglied: transocean
transocean 08.02.2014 aktualisiert um 18:50:29 Uhr
Goto Top
Mit dem Zertifikat, das der SBS bei der Einrichtung der Internetadresse automatisch mit erstellt. Ich traue den gekauften Zertifikaten nicht so über den Weg.
Hast Du die Internetadresse auch mit dem Assi in der SBS-Konsole eingerichtet? Wenn ja, dann sollte das automatisch passen.

Gruß

Uwe

Nachtrag: Wenn der Client mit dem Du zugreifst nicht in der Domäne hängt oder auf diesem das Zertifikat nicht installiert ist, dann kommt die Zertifikatswarnung.
Mitglied: LKaderavek
LKaderavek 08.02.2014 um 19:05:21 Uhr
Goto Top
Hallo,

danke ich hab's mittlerweile selbst gefunden.

Das Problem an dem selbsterstelllten Zertifikat ist nur, dass es nur einen Namen trägt, d.h. wenn du Outlook over HTTPs einrichtest, dann poppt die ganze Zeit die Meldung, dass autodiscover.domain.xx nicht im Zertifikat enthalten ist.

Wir erstellen deshalb nach dem Assistenten immer noch ein eigenes Zertifikat mit folgenden Namen.

remote.domain.de
autodiscover.domain.de
server.domain.local
server

Anscheinend, checkt dabei der SBS Sharepoint das nicht und man muss ihm das neue Zertifikat noch einmal in der Bindung hinzufügen.

Jetzt funktioniert es tadellos!

...und es soll ja vorkommen, dass seine User gewisse Funktionen auch von zu Hause oder Hotelzimmer etc. nutzen möchten und da gehört eben WebMail, Filezugriff und falls genutzt für Urlaubskalender etc. auch der Sharepoint.

Danke UWE, du hast mir den Weg gewiesen.

LG
Mitglied: keine-ahnung
keine-ahnung 08.02.2014 um 19:25:19 Uhr
Goto Top
...und es soll ja vorkommen, dass seine User gewisse Funktionen auch von zu Hause oder Hotelzimmer etc. nutzen möchten und da gehört eben WebMail, Filezugriff und falls genutzt für Urlaubskalender etc. auch der Sharepoint.

Yep, kommt bei mir pausenlos vor ... mit einem VPN-Router und einem entsprechenden VPN-Client ist das auch problemlos möglich, ohne das man den Karriereschritt zum pakistanischen Schafhirten absolviert und ohne den Nackten raus ins Internet zu strecken.

LG, Thomas
Mitglied: LKaderavek
LKaderavek 08.02.2014 um 19:45:19 Uhr
Goto Top
Du hast schon recht, der Sicherheitsaspekt ist bei VPN sicher gegeben...nur 443 wirst brauchen, wenn die Damen und Herren, auch auf Ihren Smartphones E-Mail haben möchten.
Egal, sei es wie es ist - jetzt funktioniert's und Basta!