Zobus 10 Geschrieben 6. März 2008 Melden Teilen Geschrieben 6. März 2008 Hallo zusammen, ich habe zurzeit ein Problem mit der OWA Veröffentlichung über den ISA Server 2004. Wir haben bei uns Exchange 2007 eingeführt. Nun möchte ich OWA über unseren ISA Server veröffentlichen. Ich habe auf dem ISA Server alle aktuellen Patches und Service Packs installiert (Windows 2003 Server SP2). Auch das SP3 für den ISA 2004, damit die formularbasierte Authentifizierung mit Exchange 2007 funktioniert. Der ISA Server selbst steht in der DMZ hinter einer Hardware Firewall und ist mit einer physikalischen ausgestattet. Der ISA Server kann auf den Exchange Server nur über den Port 443 (SSL) zugreifen. Die nötigen Zertifikate sind soweit auf dem ISA Server hinterlegt. Bei den Richtlinien habe ich gemäß einer Doku eine Veröffentlichungsregel für Mailserver hinterlegt. Dort konnte man explizit den OWA Webzugiff auswählen. In den Eigenschaften des SSL-Listener habe ich bei der Authentifizierung als Authentifizierungsmethode „OWA Form-Based“ ausgewählt und die Standard Windows Domäne hinterlegt. Auf dem Exchange habe ich die formularbasierte Authentifizierung deaktiviert und die integrierte Windows-Authentifizierung aktiviert. Über die öffentliche Webadresse kann ich das Anmeldeformular von OWA erreichen. Wenn ich nun versuche mich anzumelden erhalte ich im Protokoll des ISA Servers eine Fehlermeldung „ Fehlgeschlagener Verbindungsversuch: 1326 Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Passwort.“ Dabei macht es keinen Unterschied, ob ich mich mit Domänenpräfix oder ohne anmelde (<Domäne>\Username). Muss der ISA Server noch mehr Zugriffsmöglichkeiten in das interne Netz haben. Momentan bin ich der Meinung, dass der Port 443 für das SSL Bridging ausreichen müsste, oder? Benötigt der ISA eventuell Zugriff auf das Active Directory? Hat jemand von euch eine Idee wie ich das Problem im den Griff bekommen kann? Gruß Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 6. März 2008 Melden Teilen Geschrieben 6. März 2008 Hallo, muss die Formbased Authentication unbedingt auf dem ISA Server stattfinden? Lass die doch auf dem Exchange Server laufen. Zitieren Link zu diesem Kommentar
Zobus 10 Geschrieben 6. März 2008 Autor Melden Teilen Geschrieben 6. März 2008 Hallo, muss die Formbased Authentication unbedingt auf dem ISA Server stattfinden? Lass die doch auf dem Exchange Server laufen. Hallo, irgendein eine Authentifizierung muss ich doch auf dem ISA aktiv haben. Wenn ich die Anfragen aus dem Web einfach „durchreiche“ zum Exchange ist die ganze Konstellation nutzlos. Dann könnte ich doch genau so gut den direkten Zugriff auf den Exchange über die Hardwarefirewall zulassen und der Exchange ist den Angriffen aus dem Web direkt ausgeliefert Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 6. März 2008 Melden Teilen Geschrieben 6. März 2008 Hallo,irgendein eine Authentifizierung muss ich doch auf dem ISA aktiv haben. Wenn ich die Anfragen aus dem Web einfach „durchreiche“ zum Exchange ist die ganze Konstellation nutzlos. Dann könnte ich doch genau so gut den direkten Zugriff auf den Exchange über die Hardwarefirewall zulassen und der Exchange ist den Angriffen aus dem Web direkt ausgeliefert Welche Authentifizierungsdelegationseinstellungen hast du auf dem ISA 2004 denn aktiviert? Bye Norbert Zitieren Link zu diesem Kommentar
Zobus 10 Geschrieben 6. März 2008 Autor Melden Teilen Geschrieben 6. März 2008 OK, jetzt bin ich schon ein bisschen schlauer geworden. Der Authentifizierungsfehler rührt daher, dass der ISA Server lokal nach dem Benutzer sucht und diesen logischer weise nicht finden kann. Also muss ich irgendwie einen LDAP Zugriff auf das AD zulassen, damit der ISA die Anmeldeinformationen dort abgleichen kann. Weiß jemand von Euch wie ich die LDAP Abfrage beim ISA 2004 einrichten kann? Ich habe bislang nur etwas für den ISA 2006 gefunden. Der bietet eine extra Funktion dafür. Aber wie richte ich das beim ISA 2004 ein? Gruß Zitieren Link zu diesem Kommentar
Zobus 10 Geschrieben 6. März 2008 Autor Melden Teilen Geschrieben 6. März 2008 Welche Authentifizierungsdelegationseinstellungen hast du auf dem ISA 2004 denn aktiviert? Bye Norbert Hallo Norbert, wo finde ich bitte Authentifizierungsdelegationseinstellungen? Ich weiß im moment nicht was du meinst. Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 6. März 2008 Melden Teilen Geschrieben 6. März 2008 Hallo Norbert, wo finde ich bitte Authentifizierungsdelegationseinstellungen? Ich weiß im moment nicht was du meinst. Hab grad mal was gefunden: ISA Server 2004 Service Pack 3 If your ISA Server firewall policy already includes a Web publishing rule for Exchange Server, you cannot modify the existing rule to publish Exchange Server 2007. You must delete the existing rule and run the Web Publishing Wizard to create a new rule. • For authentication to succeed, the Exchange Client Access server must be configured for Basic authentication. For details about configuring the Exchange Client Access server, see Exchange Server 2007 product Help. Note that with Basic authentication selected, the following Exchange 2007 features will not function as expected: Ich vermute mal, dass mit deinen Authentifizierungseinstellungen noch nicht ganz passen. Bye Norbert Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 6. März 2008 Melden Teilen Geschrieben 6. März 2008 Wenn ich die Anfragen aus dem Web einfach „durchreiche“ zum Exchange ist die ganze Konstellation nutzlos. Nein, Reverse Proxy hast du ja trotzdem. Zitieren Link zu diesem Kommentar
Mag 11 Geschrieben 7. März 2008 Melden Teilen Geschrieben 7. März 2008 Guten Morgen, ich habe es zur Zeit auch so gelöst, dass die Authentifizierungsanfrage auf dem Exchangeserver beantwortet wird. Später wollte ich das noch ändern, sodass der ISA Server die Authentifizierung macht, dann allerdings benötigst du noch offene Ports zu deinen DCs. Ich hatte mal ne Anleitung gefunden *such* Edit: OWA mit LDAP Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.