Markus Butz 10 Geschrieben 28. September 2008 Melden Teilen Geschrieben 28. September 2008 Hallo zusammen, ich habe Probleme mit einem SBS2003, auf dem Exchange und ISA laufen. Ziel ist es, AUTD (Pushmail) mit den vorhandenen Smartphones über ein gekauftes Zertifikat zu nutzen. Zum Testen vorher sollte OWA laufen. Bisher habe ich das immer OHNE ISA gemacht, das hat auch immer geklappt. Zertifikat rein, Mapping im Router auf Port 443, PDA konfiguriert, fertig. Mit dem ISA habe ich jetzt so meine Probleme - vielleicht verstehe ich das auch alles nicht richtig und deshalb einige Fragen hierzu - wäre nett, wenn mir jemand ein paar Tips geben könnte. Zunächst noch: Internes "gutes" Netz: 10.0.0.0/24 wobei Server 10.0.0.1 Externes Netz: 192.168.0.0/24 wobei Server 192.168.0.1 Router nach außen im externen Netz hat die 192.168.0.254 Wie gehe ich das jetzt grundsätzlich an? 1) Die "Standardwebseite" lässt sich nur an die IP des "guten" Netzes binden. Kann das so bleiben? 2) Das Zertifikat würde ich dann im "SBS Web listener" hinzufügen? 3) Dann SSL-Veröffentlichungsregel mit SSL-Bridging konfigurieren? Oder Tunneling? 4) Noch eine entsprechende Firewallregel? Oder ist dieser Ansatz komplett falsch? Ich habe schon soviel getestet, bekomme immer irgendwo irgendwelche Fehler... Habe auch schon versucht, NICHT über den IIS zu gehen und dort Port 443 komplett nach außen zu deaktivieren und dann direkt an den IIS zu geben... Über ein paar Tips wäre ich sehr dankbar... Markus Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 28. September 2008 Melden Teilen Geschrieben 28. September 2008 1) Die "Standardwebseite" lässt sich nur an die IP des "guten" Netzes binden. Kann das so bleiben? Das muß sogar so bleiben, denn sonst bräuchtest du ja keine Firewall. 2) Das Zertifikat würde ich dann im "SBS Web listener" hinzufügen? Richtig, wobei das eigentlich der SBS Wizard für dich erledigen sollte, wenn du das richtige Zertifikat anbietest. 3) Dann SSL-Veröffentlichungsregel mit SSL-Bridging konfigurieren?Oder Tunneling? Bridging ist die bessere Variante. Dabei wird der Tunnel auf dem ISA beendet, der Traffic inspiziert und dann an den IIS weitergeschickt. Beim Tunneling passiert das gleiche was du sonst hast (Portweiterleitung). Und das würde ich nicht tun, wenn ich nen ISA zur Verfügung habe. 4) Noch eine entsprechende Firewallregel? Macht auch der Wizard. Formbased OWA Sollte dir aber mal einen Ansatz geben. Ist zwar für ISA getrennt vom Exchange gedacht, aber funktioniert genauso auch auf einem SBS. ;) Edit: Obige Anleitung funktioniert zwar, allerdings konnte der ISA 2004 nicht OWA/FBA und AUTD und RPC over https auf einem Listener (jedenfalls nicht ohne Workaround). Deswegen mußt du http://www.msisafaq.de/Anleitungen/2004/Firewallrichtlinien/RPCHTTPS.htm das hier nutzen und die FBA auf dem Exchange aktivieren. Oder aber mit zwei externen IP Adressen arbeiten. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Markus Butz 10 Geschrieben 23. Oktober 2008 Autor Melden Teilen Geschrieben 23. Oktober 2008 Hallo Norbert, sorry für die Verzögerung bei der Antwort - die Baustelle musste etwas warten... Danke für die Antwort - hat mir schonmal weitergeholfen. Nochmal eine Frage zum SSL Bridging: Ich brauche dann also wirklich zwei unterschiedliche Zertifikate, ja? Eins habe ich im Moment - es war gekauft. Das interne Zertifikat stelle ich mir selbst aus oder wie mache ich das am effektivsten? Schon recht aufwändig mit mehreren Zertifikaten finde ich... Wie auch immer habe ich - egal auf welche Art ich die Veröffentlichung vornehme, mit Bridging, Tunneling oder intern - den Effekt, dass OWA zwar über SSL einwandfrei funktioniert, ActiveSync jedoch nicht - Fehler 0x85010014. Ich habe da schon stundenlang dran rumgebastelt und X KB-Artikel und zig Tips durchprobiert - ich bekomme das Problem nicht weg. Auf anderen Server habe ich das schon X mal eingerichtet, aber hier habe ich jetzt resigniert - ich habe den Server nicht installiert und weiß nicht weiter. Naja... trotzdem danke. Viele Grüße! Markus Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 23. Oktober 2008 Melden Teilen Geschrieben 23. Oktober 2008 Danke für die Antwort - hat mir schonmal weitergeholfen. Nochmal eine Frage zum SSL Bridging: Ich brauche dann also wirklich zwei unterschiedliche Zertifikate, ja? Man kann das Bridging auch mit zweimal dem selben Zertifikat lösen, allerdings ist es viel praktischer, nur für die externe Seite auch das Offizielle Zertifikat zu verwenden und intern das interne private Zertifikat. Man muß dann eben darauf achten, dass zwei Zertifikate ablaufen können. Eins habe ich im Moment - es war gekauft.Das interne Zertifikat stelle ich mir selbst aus oder wie mache ich das am effektivsten? Genau. Entweder per selfssl oder eigener CA. Schon recht aufwändig mit mehreren Zertifikaten finde ich... Dein Fall ist der am wenigsten aufwändige Anwendungsfall ;) Wie auch immer habe ich - egal auf welche Art ich die Veröffentlichung vornehme, mit Bridging, Tunneling oder intern - den Effekt, dass OWA zwar über SSL einwandfrei funktioniert, ActiveSync jedoch nicht - Fehler 0x85010014. Ich habe da schon stundenlang dran rumgebastelt und X KB-Artikel und zig Tips durchprobiert - ich bekomme das Problem nicht weg. Auf anderen Server habe ich das schon X mal eingerichtet, aber hier habe ich jetzt resigniert - ich habe den Server nicht installiert und weiß nicht weiter. Was genau ist deine derzeitige Konfiguration? Wir sollten bei einer bleiben, damit nicht jedesmal neue Faktoren mit einfliessen. Ich würde vorschlagen, du konfigurierst SSL Bridging mit zwei Zertifikaten (extern öffentlich und intern privat). Bye Norbert Zitieren Link zu diesem Kommentar
Markus Butz 10 Geschrieben 23. Oktober 2008 Autor Melden Teilen Geschrieben 23. Oktober 2008 Hallo Norbert, Man kann das Bridging auch mit zweimal dem selben Zertifikat lösen, allerdings ist es viel praktischer, nur für die externe Seite auch das Offizielle Zertifikat zu verwenden und intern das interne private Zertifikat. Man muß dann eben darauf achten, dass zwei Zertifikate ablaufen können. Alles klar, so hatte ich mir das gedacht. Was genau ist deine derzeitige Konfiguration? Wir sollten bei einer bleiben, damit nicht jedesmal neue Faktoren mit einfliessen. Ich würde vorschlagen, du konfigurierst SSL Bridging mit zwei Zertifikaten (extern öffentlich und intern privat). Ja, so werde ich es dann machen. Es findet bald sowieso eine Umstruktorierung statt, dabei wird der PDC sowieso neu aufgesetzt. Dann werde ich das mit Bridging machen... Wenn ich dann noch Probleme habe, melde ich mich wieder... aber dann weiß ich wenigstens, dass der Server sonst schonmal sauber und rund läuft... Danke bis hierhin, hören uns sicher mal wieder... wenn es auch nocht etwas dauern wird... Bye! Markus Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 23. Oktober 2008 Melden Teilen Geschrieben 23. Oktober 2008 Hallo Norbert, Alles klar, so hatte ich mir das gedacht. Ja, so werde ich es dann machen. Es findet bald sowieso eine Umstruktorierung statt, dabei wird der PDC sowieso neu aufgesetzt. Dann werde ich das mit Bridging machen... Wenn ich dann noch Probleme habe, melde ich mich wieder... aber dann weiß ich wenigstens, dass der Server sonst schonmal sauber und rund läuft... Danke bis hierhin, hören uns sicher mal wieder... wenn es auch nocht etwas dauern wird... Bye! Markus Alles klar. Viel Erfolg :) Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.