Vinc211 1 Geschrieben 20. Dezember 2016 Autor Melden Teilen Geschrieben 20. Dezember 2016 Und was ist jetzt dein Problem? Du hast Zugriff auf die Umgebung. Du wirst doch wohl rausfinden wo der Traffic lang geht und wo er lang gehen soll. ;) Eben nicht! All meine Routing tests sind positiv. Ich sehe das Problem nicht und hoffe auf Tipps und Hinweise wo ich noch gucken könnte. Wie gesagt habe ich Wireshark auf beiden Seiten und kann einfach kein "Server Hello" und kein SSL Handshake sehen. Auf der Branch Seite wird mir ständig gesagt das der Exchange Server nicht erreichbar ist. Ich habe mich schon dumm und dämlich an Firewall Rules geschrieben. Firefox gibt mir nun folgende Fehlermeldung wenn ich auf https://owa.domain.de/owa zugreiffen möchte. Diese Verbindung ist nicht sicher Der Inhaber von owa.xax.de hat die Website nicht richtig konfiguriert. Firefox hat keine Verbindung mit dieser Website aufgebaut, um Ihre Informationen vor Diebstahl zu schützen. Diese Website verwendet HTTP Strict Transport Security (HSTS), um mitzuteilen, dass Firefox nur über gesicherte Verbindungen mit ihr kommunizieren soll. Daher ist es nicht möglich, eine Ausnahme für dieses Zertifikat anzulegen. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 20. Dezember 2016 Melden Teilen Geschrieben 20. Dezember 2016 Wo landest du denn mit dem Browser? Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 20. Dezember 2016 Melden Teilen Geschrieben 20. Dezember 2016 (bearbeitet) Du solltest bei "Der Inhaber von owa.---.de ..." noch anonymisieren. Macht Exchange 2016 bzw. der IIS darunter per default Strict Transport Security / STS / HSTS? Oder landest du da auf der Firewall die den Header "rewritet"? Oder hast du den IIS entsprechend angepasst? bearbeitet 20. Dezember 2016 von testperson Zitieren Link zu diesem Kommentar
Beste Lösung Vinc211 1 Geschrieben 21. Dezember 2016 Autor Beste Lösung Melden Teilen Geschrieben 21. Dezember 2016 Vielen Dank an alle die hier versucht haben zu helfen. Auch der Dienstleister konnte nicht helfen, aber der Premium Support von Sophos hatte am Ende die Lösung, auch wenn ich es mehr als Workaround sehe =D Am Ende lag es an der Firewall:Zitat Sophos Support: Sie benötigen hier eine Business Application Policy Rule für OWA. Sie haben dafür aber keine Webserver Protection License:Sie haben hier nur Network Policy Rules.Bedeutet Sie müssen eine Business Application Policy bauen:Hier können Sie ein DNAT bauen, um den Traffic durchzugeben:prinzipiell ist es nur eine Business Application Policy - Template DNAT.https://community.sophos.com/kb/en-us/122976Dieser KBA ist leider noch von V15.Application Template heißt nun: DNAT/Full NAT/Load Balancing. Am Ende habe ich dort 4 Regeln angelegt für Port 80 und 443 jeweils auf owa.domain.de und exchange1.domain.de. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 21. Dezember 2016 Melden Teilen Geschrieben 21. Dezember 2016 (bearbeitet) Man hätte dir vielleicht eher helfen können, wenn man mehr über deine Struktur gewußt hätte. ;) Wo steht denn die Sophos UTM? Doch sicher in der Zentrale, oder am Remotestandort? bearbeitet 21. Dezember 2016 von NorbertFe Zitieren Link zu diesem Kommentar
Vinc211 1 Geschrieben 22. Dezember 2016 Autor Melden Teilen Geschrieben 22. Dezember 2016 Man hätte dir vielleicht eher helfen können, wenn man mehr über deine Struktur gewußt hätte. ;) Wo steht denn die Sophos UTM? Doch sicher in der Zentrale, oder am Remotestandort? Die UTM am Hauptstandort un die XG am Remotestandort. Steht auch in einem vorheigen Post =D Jetzt ist es ja gelöst. Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 22. Dezember 2016 Melden Teilen Geschrieben 22. Dezember 2016 Es wurde ja auch mehrfach auf die Firewall hingewiesen. Auch wenn die Firewall es nie ist (und auch (mehrfach) vom Netzwerker geprüft wurde), ist sie es zu 90% meistens doch ;) Aber gut das es jetzt läuft. Wobei mir der Zustand des Exchanges nach der Deinstallation der DS Rolle nicht gefällt / gefallen würde. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.