RPC over Http(s) - webaccess funzt aber outlook nicht

[Kat'l 10]

Hallo,

 

und zwar möchte ich über ein outlook konto zurgiff zu meinem exchange postfach haben (rpc over http), der exchange server (ebenfalls DC und zertifizierungsstelle) befindet sich hinter einem isa server. folgende konfiguration habe ich dazu vorgenommen:

-> RPC-über-HTTP Proxy installiert/eingerichtet

-> Standartwebsite konfiguriert (+ Zertifikat)

-> Ports für Proxy in regedit eingetragen

-> Zertifikatsstelle angelegt (ISA und Client haben Zertifikate)

-> sichere Webveröffentlichungsregel auf ISA angelegt (pfade für webacces und rpc in einer Regel, auch selben Listener)

 

die stolperstelle die noch vorzufinden ist, und wo ich nicht genau weiß was da falsch läuft, ist dass bei der von mir angelegten Richtlinie im ISA im Reiter Bridging zwar SSL aktivieren kann, aber eine Zertifikats auswahl ist nicht möglich ob wohl ich für den Firewalldienst das Zertifikat eingebunden hab - ist das überhaupt notwendig (?)

 

zur konfiguration im isa schreibe ich jetzt nichts weiter, da ich vermute das die soweit korrekt ist, auf grund dessen, dass ich von meinem client aus über webaccess auf mein postfach zugreifen kann (bitte verbessert mich fall ich da daneben liege). ebenfalls komme ich auf das /rpc-verzeichnis, es kommt die zertifikatsabfrage (name das zertifikates stimmt ja nicht mit dem von außen erreichbaren exchange überein) dann die anmeldung , aber keine fehlermeldung ( obwohl HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

NSPI interface protocol sequences - ncacn_http:6004 gesetzt ist) liegt dabei schon der fehler?

 

nun zu meinem outlook problem:

die konfiguration erfolgte nach der ms anleitung http://office.microsoft.com/en-us/assistance/HA011402731033.aspx aber es kommt keine verbindung zustande. dad log des isa servers hat mir bisher dabei auch nicht weiter geholfen...

es kommt eine Anfrage an den isa server(init) und das nächste ist dann wieder die trennung, der isa baut keine verbindung richtung exchange auf, so wie es aussieht, obwohl haargenau das selbe im log des isa's bei dem webaccess zugriff drinsteht (cient und ziel-ip...)

ich weißt leider nicht wo ich noch bei der fehlersuche ansetzten könnte, habt ihr da ideen?

 

achso und eh ichs vergesse ein urlscan ist nicht mit drin.

[Kat'l 10]

soooo dummerwiese bin ich immer noch nicht weiter.

die fehlermeldung auf das rpc verzeichnis kommt jetzt wieder, ich hatte lediglich dort schreib/lese rechte vergeben. wenn ich nun direkt über IE auf das rpc verzeichnis zugreife https://externe_ip_von_isa/rpc, werde ich ja richtig weiter geleitet und laut isa log wird diese Verbindung auch zugelassen.

mir scheint als ob der ISA nichts mit der outlook anfrage anzufangen weiß-also wohin er sie weiter leiten soll (? wieso auch immer, obwohl der listener der webveröffentlichungsregel auf den externen port des isa's lauscht und auf den exchange weiterleitet).deshalb habe ich noch einträge in die hosts und in die lmhosts gemacht (externe_ip_isa exchange_fqdn).

 

leider habe ich keine ideen mehr.

ich hoffe aber jemand von euch hat noch eine idee, wo der fehler liegen könnte.

[Kat'l 10]

ok habe jetzt die outlookfehlererkennung angeschalten und bekomme Remoteprozeduraufruf Fehlercode (6BA) was laut http://www.megos.ch/support/doserrors.txt darauf hinweißt das der RPC Server nicht erreichbar ist ... das sagt mir nun irgendwie nicht mehr als vorher. ist vielleicht der eintrag in der hostdatei nicht korrekt. oder kann es auch sein, dass das mit den Zertifikaten noch nicht genau überein stimmt?

[Kat'l 10]

hatte nochmal alle Zertifikate kontrolliert, das Zertifikat des ISA Servers war falsch ausgestellt. der Proxy des Outlookprofils war außerdem nicht korrekt(muss ja auch msstd:externe_exchange).

daraufhin habe ich am ISA ein RPC_DATA_IN erhalten.

 

und der letzt endliche Übeltäter war dann dieser Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\RpcProxy

ValidPorts

Servername_intern:6001-6002;FQDN_intern:6001-6002;FQDN_oder_IP_extern:6001-6002;

Servername_intern:6004;FQDN_intern:6004;FQDN_oderIP_extern:6004;

 

Ich bekomme nun mein Postfach auf, dies passiert aber erst beim zweitenmal der Einwahl. woran könnte das hängen? wäre toll wenn ihr eine idee hättet. danke.