Jump to content

ISA Server 2004 Failed Connection über OWA


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo, ich habe ein Problem und bin mir nicht sicher woran es liegt.

 

Zuesteinmal ISA 2004 sp1 läuft auf Server 2003 sp1

Exchange 2003 sp1 läüft ebenfalls auf Server 2003 sp1

 

 

Ich greiffe vom Client(Internet) über die ISA-Firewall auf den Exchange zu(OWA).

Ich gebe beim Client die IP der Firewall an und das FBA erscheint. Will ich mich nun einloggen kommt die Fehlermeldung:

You could not be logged on to Outlook Web Access. Make sure your domain\user name and passwort are correct, and then try again. Obwohl ich alles korrekt eingebe.

 

Greife ich nun vom ISAServer direkt aufs OWA zu, funktionierts ohne Problem(allow https local host to exchange).

 

Dem Loggfile entnehm ich, dass alle Verbindungen per HTTPS funktionieren.

Bis auf einige wenige, da steht https kleingeschrieben. Unter Client Username steht überall anonymous wos nicht funktioniert.

Service: Reverse Proxy

Log Record Type: Web Proxy Filter

 

Die URLs die geblockt werden ist der Login. ab

http://IP/CookieAuth.dll?Logon

bis

http://192.168.1.129/CookieAuth.dll?GetPic?image=logon_IE_bot.gif

 

Liegt das daran dass ich im Listener die Option "Require all Users to Authentificate" eingeschaltet habe? Nehm ichs raus, funktioniert gar nix mehr.

 

Oder muss ich im Bridging Tab der Mail Server Veröffentlichungsregel "Use a certificate to authenticate to the SSL WEb server" ein Zertifikat angeben. Das funktioniert leider nicht, ich bekomme immer die Meldung: There are no certificates configured on this server.

 

Dem bin ich mal nachgegangen, jedoch stiess ich auf ein weiteres Problem:

Ich muss das Zertifikat im Microsoft Web Proxy Service ablegen Jedoch existiert sowas bei mir aufm ISA nicht. :shock:

 

Was soll ich machen? Ich dreh mich irgendwie immer im Kreis...

Wenn mehr Informationen gebraucht werden nur nachfragen... Ich hoffe jemand kann mir helfen.

 

Danke im Voraus

 

Roman

Link zu diesem Kommentar

Hi

 

So wie ich das deuten kann hast Du vergessen das Zertifikat auf den ISA Server zu exportieren.

Der Zugriff auf OWA funktioniert von intern, so wie ich verstanden habe. Nur wenn Du von extern, d.h. über den ISA darauf zugreifst hast Du den Fehler.

Du mußt das Zertifikat vom Exchange Server (OWA) exportieren und beim ISA importieren. Danach das Zertifikat beim Listener zuordnen und das Require Authentification mußt Du deaktivieren. Wähle Standard, da Du ja SSL einsetzt und wenn Du willst kannst Du auch die form based authentication verwenden.

 

Gruß

Dirk

Link zu diesem Kommentar

Hai

 

Danke für die Antwort

 

Das Web Server Zertifikat habe ich bereits exportiert mit Privat Key und beim importieren(Local Computer/Persional)exportieren erlaubt. Im Listener hab ichs auch konfiguriert.

Wenn ich "Require all User to authentificate" herausnehme erhalte ich die Meldung:

Error Code: 403 Forbidden. The server denied the specified Uniform Resource Locator (URL). Contact the server administrator. (12202)

 

Wähle Standart: Wo?

 

mfg

 

Roman

 

edit:

Wenn ich https von all networks to all networks erlaube und vom Client direkt auf den Exchange zugreiffe, kommt erst der Hinweis: theres a problem with the sites certificate:

kurz: ich habe den Zertifikataussteller nicht in meiner Trusted liste

Das Zertifikat datum ist in Ordnung

Der Name des Zertifikats entspricht nicht der Seite.

Do you want to proceed? ---> YES

dann muss ich ein User Certifikat wählen, habe aber vom Client keins zu Verfügung, also wähle ich keines und klicke auf OK, dann erscheint die Anmeldemaske ich melde mich an und bin in meinem OWA Postfach.

Link zu diesem Kommentar

Und ich komm immernoch nicht weiter...

 

Irgendetwas scheint entweder in der publishing-rule oder auf dem exchange nicht zu stimmen. Der Listener funktioniert, denn fba wird aufgerufen. Meld ich mich an erhalte ich den Fehler You could not be logged on to Outlook Web Access. Make sure your domain\user name and passwort are correct, and then try again.

 

Wenn ich fba deaktiviere erhalte ich bei der Anmeldung folgende Meldung:

Error Code: 401 Unauthorized. The server requires authorization to fulfill the request. Access to the Web server is denied. Contact the server administrator. (12209)

 

Muss der ISA-Server an die Domäne angemeldet werden? Der Domäne hinzugefügt is er. Gibt das ein Konflikt wenn ich auf dem ISA Server "require all Users to authenticate" angebe und auf dem Exchange Serve noch "require Client Certificates". Oder brauch ich beides?

 

Und für was ist das Client Certificate Mapping? Brauch ich das?

 

Wäre sehr Dankbar wenn mir jemand helfen könnte.

 

mfg

 

Roman

Link zu diesem Kommentar

Hallo

 

Danke für die Antwort.

Auf diese Anleitung bin ich auch schon gestossen. Ich bin Sie jetzt nochmal durchgegangen und habe alles so gemacht und es funktioniert immer noch nicht. Ich bin bereits mehrere Anleitungen Schritt für Schritt durchgegangen und hab auch mehrere Male alles überprüft, aber es scheint einfach nicht funktionieren zu wollen. :cry: Kann es sein das es ein Problem macht, das ich das Ganze mit Virtual PCs aufbaue? Sollte eigentlich nicht, da diese oft für Schulungen verwendet werden...

 

mfg

 

Roman

Link zu diesem Kommentar

Hallo Frauke

 

Danke für den Link ich hab mir die Seite angeguckt.

 

Aber die Zertifikate stimmen oder ich hab mich verlesen...

Hab im IIS in den Eigenschaften der Default Web Site ein Zertifikat ausgestellt, dieses mit PrivateKey auf den ISA exportiert. Anschliessend konnte ich dieses Zertifikat im Listener auswählen. Die Kopie liegt noch auf dem Webserver. Und wie gesagt, aktiviere ich https von und zu allen Netzwerken funktionierts, indem ich direkt vom Internet auf die IP+Pfad des Webservers zugreiffe. Greife ich aber via Listener zu, entsteht ein Fehler.

 

Die Anmeldemaske wird angezeigt als sei kein Fehler passiert. Wenn ich aber im Monitoring nachschaue sind die ersten 3 Zugriffe per https von einem User: Anonymous. Gehe ich ohne fba vor und setze kein authentifizierung vor besteht das Problem weiter hin.

 

Ich werd einfach nicht schlau aus der ganzen Sache... :shock:

 

 

mfg Roman

Link zu diesem Kommentar

Error Code: 401 Unauthorized. The server requires authorization to fulfill the request. Access to the Web server is denied. Contact the server administrator. (12209)

 

Wenn ich mich ins OWA einloggen will kann ich zwar meine Daten eingeben, jedoch kann der ISA diese nicht mit den Accountinformationen auf dem Exchange/Webserver abgleichen. Der ISA hat anscheinend kein Zugriff auf den Webserver... was kann man da machen? Der ISA gehört zur Domäne muss ich mich nun mit dem ISA-Server an der Domäne anmelden. Also beim Anmelde Fenster anstatt Lokalen PC die Domäne wählen? Dann muss ich noch ein Benutzer einrichten und das ist wohl nicht Sinn der Sache... Ich habe jetzt alles nochmalls nach Anleitung konfiguriert aber es scheint immernoch nicht zu funktionieren...

Wenn ich ins AD des Exchange geh, seh ich den ISA unter Computers. "Trust Computer for delegation" ist auch aktiviert. Member of: Domain Computers Domäne.ch/Users

hab ich was übersehen?

Link zu diesem Kommentar

So ich habe jetzt ein bisschen gesnifft und herausgefunden das ein logon auf dem exchange stattfindet und sogar den client wieder erreicht... Aber ich erhalte Trotzdem die Meldung:

You could not be logged on to Outlook Web Access. Make sure your domain\user name and passwort are correct, and then try again.

 

Neue User hab ich angelegt um mich mit denen Anzumelden geht aber auch nicht. Jedoch lokal vom Exchange kann ich ohne Probs zugreiffen...

 

Im Logfile des ISA steht bei den Verbindungfehlschlägen etwas von Web Proxy Filter und Reverse Proxy. :suspect: Hat vielleicht der Proxy was mit meinem Dilemma zu tun? Ich kenn mich da leider zu wenig aus, aber forsche trotzdem mal nach...

 

 

mfg Roman

Link zu diesem Kommentar

Kann mir jemand ne Frage beantworten?

 

Wenn ich Forms Based Authentification auf dem Exchange aktiviere und auf dem ISA deaktiviere krieg ich beim Anmelden von ISA Server aus (also nicht über den Listener) das FBA zu sehen und kann mich auch ohne Problem anmelden. Wenn ich nun vom Client aus Zugreiffe (also über den Listener) dann krieg ich kein FBA zu sehen sondern den Standart Login Dialog.

 

Ist das normal? Sollte ich nicht auch das fba zur Anmeldung kriegen?

Link zu diesem Kommentar

Wenn FBA auf dem ISA konfiguriert ist spielt sich alles auf dem ISA Server und dem Exchange ab nicht auf dem Client im Internet draussen. Muss ich nun Caching aktivieren, damit der ISA überhaupt platz hat um irgendetwas zu machen? Oder hat der bereits speicher für die ganze Anmeldungsgeschichte und die OWA komponenten reserviert?

Ich weiss nicht ob ich Caching lassen soll, den es stört zugleich wenn ich immer wieder die OWA Seite aufrufe und immer die Fehlermeldung ausm Cache krieg obwohl es vielleicht schon längst funkioniert. Hat da jemand ne Ahnung

bitte antworten :cry::cry::cry:

 

 

mfg

 

roman

:suspect:

Link zu diesem Kommentar

Simple Frage: Braucht der Exchangeserver zugang zum Internet damit OWA von extern funktioniert. Ich hab gestern mal n bisschen den Datenverkehr geloggt und bin auf das hier gestossen hiebei ist das letzte Packet intressant:

 

Packet1

 

POLL

POLL /exchange/Administrator/Aufgaben HTTP/1.1..Via: 1.1 ISA..

Cookie: sessionid=2a68c4d3-fb3e-4001-acbe-bb6142cbb38b:0x807..

Host: outlook.testdomain.imt.ch..

Authorization: Basic QWRtaW5pc3RyYXRvcjo=..

Referer: http://outlook.testdomain.imt.ch/exchange/Administrator/?Cmd=navbar..

subscription-id:36..

Accept-Language:de-ch..

UA-CPU: x86..

Cache-Control: no-cache..

Connection: Keep-Alive..

Content-Length:0..

 

Packet2

 

HTTP/1.1 207 Multi-Status.. Date: Thu, 13 Oct 2005 12:44:26 GMT..

Server: Microsoft-IIS/6.0.. MicrosoftOfficeWebServer: 5.0_Pub..

X-Powered-By: ASP.NET..

Content-Type: text/xml..

Content-Length:314..

MS-WebStorage: 6.5.7226..

Cache-Control: no-cache..

 

 

Packet3

 

<?xml version="1.0"?>

<a:multistatus xmlns:b="http://schemas.microsoft.com/Exchange/" xmlns:a="DAV:">

<a:response>

<a:href>http://outlook.testdomain.imt.ch/exchange/Administrator/Aufgaben</a:href>

<a:status>HTTP/1.1 204 No Content</a:status>

<b:subscriptionID><li>36</li></b:subscriptionID>

</a:response>

</a:multistatus>

 

hier ist noch von DAV die Rede. Hab herausgefunden das meine DAVEX.dll nicht läuft. Hat das vielleicht damit zu tun das ich mit keinem einzigen Benutzer ins OWA einloggen kann?

 

wäre um eine Rückemeldung sehr dankbar.

 

mfg

 

Römer

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...