Exchange 2003 per "RPC over HTTP" verbinden

[MikeKellner 10]

Jupp, aber was macht es für einen Unterschied, dass Webserver Zertifikat zu installieren?

[Christoph35 10]

Wozu sollte das gut sein?

 

Das braucht nur der Exchange um sich damit gegenüber dem Client zu authentifizieren.

 

Ich habe es bei meinen Tests so gemacht, dass ich das RootCA Zertifikat der einen Domain einem Client einer Workgroup oder anderen Domain zur Verfügung gestellt habe, und es dort in den Speicher der vertrauenswürdigen Stammzert.-Stellen importiert habe. Wenn dann der Name des Ex.-Serverzerts. mit dem der Site übereinstimmt, gibt es keine Meldung über nicht vertrauenswürdige Zertifikate und der Browser kann ohne weiteres OWA aufrufen.

 

/edit: und Outlook kann dann auch RPC/HTTPS machen.

 

Christoph

[berndroessl 10]

danke für euer zahlreiches posten, hat sich zu einer hitzigen depatte entwickelt ;)

 

da ich im moment wieder zeit habe, das problem weiter zu verfolgen, gebe ich euch meinen aktuellen status bekannt.

 

1. ich gehe davon aus, dass das zertifikat funktioniert, da ich z.b. OWA über https mit diesem zertifikat erreiche...zumindest intern, aber das ist eine andere geschichte

 

2. ich gehe davon aus, dass das rpc funktioniert, da ich im eventlog vom iis ettliche einträge bekomme

 

2006-04-20 09:26:39 W3SVC1 192.168.110.3 RPC_IN_DATA /rpc/rpcproxy.dll mailsrv.domain.com:6002 443 - 192.168.110.57 MSRPC 401 2 5

2006-04-20 09:26:39 W3SVC1 192.168.110.3 RPC_OUT_DATA /rpc/rpcproxy.dll mailsrv.domain.com:6002 443 - 192.168.110.57 MSRPC 401 2 5

2006-04-20 09:26:43 W3SVC1 192.168.110.3 RPC_IN_DATA /rpc/rpcproxy.dll mailsrv.domain.com:6001 443 - 192.168.110.57 MSRPC 401 2 5

2006-04-20 09:26:43 W3SVC1 192.168.110.3 RPC_OUT_DATA /rpc/rpcproxy.dll mailsrv.domain.com:6001 443 - 192.168.110.57 MSRPC 401 2 5

 

interpretation folgt...

 

3. ich gehe davon aus, dass die authentifizierung funktioniert, da ich mit dem tool rpcping.exe aus dem resource kit eine erfolgsmeldung bekomme.

 

rpcping.exe -t ncacn_http -s mailsrv -o RpcProxy=mailsrv -P "bernd,domain,*" -H 1 -u 10 -a connect -F 3 -E -R none

Enter password for RPC/HTTP proxy:

Pinging successfully completed in 360 ms

 

 

ABER ES FUNZT NICHT !!!!!

 

Wenn ich outlook starte, bekomme ich die aufforderung, mich zu authentifizieren, und genau das scheiter :( ich verwende meine domänen authentifizierung also

 

user: domain\username

pass: passwort

 

oder auch ohne domäne

 

user: username

pass: passwort

 

diese daten funktioniert bei der Anmeldung am OWA bzw. bei der Anmeldung für das rpcping.exe.

 

wegen den iis-logs...

 

[...] MSRPC 401 2 5

 

das "401 2" heisst laut google: authentification faild by server configuration

was der 5er heisst weiss ich nicht.

 

interessant finde ich, dass dies für beide ports (6001 und 6002) auftritt.

 

ich habe die ports 6001, 6002 und 6004 in der registry konfiguriert (also den key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\RpcProxy auf exch-srv1:6001-6002;exch-srv1.meinedomain.local:6001-6002;exch-srv1:6004;exch-srv1.meinedomain.local:6004 gesetz)

 

dies kann ich auch per telnet mailsrv 6001 bzw. telnet mailsrv 6002 bzw. telnet mailsrv 6004 testen.

 

wohlgemerkt, dies habe ich nur auf dem exchange-server gemacht. der domaincontroller ist auf einer anderen machine, af der ich lediglich nur den key "NSPI interface protocol sequences" mit dem wert "ncacn_http:6004" unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters erstellt habe.

 

für mich sieht es so aus, also ob die kommunikation mit den directory-service nicht richtig funktioniert. wie kann ich das testen bzw. warum kann die authentifizierung beim öffnen fehlschlagen?

 

danke im voraus und gruss, bernd

[MikeKellner 10]

Hallo Bernd, nochmal zum Zertifikat.

 

was ist im Zertifikat als Antragsteller angegeben?

Was ist am Client in der Outlook Konfiguration in der Proxyeinstellungen genau eingetragen. Bild habe ich angehängt.

 

Gruß Mike

[berndroessl 10]

habe die ehre MikeKellner,

 

also, der antragsteller:

 

CN = mailsrv

OU = MyComp

O = MyComp

L = Bendern

S = Bendern

C = LI

 

der CN ist also nicht full qualified. den rest hab ich mit blabla gefüllt bzw. nicht wirklich darauf geachtet, was ich da schreiben soll.

 

und die outlook-einstellungen:

 

url: https://mailsrv                                 (nicht full qualified)
Nur SSL für Verbindung verwenden                     Ja
Sitzung gegenseitig authentifizieren                 Nein
Bei schneller Verbindung zuerst HTTP                 Ja
Bei langsamer Verbindung zuerst HTTP                 Nein
Authentifizierung                                    NTLM

 

gruss, bernd

 

ps: ich hab keine ahnung, wie ich dein file im anhang öffnen kann :(

[MikeKellner 10]

Kann der Client https://mailsrv ohne Zertifikatsfehler aufrufen?

 

Änder mal die Authentifizierung auf Standart, NTLM ist da nicht richtig.

 

Gruß Mike

[berndroessl 10]

danke MikeKellner, deine nachfrage nach der outlook-einstellung hat mir weitergeholfen :)

ich habe die authentifizierung auf "Standardauthentifizierung" gestellt, und siehe da es funzt !!

 

ok, dann kann ich ja jetzt versuchen, die sache von extern zum laufen zu bringen :suspect:

 

jeden falls danke an euch alle, die nächste frage folgt bestimmt ;)

[Christoph35 10]

Von außen wirst du unter Umständen auf Probleme stoßen, wg. des Namens des Zertifikats, was Mike ja schon angedeutet hat.

 

Du solltest hier immer den FQDN des Ex-Servers angeben. Dann musst du natürlich dafür sorgen, dass der Server von innen und außen unter dem gleichen Namen erreichbar ist.

 

 

Christoph

[berndroessl 10]

hallo Christoph35,

 

ja, ich hab das zertifikat für den externen namen, also für den fqdn des mailservers, ausgestellt, die firewall entsprechend aufgemacht, und schon geht's dahin :)

 

Ist doch immer wieder schön, wenn dann doch noch mal was funktioniert.

 

gruss, bernd

[Christoph35 10]

Schön, dass wir Dir helfen konnten! :)

 

Christoph

[Superstruppi 13]

gut, mittlerweile bekomme ich die einträge im ereignisprotokoll :)

auch im log vom iis kann ich sehen, dass sich was tut :), leider verbindet outlook immer noch über tcp/ip :(

 

weißt du noch, was du getan hast, damit du diese ereignisprotokoll-einträge bekommen hast? ich sehe diese nämlich nicht, noch kann ich rpc pingen.

 

danke,

mario.

[Christoph35 10]

Alter Thread ;)

 

W3C Logging ist aktiviert im IIS? Hast Du danach mal erfolgreiche oder nicht erfolgreiche Versuche gestartet?

 

Kann auch sein, dass Du die Einträge erst am nächsten Tag zu sehen bekommst. Wie man auch an den Daten der ersten beiden Posts sehen kann.

 

Christoph

[Superstruppi 13]

Ich schaff einfach diesen rpcping nicht. Jedes Mal "ping failed". Der Ping klappt weder von extern noch von intern (!) !!!

 

Outlook kann sich nur über TCP verbinden.

 

Ich habe alle auffindbaren Szenarios durchgemacht, das IIS Zertifikat funktioniert auch (zumindest über OWA).

 

In unserer Organisation gibt es nur einen Exchange Server (=Back End), der allerdings nicht DC u. Global Catalog Server ist. Muss an diesem DC auch RPCoverHTTP installiert- oder Ports eingestellt werden????

 

Ich bin schön langsam am Ende meines Lateins!

 

Freu mich über jeden Tipp!

danke,

mario.

[Christoph35 10]

Naja, um das beurteilen zu können, solltest du mal posten, wie deine Einstellungen aussehen, welches SP im Einsatz ist, welches OS der Exch. Server und der DC hat etc.

 

Christoph

[Superstruppi 13]

Exchange Server:

- Windows Server 2003 R2

- Exchange 2003 + SP2

- kein DC, kein DNS, kein GC

 

die Ports sind auf dem Exchange Server alle richtig gesetzt (s. Links am Beginn dieses Beitrags).

 

Client:

- XP Prof.

- Outlook 2003

 

Am GC Server habe ich nichts eingestellt - fehlt das vielleicht?

 

besten Dank!

diegrüße,

dermario.