RPC über HTTPS

[stud0r 10]

Ich bin mir bewusst, dass es bereits einige Themen zu diesem Thema gibt.

 

Ich habe einen Exchange 2003 Server auf einem Windows 2003 BDC installiert.

Das Abfragen über RPC und über OWA funktioniert auch ohne Probleme, mit "RPC über HTTPS" funktioniert es jedoch nicht.

 

Auf dem Exchange und dem Domänencontroller ist installiert "RPC-über-HTTP-Proxy" installiert. Die Registrie einträge hab ich vorgenommen, und auf der Firewall ist der Port 443 freigegeben. Das Zertifikat ist auf den Clients installiert.

 

Sicherheitshalber habe ich RPC Ordner im IIS eine zusätliche IP-Adresse vergeben.

 

Beim öffnen von Outlook fragt er kurz nach dem Passwort und arbeitet dann etwa 2min und bringt eine Fehlermeldung, dass keine Verbindung zum Exchange Server zur Verfügung stehe.

Während dieser Zeit steht unter Verbindungsstatus unter dem Verbindungstyp "TCP/IP" und nicht "HTTPS"

 

Dankä für eure Antwort

[Christoph35 10]

Hi,

 

wenn Du nach diesem Artikel vorgehst, sollte es funktionieren, jedenfalls aus dem internen Netz. Ich habe das schon getestet.

 

http://www.petri.co.il/configure_rpc_over_https_on_a_single_server.htm

 

Von aussen ist es natürlich eine andere, ganz schön komplexe, Geschichte.

Da könnte ich dir sagen, wie das mit einem ISA 2004 geht.

 

Christoph

[stud0r 10]

Ich habe es genau nach dieser Anweisung durchgeführt.

 

Es erscheint jedoch immer die Anmeldemaske

 

Unter dem Verbindungsstatus steht bei den beiden Verzeichnissen unter Server nur "---"

Weiss jemand wie ich dass zum Laufen bringe

 

danke

[Christoph35 10]

Dann brauchen wir noch mehr Informationen...

 

Wessen Zertifikat ist auf den Clients installiert?

 

Was für eine Firewall ist im Einsatz?

In welche Richtung habt ihr 443 geöffnet? Eingehend, ausgehend, beides?

 

Christoph

[stud0r 10]

Es handelt sich um eigene Zertifikate. Diese sind jedoch auf dem Client installiert.

Für Testzwecke ist auf dem Domain Controller und dem Exchange Server nur die Windows Firewall installiert. Dort sind alle Ports geschlossen bis auf SSL.

Werden beide Firewalls deaktiviert, funktioniert die Verbindung über RPC auch.

 

Ich denke, dass es sich um ein Problem beim Verbindungsaufbau mit dem Domänen Controller handelt. Da beim Verbindungs-Status keine Server für den Typ Verzeichnis angezeit wird.

Bei der Verbindung über RPC wird der Domänen Controller richtig angezeit.

[Christoph35 10]

Ok, hast du auch das Zertifikat der ausstellenden CA auf den Clients installiert?

 

Christoph

[stud0r 10]

Ja

Es sind alle drei Zertifikate installiert

(Aussteller, DC, Exchange)

[Christoph35 10]

Ok, wenn die Zertifikate auf den richtigen Namen ausgestellt sind, sind wahrscheinlich noch Ports zu, die offen bleiben sollten. Ich würde im Testnetz mal das Logging für "dropped packets" einschalten und die Logs analysieren.

 

Christoph

[stud0r 10]

Alle Aufgaben mit dem Typ E-Mail werden richtig über HTTPS hergestellt.

Bei den Aufgaben vom Typ Verzeichniss, welche mit dem DC hergestellt werden sollten bleibt es bei einemm "---".

 

Der Servername wechselt zudem immer ein wenig von EXCHANGE, welcher nach meiner Meinung falsch ist, und server.ddd.ch, was stimmen müsste. Er erhält jedoch auch dort keine Verbindung.

 

Ich habe auf beiden Server in der Registry volgendes eingetragen:

exchange:6001-6002;exchange.ddd.ch:6001-6002;server:6004;server.ddd.ch:6004

 

Zusätzlich

NSPI interface protocol sequences -> ncacn_http:6004

 

Sind diese Angaben richtig, oder benötige ich noch mehr auf dem DC

[stud0r 10]

Auf dem Exchange Server muss folgender Eintrag in die Registry:

 

ExchangeServer:593; ExchangeServerFQDN:593; ExchangeServer:6001-6002; ExchangeServerFQDN:6001-6002; ExchangeServer:6004; ExchangeServerFQDN:6004; GlobalCatalogServer:593; GlobalCatalogServerFQDN:593; GlobalCatalogServer:6004; GlobalCatalogServerFQDN:6004

 

und auf dem Domain Controller folgender:

NSPI interface protocol sequences -> ncacn_http:6004

 

Anhand dieser Anleitung funktioniert es:

http://www.outlookexchange.com/articles/HenrikWalther/RPC_over_HTTP.asp

[Christoph35 10]

...Die Registrie einträge hab ich vorgenommen ...

 

Also doch keine Registry-Einträge gemacht?!

 

Die Einträge mit Port 593 brauchts nicht unbedingt, geht auch ohne, hab ich festgestellt.

Mein Reg.-Eintrag lautet: exchserv:6001-6002;exchserv-fdn:6001-6002;exchserv:6004;exchserv-fqdn:6004 und auf dem DC der ncacn_http Eintrag. Damit funktionierts schon.

 

Christoph

[stud0r 10]

Ja so funktionierts auch, i weiss nicht wiso es zuvor nicht geklappt hat.

Ich hab es jetzt auch auf diese kürzere Version abgeändert.

 

über das Smartphone kommt bei mir jetzt auch die Fehlermeldung:

 

Die Synchronisierung ist aufgrund eines Fehlers auf dem Server fehlgeschlagen. Versuchen Sie es erneut. Fehlercode: HTTP_500

 

Beim direkten zugriff auf das /oma Verzeichnis kommt dieser

 

Systemfehler bei der Verarbeitung Ihrer Anforderung. Versuchen Sie es erneut. Wenden Sie sich an Ihren Administrator, wenn das Problem wiederholt auftritt.

 

Die Lösung von Microsoft

http://support.microsoft.com/default.aspx?kbid=817379&product=exch2003

 

funktioniert bei mir nicht.

 

Weiss jemand noch wie man dieses Problem beheben könnte.

 

Dankä

[stud0r 10]

Ohne SSL Verschlüsselung funktioniert es nun.

Mit SSL bleibt jedoch der Fehler jedoch bestehen, da unter Windows Mobile 2003 keine Zertifikate installiert werden könen.

 

Es funktioniert jedoch nur einmal, danach kommt nach langem warten eine Fehlermeldung: dev_10

 

Danke

[Dirk_privat 10]

Hi,

 

die Registry Einträge werden mit SP2 nicht mehr benötigt.

 

Gruß

Dirk

[stud0r 10]

Diese haben jedoch kein Einfluss auf die Synchronisation mit ActiveSync, worin das Problem liegt.

 

Die Beschreibung der Fehlermeldung meint: The device timed out while waiting for a response from the server.