RPC over HTTPS in einer FE/BE Konstellation

[MikeKellner 10]

Hallo Leute, ich habe in meiner Testumgebung nach dieser Anleitung http://www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3RPCHTTPDep/1156cae0-0d37-48a1-a254-eb70a4e64416.mspx?mfr=true'>http://www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3RPCHTTPDep/1156cae0-0d37-48a1-a254-eb70a4e64416.mspx?mfr=true'>http://www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3RPCHTTPDep/1156cae0-0d37-48a1-a254-eb70a4e64416.mspx?mfr=true das Ganze eingericchtet. Ich habe es schon zweimal identisch aufgesetzt und bin schon echt am verzweifeln weil ich immer an der selben Stelle nicht voran komme.

Ich habe 2 Virtuelle Maschinen

 

1x 2003 SP1 DC/GC Exchange 2003 SP2 2 Backend Server

1x 2003 SP1 Exchange 2003 Sp2 Frontend Server

 

Dann habe ich folgendes gemacht

 

1. Selfssl Zertifikat erstellt

2. Zertifikat am Client installiert

3. virtuelles Verzeichnes konfiguriert

Test:

https://frontend.test.local/rpc

3x Benutzername:Passwort eingegeben und den Fehler erhalten.

 

Sie haben nicht die erforderliche Berechtigung, um die Seite anzuzeigen.

Aufgrund der Zugriffssteuerungsliste (ACL = Access Control List), die für diese Ressource auf dem Webserver konfiguriert wurde, haben Sie nicht die erforderliche Berechtigung, um dieses Verzeichnis oder diese Seite anzuzeigen.

 

HTTP-Fehler 401.3 - Nicht autorisiert: Der Zugriff auf die angeforderte Ressource wird aufgrund einer Zugriffssteuerungsliste (ACL = Access Control List) verweigert.

Internet-Informationsdienste (IIS)

 

 

Quelle: http://www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3RPCHTTPDep/1156cae0-0d37-48a1-a254-eb70a4e64416.mspx?mfr=true

 

sollte demnach passen.

 

4. FE/BE konfiguriert

Test:

https://frontend.test.local/exchange

Zugriff auf ein beliebiges Postfach

 

5. Am FE BE jeweils die FE/BE- RPC-http Funktionalität bestimmt.

6. Reboot

7. Alle Ports kontrolliert

http://www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3RPCHTTPDep/1156cae0-0d37-48a1-a254-eb70a4e64416.mspx?mfr=true

 

8. Outlook konfiguriert

Test:

 

Schlägt fehl mit der Fehlermeldung:

 

Meldung:

"Die Anmeldung von Outllook ist fehlgeschlagen. Überprüfen Sie Ihre Netzwerkverbindung, sowie den Server- und Postfachnamen. Es steht keine Verbindung zum Microsoft Exchange Server zur Verfügung. Outlook muß im Onlinemodus oder verbunden sein, um diesen Vorgang auszuführen."

 

 

Was mache ich falsch oder was muss ich noch tun?

[MikeKellner 10]

Ich habe mal das Log des IIS gelöscht und eine OL Anmeldung versucht. Dann wird folgendes ins Log geschrieben.

 

 

2006-07-25 15:02:29 W3SVC1 IP des Frontend RPC_OUT_DATA /rpc/rpcproxy.dll frontend.test.local:6002 443 Administrator@test.local meine IP MSRPC 200 0 0

2006-07-25 15:02:29 W3SVC1 IP des Frontend RPC_IN_DATA /rpc/rpcproxy.dll frontend.test.local:6002 443 Administrator@test.local meine IP MSRPC 200 0 0

2006-07-25 15:02:29 W3SVC1 IP des Frontend RPC_IN_DATA /rpc/rpcproxy.dll frontend.test.local:593 443 Administrator@test.local meine IP MSRPC 200 0 0

2006-07-25 15:02:29 W3SVC1 IP des Frontend RPC_OUT_DATA /rpc/rpcproxy.dll frontend.test.local:593 443 Administrator@test.local meine IP MSRPC 200 0 0

2006-07-25 15:02:29 W3SVC1 IP des Frontend RPC_IN_DATA /rpc/rpcproxy.dll frontend.test.local:6004 443 Administrator@test.local meine IP MSRPC 200 0 0

2006-07-25 15:02:29 W3SVC1 IP des Frontend RPC_OUT_DATA /rpc/rpcproxy.dll frontend.test.local:6004 443 Administrator@test.local meine IP MSRPC 200 0 0

2006-07-25 15:02:29 W3SVC1 IP des Frontend RPC_IN_DATA /rpc/rpcproxy.dll frontend.test.local:593 443 Administrator@test.local meine IP MSRPC 200 0 0

2006-07-25 15:02:29 W3SVC1 IP des Frontend RPC_OUT_DATA /rpc/rpcproxy.dll frontend.test.local:593 443 Administrator@test.local meine IP MSRPC 200 0 0

2006-07-25 15:02:33 W3SVC1 IP des Frontend POLL /exchange/Administrator/Aufgaben - 443 administrator meine IP Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322;+InfoPath.1;+.NET+CLR+2.0.50727) 207 0 0

2006-07-25 15:02:33 W3SVC1 IP des Frontend POLL /exchange/Administrator/Kalender - 443 administrator meine IP Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+1.1.4322;+InfoPath.1;+.NET+CLR+2.0.50727) 207 0 0

2006-07-25 15:02:43 W3SVC1 IP des Frontend RPC_IN_DATA /rpc/rpcproxy.dll frontend.test.local:6002 443 Administrator@test.local meine IP MSRPC 200 0 0

2006-07-25 15:02:43 W3SVC1 IP des Frontend RPC_OUT_DATA /rpc/rpcproxy.dll frontend.test.local:6002 443 Administrator@test.local meine IP MSRPC 200 0 0

2006-07-25 15:02:43 W3SVC1 IP des Frontend RPC_IN_DATA /rpc/rpcproxy.dll frontend.test.local:593 443 Administrator@test.local meine IP MSRPC 200 0 0

2006-07-25 15:02:43 W3SVC1 IP des Frontend RPC_OUT_DATA /rpc/rpcproxy.dll frontend.test.local:593 443 Administrator@test.local meine IP MSRPC 200 0 0

2006-07-25 15:02:43 W3SVC1 IP des Frontend RPC_IN_DATA /rpc/rpcproxy.dll frontend.test.local:6004 443 Administrator@test.local meine IP MSRPC 200 0 0

2006-07-25 15:02:43 W3SVC1 IP des Frontend RPC_OUT_DATA /rpc/rpcproxy.dll frontend.test.local:6004 443 Administrator@test.local meine IP MSRPC 200 0 0

2006-07-25 15:02:43 W3SVC1 IP des Frontend RPC_IN_DATA /rpc/rpcproxy.dll frontend.test.local:593 443 Administrator@test.local meine IP MSRPC 200 0 0

2006-07-25 15:02:43 W3SVC1 IP des Frontend RPC_OUT_DATA /rpc/rpcproxy.dll frontend.test.local:593 443 Administrator@test.local meine IP MSRPC 200 0 0

2006-07-25 15:03:22 W3SVC1 IP des Frontend RPC_IN_DATA /rpc/rpcproxy.dll frontend.test.local:6002 443 Administrator@test.local meine IP MSRPC 200 0 0

2006-07-25 15:03:22 W3SVC1 IP des Frontend RPC_OUT_DATA /rpc/rpcproxy.dll frontend.test.local:6002 443 Administrator@test.local meine IP MSRPC 200 0 0

2006-07-25 15:03:22 W3SVC1 IP des Frontend RPC_IN_DATA /rpc/rpcproxy.dll frontend.test.local:593 443 Administrator@test.local meine IP MSRPC 200 0 0

2006-07-25 15:03:22 W3SVC1 IP des Frontend RPC_OUT_DATA /rpc/rpcproxy.dll frontend.test.local:593 443 Administrator@test.local meine IP MSRPC 200 0 0

2006-07-25 15:03:22 W3SVC1 IP des Frontend RPC_IN_DATA /rpc/rpcproxy.dll frontend.test.local:6004 443 Administrator@test.local meine IP MSRPC 200 0 0

2006-07-25 15:03:22 W3SVC1 IP des Frontend RPC_OUT_DATA /rpc/rpcproxy.dll

[MikeKellner 10]

Am FE führe ich den Befehl rpccfg /hd aus und bekomme folgenden Fehler Error: Expected ':' in string ''.

[Christoph35 10]

Hi,

 

wie hast Du die Einstellungen für den RPC/HTTP Zugang in Outlook 2003 konfiguriert?

 

Welche Authentifizierungsmethode verwendest Du?

 

Christoph

[MikeKellner 10]

Hallo Christoph35,

 

ich verwende als Serveradresse und HTTPs Adresse frontend.test.local. Standardauth ist eingestellt und der Name auf dem Zertifikat lautet genauso. Eine Anfrage vom Client auf den Server mit https://frontend.test.local läuft ohne Zertifikatsfehler durch.

[Christoph35 10]

Hast Du gegenseitige Auth. eingestellt mit "msstd:frontend.test.local"?

 

Ist Basic Auth. für das virt. Verzeichnis "rpc" eingestellt?

 

Die Server Adresse für das Auffinden des Users muss übrigens die BackEnd Adresse sein.

 

Christoph

[MikeKellner 10]

Hast Du gegenseitige Auth. eingestellt mit "msstd:frontend.test.local"?

 

Ja

 

Ist Basic Auth. für das virt. Verzeichnis "rpc" eingestellt?

 

Ja

 

Die Server Adresse für das Auffinden des Users muss übrigens die BackEnd Adresse sein.

 

Im ersten Fenster der Clientkonfiguration?

[Christoph35 10]

Ja, da wo der Server und der Username angegeben werden soll.

 

Christoph

[MikeKellner 10]

Wenn ich als Serveradresse den Backend einstelle und die Proxy Einstellungen auf frontend lasse, dann funktioniert es.

 

Das kann es doch aber nicht sein, oder? Wie soll ich den Backend von außen erreichbar machen und auf was für Ports?

[MikeKellner 10]

Am FE führe ich den Befehl rpccfg /hd aus und bekomme folgenden Fehler Error: Expected ':' in string ''.

 

 

Der Fehler ist aber trotzdem nicht normal

[Christoph35 10]

Wenn ich als Serveradresse den Backend einstelle und die Proxy Einstellungen auf frontend lasse, dann funktioniert es.

 

Das kann es doch aber nicht sein, oder? Wie soll ich den Backend von außen erreichbar machen und auf was für Ports?

 

Brauchst Du nicht, der RPC-Proxy auf dem FE reicht das durch. Ich habe da auch ne ganze Weile gebraucht, bis ich das rausgefunden hatte.

 

Christoph

[MikeKellner 10]

Was brauche ich nicht?

[Christoph35 10]

Was brauche ich nicht?

 

Den BE von außen zugänglich machen. Von außen muss für RPC/HTTP(S) lediglich der FE über 443 erreichbar sein.

 

Christoph

[MikeKellner 10]

Das kann doch nicht richtig sein.

 

Ich stelle Frontend ein und der Client geht zum Frontend. Resultat es geht nicht

Ich stelle Backend ein der ja von außen nun auf die gleiche IP des Frontend zeigen muss. Und warum sollte das Funktionieren?

 

Der Frontend muss doch alle anfragen annehmen.

[MikeKellner 10]

Den BE von außen zugänglich machen. Von außen muss für RPC/HTTP(S) lediglich der FE über 443 erreichbar sein.

 

 

Ich benötige den BE doch zum auflösen des Usernamens.