Discussion:
OWA - Zielprinzipal falsch?
(zu alt für eine Antwort)
Volker Strähle
2010-02-21 15:42:42 UTC
Permalink
Tag Leute,

ich glaub ich bin zu doof. Es geht um Exchange 2007 (SBS2008)
Veröffentlichung via ISA 2006.

1. SMTP geht.
2. OWA geht nicht, an RPC will ich noch gar nicht denken
3. Standardwebsite (:80) geht nicht

Ich habe OWA über den Assistenten veröffentlicht, bekomme aber von Extern
Fehler 500 Zielprinzipalname falsch. Ein Regeltest der Richtlinie ergab das
gleiche auch auf dem ISA-Server. Passendes Zertifikat ist aber installiert,
ist grün und kann ausgewählt werden. Rufe ich OWA im Explorer auf dem ISA
Server auf, bekomme ich alles einwandfrei und ohne Zertifikatsfehler
angezeigt.

Was ebenfalls nicht geht ist die Webserververöffentlichung auf Port 80.
Obwohl eine Regel (via Assistent) erstellt wurde, wird die Verbindung von
der Standardregel verweigert.

Fällt euch dazu was ein?


Volker
Jens Baier
2010-02-21 15:51:53 UTC
Permalink
Hi,
Post by Volker Strähle
ich glaub ich bin zu doof. Es geht um Exchange 2007 (SBS2008)
Veröffentlichung via ISA 2006.
niemals
Post by Volker Strähle
Ich habe OWA über den Assistenten veröffentlicht, bekomme aber von Extern
Fehler 500 Zielprinzipalname falsch. Ein Regeltest der Richtlinie ergab
das gleiche auch auf dem ISA-Server. Passendes Zertifikat ist aber
installiert, ist grün und kann ausgewählt werden. Rufe ich OWA im Explorer
auf dem ISA Server auf, bekomme ich alles einwandfrei und ohne
Zertifikatsfehler angezeigt.
wie sieht denn der interne und externe Name aus?
Du brauchst ein Zertifikat am ISA Listener, welches auf den CN des
oeffentlichen Webseitenaufrufs von OWQ ausgestellt ist und in der OWA Regel
muss der Name, welcher fuer den internen OWA Server verwendet wird,
ebenfalls mit dem CN uebereinstimmen, sprich das Zertifikat am Exchange, dem
CN entsprechen
http://www.isaserver.org/tutorials/error505.html
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Volker Strähle
2010-02-21 16:38:39 UTC
Permalink
Post by Jens Baier
...
wie sieht denn der interne und externe Name aus?
Du brauchst ein Zertifikat am ISA Listener, welches auf den CN des
oeffentlichen Webseitenaufrufs von OWQ ausgestellt ist und in der OWA
Regel muss der Name, welcher fuer den internen OWA Server verwendet wird,
ebenfalls mit dem CN uebereinstimmen, sprich das Zertifikat am Exchange,
dem CN entsprechen
extern remote.blabla.com
SBS remote.blabla.com
Zertifikat lautet auf remote.blabla.com

Bislang hatte ich immer mit ISA2004 auf separatem PC und SBS2003 gearbeitet,
da ging da ja auch.

Zertifikatsfehler ist eine Sache, was mich aber grundlegend stört ist die
Tatsache, dass der Webserver von extern auch nicht zugreifbar ist. Irgendwie
sehe ich da eine Zusammenhang. Der ISA2006 ist übrigens eine komplette
Neuinstallation und hat keine 2004er Leichen.

Kann es sein, dass am IIS auf dem SBS noch was geändert/aktiviert werden
muss?
Könnte es sein, dass irgendeine Standardmäßig beim SBS vorhandene Richtlinie
den Zugriff verhindert?

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7f341602-d2d0-45f5-bad0-bd5af3ed39fd
habe ich schon gelesen, aber das stand nix weiter neues drin.

Volker
Volker Strähle
2010-02-22 09:38:48 UTC
Permalink
Ich hab jetzt gerade mal in den DNS-Server auf dem SBS geschaut.

Für remote.blabla.com steht da eine IP-Adresse aus dem externen Subnet des
ISA als Host(A) drin, aber dies ist weder die IP-Adresse des ISA noch des
Routers. Wie kommt denn sowas?

Nach meinem Verständnis müßte da doch die Adresse des SBS stehen oder?

Volker
unknown
2010-02-22 10:01:58 UTC
Permalink
moin volker,
Post by Volker Strähle
Nach meinem Verständnis müßte da doch die Adresse des SBS stehen oder?
eine webveröffentlichung läuft (meiner meinung nach) im idealfall so ab:
externer dns-name (owa.firma.de) läuft auf externe karte des isas auf.
interner dns-name (owa.firma.local) läuft auf den internen exchanger.
du händelst 2 sessions, mit 2 zertifikaten, falls du intern auch https
verwenden möchtest.
eine alternative dazu wäre split-dns, wenn erwünscht.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Volker Strähle
2010-02-22 10:20:17 UTC
Permalink
"Jens Mander" <~remove_this*jemand[at]aixperts[dot]de> schrieb im
Post by unknown
moin volker,
Post by Volker Strähle
Nach meinem Verständnis müßte da doch die Adresse des SBS stehen oder?
externer dns-name (owa.firma.de) läuft auf externe karte des isas auf.
interner dns-name (owa.firma.local) läuft auf den internen exchanger.
du händelst 2 sessions, mit 2 zertifikaten, falls du intern auch https
verwenden möchtest.
eine alternative dazu wäre split-dns, wenn erwünscht.
Ja so kannte ich das auch bisher (und lief ja auch so), aber mit SBS2008 ist
das wohl etwas anders, zumindest schreibt Mr Neale hier
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7f341602-d2d0-45f5-bad0-bd5af3ed39fd
unter "Publish Outlook Web Access" dass man als öffentlichen Namen und
Internal beides mal remote.blabla.com nehmen soll.

Bei Split-DNS müßte aber doch für remote.blabla.com die SBS-IP im DNS
stehen, oder? Zumindest lief das unter SBS2003 so.


Volker
Volker Strähle
2010-02-22 14:21:17 UTC
Permalink
Ich hab ein echtes Verständnisproblem.

Warum kann ich via IE vom ISA ohne Zertifikatsfehler auf OWA zugreifen und
wenn ich die Zugriffsregel mit dem gleichen Zertifikat und Servernamen teste
erhalte ich eine Fehlermeldung das der Zielprinzipalname falsch ist? Ist
doch unlogisch.

Volker
Jens Baier
2010-02-22 19:00:28 UTC
Permalink
Hi,
Post by Volker Strähle
Warum kann ich via IE vom ISA ohne Zertifikatsfehler auf OWA zugreifen und
wenn ich die Zugriffsregel mit dem gleichen Zertifikat und Servernamen
teste erhalte ich eine Fehlermeldung das der Zielprinzipalname falsch ist?
Ist doch unlogisch.
vermutlich weil am ISA ein Problem mit dem Zertifikat pruefen auftritt, bzw.
in der OWA Regel es im Feld "Bis" eine Differenz zum Zertifikat gibt?
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Volker Strähle
2010-02-23 16:09:37 UTC
Permalink
Post by Jens Baier
...
vermutlich weil am ISA ein Problem mit dem Zertifikat pruefen auftritt,
bzw. in der OWA Regel es im Feld "Bis" eine Differenz zum Zertifikat gibt?
Das Ding treibt mich zum Wahnsinn.

Ich habe jetzt auf dem SBS/Exchange den IIS kontrolliert => Zertifikat ist
richtig.

Ich habe alle Zertifikate erneut vom SBS exportiert, die Zertifikate auf dem
ISA gelöscht und neu installiert.

Vom ISA kann ich nach wie vor ohne Zertifikatsfehler via IE auf OWA
zugreifen, beim Testen der Regel kommt der bekannte Fehler.

Ich habe echt keine Ahnung mehr was ich noch machen könnte - außer platt und
neu.

Noch irgendeinen Vorschlag?


Volker
Volker Strähle
2010-02-23 20:50:34 UTC
Permalink
Es ist ja nicht so, dass der ISA ein böhmisches Dorf für mich ist, aber
dieser hier bringt mich um den Verstand.

Ich habe jetzt einen alten Rechner mit Win2003 Server und ISA2004, beide
Std. neu aufgesetzt, durchgepatched, Zertifikate installiert und Regeln
erstellt - und geht auf Anhieb!

Aber was mit dem ISA2006 ist???? Den stell ich jetzt erstmal nebenhin und
schau es mir später nochmal an.

Volker
Tobias Redelberger [MVP - SBS]
2010-02-24 09:07:23 UTC
Permalink
Hi Volker,
Post by Volker Strähle
Es ist ja nicht so, dass der ISA ein böhmisches Dorf für mich ist, aber
dieser hier bringt mich um den Verstand.
Ich habe jetzt einen alten Rechner mit Win2003 Server und ISA2004, beide
Std. neu aufgesetzt, durchgepatched, Zertifikate installiert und Regeln
erstellt - und geht auf Anhieb!
Aber was mit dem ISA2006 ist???? Den stell ich jetzt erstmal nebenhin und
schau es mir später nochmal an.
wie lange machst Du jetzt schon damit rum?

Wäre es da nicht einfacher, sich jemanden zu holen, der sich damit auskennt
und es Dir ggf. erklärt, was Du evtl. falsch gemacht hast?

Bei unseren Kunden (egal ob ISA 2006 für SBS 2008 aus der SBS 2003 SA oder
ISA 2006 Appliance) läuft es .. ;)


!!! Wichtig !!!
An alle: Bitte beachten, dass bei einem SBS 2008 "remote.blabla.com" default
als "Split-DNS"-Konfiguration (mit "remote.blabla.com" als Subdomain im
internen DNS-Server mit Verweis auf die INTERNE IP des SBS 2008) vorliegt
und während der SBS 2008 Installation eine Root-Zertifikat in die Enterprise
CA angelegt wird, welche optional ein Leaf-Zertifikat u.a. für die
IIS-Anwendungen mittels IAMW austellt (s.u.)
!!! Wichtig !!!

Hintergrundinformationen:

SBS 2008 - Changes that the IAMW makes
(http://technet.microsoft.com/en-us/library/dd335248.aspx)
[..]
Internal DNS
When you run the IAMW, the Forward lookup zone is created locally in
Windows SBS 2008 and points to remote.<YourDomainName>.Extension with the
following records:

* Start of authority (SOA) resource record. Points to the internal fully
qualified domain name (FQDN) of the server that is running Windows SBS 2008,
for example server.contoso.local.
* Name service (NS) resource record. Points to the FQDN of the server that
is running Windows SBS 2008.
* Host (A) resource record Points to the IP address of the server that is
running Windows SBS 2008.
[..]
External naming conventions
[..]
By default, the self-signed certificate that is created when you run the
IAMW uses the remote naming convention remote.<YourDomainName>.

* Web applications
* When you run the IAMW, the values of the Windows SBS 2008 Web application
host headers are configured with your chosen domain name. A leaf SSL
certificate is created and bound to the Web applications site on port 443
and bound to the Windows Sharepoint® * Services site on port 987.

For example, if your remote FQDN is remote.constoso.com and the external DNS
records are correct, you access the following resources as follows:

* Outlook Web Access: https://remote.contoso.com/owa
* Remote Web Workplace: https://remote.contoso.com/Remote
* Internal Web site: https://remote.contoso.com/:987

Terminal Services Gateway
Terminal Services Gateway (TS Gateway) is configured to use the SSL
certificate that the IAMW creates.
[..]
Exchange Server
* The Internet Send and Receive Connector banners are stamped with your
domain name.
* The URLs for Outlook Web Access, ActiveSync, and the Outlook Address Book
virtual directories are configured with your domain name.
* An Accepted Domain and Email-Address Policy is created by using your
domain name.
* An SSL certificate is configured for IMAP4, POP3, Web, and SMTP access.
This is the same certificate that is bound to the Web applications and the
Windows Sharepoint Services sites, and that is used by TS Gateway.

Certificate distribution
The first time you run the IAMW, a certificate distribution package is
created for deployment to non-domain joined client computers and mobile
devices.
[..]
Source: http://technet.microsoft.com/en-us/library/dd335248.aspx


Manage Self-Issued Certificates
(http://technet.microsoft.com/en-us/library/cc546020.aspx)
[..]
During installation, Windows SBS 2008 creates the root certificate by using
the internal domain name and then stores it in the certificate authority.
The certificate authority pushes the certificate via a Group Policy object
to all client computers that are joined to the domain.

When you finish running the Internet Address Management Wizard, Windows SBS
2008 creates a leaf certificate by using the Internet domain name that you
set up. This self-issued certificate is used to help protect remote access
to your network that uses Remote Web Workplace, Microsoft® Office Outlook®
Web Access, or Office Outlook Mobile Access.

The self-issued root certificate is a 1024-bit key that is issued for five
years. Before the expiration date, you receive a warning that the
self-issued certificate is expiring. When you receive the warning, you must
run the Fix My Network Wizard to renew it, and redistribute the root
certificate to all the remote client computers and devices. The
leaf-certificate will automatically renew every two years and does not
affect your users' connectivity to the server.
[..]
Source: http://technet.microsoft.com/en-us/library/cc546020.aspx
--
Tobias Redelberger
StarNET Services (HomeOffice)
Frankfurter Allee 193
D-10365 Berlin
Tel: +49 (30) 86 87 02 678
Mobil: +49 (163) 84 74 421
Email: ***@starnet-services.net
Web: http://www.starnet-services.net
Volker Strähle
2010-02-24 09:21:00 UTC
Permalink
Hi Tobias,

ich habe ja jetzt den ISA2004 am laufen und da geht alles. Den ISA2006
schaue ich mir zum WE nochmal an und setze ihn ggf neu auf. TMG gibt die
vorhandene Hardware (kein 64-bit) leider nicht her.

Vielleicht muss man mal 2 Tage Abstand haben um eine Lösung zu finden.

Volker

unknown
2010-02-24 07:48:08 UTC
Permalink
huhu volker,
Post by Volker Strähle
Ich habe echt keine Ahnung mehr was ich noch machen könnte - außer platt
und neu.
Noch irgendeinen Vorschlag?
sorry, so aus der ferne gehen mir auch langsam die ideen aus.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Lesen Sie weiter auf narkive:
Loading...