Discussion:
Veröffentlichung SysAid über ISA2006
(zu alt für eine Antwort)
Thomas Mauritz
2010-03-06 17:54:01 UTC
Permalink
Hallo,

wir betreibenn einen SBS2008 mit OWA, ActiveSync.

Jetzt teste ich gerade eine HelpDesk-Lösung (SysAid) für einen Kunden. Dazu
habe ich SysAid auf eine VM mit Windows 7 Pro installiert (Port 8181).

Aufruf im LAN: http://PCNAME:8181
Die Anmeldung an SysAid erfolgt über ide SysAid eigene Benutzerführung (in
der Freearelösung nicht über LDAP möglich).

Jetzt möchte ich den SysAid-PC über den ISA2006 veröffentlichen. Dabei soll
der SysAid-Server wie folgt erreichbar sein:

https://remote.unserefirma.de:8181 und kann dann vom ISA zum SysAidServer
über http und port 8181 weiter gehen.

Und hier habe ich Schwierigkeiten, das einzurichten. ich komme zwar mit
https://remote.unserefirma.de zu unserem Lan, aber nicht weiter.

Hat jemand eine Idee, wo der Fehler liegen kann?

Gruß
Thomas
unknown
2010-03-06 18:14:09 UTC
Permalink
hallo thomas,
Post by Thomas Mauritz
Hat jemand eine Idee, wo der Fehler liegen kann?
hast du in der veröffentlichungsregel und auf dem listener den alternativen
port angegeben? wenn ja, was sagt das logging dazu. und der
regel-testen-button zeigt grün an?
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Thomas Mauritz
2010-03-07 08:30:01 UTC
Permalink
Hallo Jens,

wo gibt man dann im Litener einen alternativen Port an?

Im ISA habe ich folgende Regeln (#x=Reihenfolge der Regeln):
#1 SBS2008 RWW Web Publishing Rule --> SBS 2008 Web Listener
#2 SBS Sharepoint Web Publishing Rule --> SBS 2008 Sharepoint Web Listener
#3 SBS2008 Exchange Mobile Access Web Publishing Rule --> SBS 2008 Web
Listener
#4 SBS2008 Exchange OWA Web Publishing Rule --> SBS 2008 Web Listener
#5 SBS2008 Exchange 2007 outlook Anywhere Web Publishing Rule --> SBS 2008
Web Listener
#7 SysAid Veröffentlichung

Im 'SBS 2008 Web Listener' sind folgende Einstellungen:
Networks --> External
Connections --> Nur SSL HTTPS auf Port 443
Certificates --> Use single cert for the Web listener
(remote.unserefirma.de)
Authentication --> No Authentication

Regel 'SysAid Veröffentlichung' Einstellungen':
- Register From: Anywhere
- Register To: this rule allpies to this publisherd site.
'remote.unserefirma.de'
Register To: Computer name or IP address...: 172.16.1.23
- Register Traffic: HTTPS und 'Require 128-bit encryption for HTTPS traffic'
- Register Listener: SysAid Weblistener_Port_8181
- Networks: external
- Connections: Nur HTTPS Port 8181
- Certificates: remote.unserefirma.de
- Authentication: No authentication
- Register Public name: Request for the following Web Site
'remote.unserefirma.de'
- Register Paths: External: <same as internal>, Internal path: /*
- Register Bridging: Redirect requset to HTTP Port: 8181

Wenn ich die Regel teste wird folgendes angezeigt:
UnserSever.InterneDomäne.local --> grün
172.16.1.23 --> grün
http://remote.unserefirma.de:8181 --> grün

Also alles OK

Wenn ich dann im Browser eingebe: https://remote.unserefirma.de:8181
sehe ich das die Verbindung zu unserem Server über die IP aufgebaut wird,
dann erhalte ich aber ein weissen Screen und gut. Das ist alles.

Und genau dort stehe ich jetzt und komme nicht weiter.

Hast Du oder jemand anderes noch eine Idee?

Gruß aus Bremen
Thomas
unknown
2010-03-07 08:50:56 UTC
Permalink
moin thomas,
Post by Thomas Mauritz
wo gibt man dann im Litener einen alternativen Port an?
das findest du auf dem listener unter der registerkarte "verbindungen".
dann noch dazu auf der veröffentlichungsregel unter "bridgin", falls der
interne webserver auch auf einem anderen port horcht.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Thomas Mauritz
2010-03-07 10:36:01 UTC
Permalink
Hallo Jens,
Post by unknown
das findest du auf dem listener unter der registerkarte "verbindungen".
in SBS Weblistener auf dem Register Verbindungen hätte ich das auch erwartet
und habe folgende Möglichkeiten:
- Client Connection Type:
- Enable HTTP Connection on Port (ist deaktiviert)
- Enable SSL (HTTPS) connection on Port: (ist bei uns 443)

- HTTP to HTTPS Redirection
- alle optionen sind deaktiviert

- Configure advanced Properties --> Button 'Advanced':
Numer of Connection (bei uns 'Unlimited' oder option 'Maximum')

Das ist alles was ich hier im Listener einstellen kann. Aber genau hier
würde ich auch den Fehler vermuten da bei mir die Einstellung eines opt.
Ports fehlt.
Post by unknown
dann noch dazu auf der veröffentlichungsregel unter "bridgin", falls der
interne webserver auch auf einem anderen port horcht.
Option 'Web server' ist gewählt:
Option 'Redirect request to HTTP Port' --> Ist gewählt mit Port 8181
Option 'Redirect request to SSL Port' --> Ist nicht gewählt

Das sollte so korrekt sein, da der Server (Win7) Pro auf HTTP, Port 8181 hört)

Intern ist die Verbindung über http://PCName:8181 erreichbar.

Das macht meiner Meinung nach alles Sinn was Du schreibst, nur die
Einstellmöglichkeit fehlt mir.

Gruß
Thomas
unknown
2010-03-07 11:02:54 UTC
Permalink
huhu thomas,
so langsam komme ich ein wenig durcheinander.
ich fasse mal zusammen, damit ich mich nicht weiter verhaspel:

extern verwendest du https bis zu isa - der listener soll auf dem
standardport hören (443)
somit also https://remote.firma.de
intern gehts dann mit http weiter, bridging schaltet dann von https nach
http.
somit http://intern.firma.de aber auf port 8181

der sysaid-kroms läuft auf einem sbs - der isa aber nicht?!

der listener sieht dann ungefähr so aus:
Loading Image...

und das bridging auf der regel so:
Loading Image...
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Thomas Mauritz
2010-03-07 12:06:01 UTC
Permalink
Hi Jens,

fas richtig:

Also:
SBS2008: 172.16.1.20/24 (Exch, OWA, SP, ActiveSync, DC, DNS, DHCP)
ISA Appliance: 172.16.1.30/24 (intern), 192.168.50.30/24 (extern)
SysAid: 172.16.1.23 (Windows 7 Pro)

also:

Ich stelle mir vor, das ich von Extern bis zum ISA über HTTPS komme und vom
ISA zum SysAid mit HTTP (Port 8181).

Ob ich nun von Extern über https://meineFirma.de:443 oder
https://meineFirma.de:8181 komme ist mir eigentlich egal. Wichtig ist das
verschlüsselt wird. Da auf dem SysAid-PC keine Verschlüsselung läuft, deshalb
HTTP mit Port 8181.

Ich hatte auch schon daran gedacht, dass ich den normalen Port 443 nutze,
dann komme ich aber nur bis zum SBS (intern), ich möchte aber zum SysAid-PC
über port 8181. Ich dachte das erst an irgend etwas wie die Erweiterung /owa
oder /remote --> /sysaid. Aber wie bekomme ich die weiterleitung vom SBS
wenn ich mit /sysadi komme zum PC mit Port 8181?

Deshalb habe ich gedacht, das muss auch einfacher und vorallem direkt gehen.
Also https://remote.unserefirma.de:8181 von Extern zum ISA und der ISA leitet
alle Pakete die auf Port 8181 rein kommen an den internen PC über HTTS und
Port 8181 weiter.

Das ist alles und muss doch Möglich sein.

Deine beiden Screenshots sehen bei mir genau so aus wie bei Dir, aber hört
der SBS WebListener auf port 443 und nicht auch noch auf 8181, was ich Deinem
posting entnommen habe und gehen soll. Ich sehe das so dass ich für den
SysAid einen eigenen Web Listener mit Port 8181 haben muss oder?


Gruß
Thomas
unknown
2010-03-07 13:07:50 UTC
Permalink
huhu,
Post by Thomas Mauritz
SBS2008: 172.16.1.20/24 (Exch, OWA, SP, ActiveSync, DC, DNS, DHCP)
ISA Appliance: 172.16.1.30/24 (intern), 192.168.50.30/24 (extern)
SysAid: 172.16.1.23 (Windows 7 Pro)
o.k.
Post by Thomas Mauritz
Ich stelle mir vor, das ich von Extern bis zum ISA über HTTPS komme und vom
ISA zum SysAid mit HTTP (Port 8181).
ah o.k. - jetzt verstehe ich (glaub ich) was du machen möchtest.
mit dem https-link möchtest du (über die jeweiligen unterverzeichnisse wie
z.b. /owa) auf deinem exchanger landen. wenn hingegen ein aufruf über http
erfolgt (egal ob nun mit :80 oder :8181), dann willst du auf der sysaid-site
vom 7ner landen. dies geht imho nur, wenn du den sysaid z.b. mit einem
unterverzeichnis ansprichst. du müsstest also eine zweite regel erstellen,
die auf den selben listener zugreift. dann baust du auf die zweite regel die
bedingung, das wenn jemand auf /sysaid zugreift, soll weitergeleitet werden
zu der 7ner kiste. ob du nun von extern aus mit http oder (besser) https
angerauscht kommst ist "nur" frage der konfiguration des listeners. du
könntest alles über https://remote.meinefirma.de:443 laufen lassen, so wie
ich das sehe.
Post by Thomas Mauritz
Ob ich nun von Extern über https://meineFirma.de:443 oder
https://meineFirma.de:8181 komme ist mir eigentlich egal. Wichtig ist das
verschlüsselt wird. Da auf dem SysAid-PC keine Verschlüsselung läuft, deshalb
HTTP mit Port 8181.
yo, aber mit dem isa dazwischen könntest du immerhin von extern bis zum isa
verschlüsseln, das ist doch schonmal was!
Post by Thomas Mauritz
Ich hatte auch schon daran gedacht, dass ich den normalen Port 443 nutze,
dann komme ich aber nur bis zum SBS (intern), ich möchte aber zum SysAid-PC
über port 8181. Ich dachte das erst an irgend etwas wie die Erweiterung /owa
oder /remote --> /sysaid. Aber wie bekomme ich die weiterleitung vom SBS
wenn ich mit /sysadi komme zum PC mit Port 8181?
vom sbs gar nicht - nur vom isa selber - mit einer zweiten regel (s.o.)
Post by Thomas Mauritz
Deine beiden Screenshots sehen bei mir genau so aus wie bei Dir, aber hört
der SBS WebListener auf port 443 und nicht auch noch auf 8181, was ich Deinem
posting entnommen habe und gehen soll. Ich sehe das so dass ich für den
SysAid einen eigenen Web Listener mit Port 8181 haben muss oder?
du kannst über einen weblistener schon mehrere sockets generieren, aber dann
würdest du mehrere ips und zertifikate benötigen und somit zwingend mit
https arbeiten müssen. wenn du stattdessen mit einem unterpfad (z.b.
"/sysaid") arbeitest könnte es auch mit einem listener/ip/zertifikat
funktionieren.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Thomas Mauritz
2010-03-07 15:08:01 UTC
Permalink
Hi Jens,

also wie sprechen beide über das Gleiche ;-)

Ich möchte am liebsten üder den 'normalen' Zugang zu unserem LAN von Extern
( HTTPS://remote.unserefirma.de), also verschlüsselt und dem Unterpfad
'/sysaid' auf die 7er Kiste, wo Sysaid läuft.

Ich habe auch eine Regel für den Zugriff erstellt, mit folgenden
Einstellungen:
Register TO: This rule...: remote.unserefirma.de
Register TO: Computer name or IP...: .. (IP des Win7-PCs)
Register TO: Forward the original host header... (NICHt angekreuzt)
Register TRAFFIC: HTTPS mit 128-bit verschlüsselung
Register LISTENER: SBS 2008 Web Listener (Port 443 und unser Cert)
Register PUBLIC NAME: this rule applies to: remote.unserefirma.de
Registe PATH: External= '/sysaid', Internal= '/*'
Register BRIDGING: HTTP und Port 8181

Ergebnis:
Wenn ich also über folgenden Link gehe: https://remote.meinefirma.de/sysaid

erhalte ich folgende Meldung
The page cannot be displayed
Error Code: 403 Forbidden. The server denied the specified
Uniform Resource Locator (URL). Contact the server
administrator. (12202)

Also sieht das so aus als würde ich bis zum SysAid-PC kommen oder? Nur der
PC mach noch Zicken, obwohl er im LAN über http://PCNAME:8181 erreichbar ist.

???
Thomas
unknown
2010-03-07 18:01:27 UTC
Permalink
huhu,
Post by Thomas Mauritz
also wie sprechen beide über das Gleiche ;-)
ja, so langsam kommts an - is halt sonntag. ;-)
Post by Thomas Mauritz
Ich möchte am liebsten üder den 'normalen' Zugang zu unserem LAN von Extern
( HTTPS://remote.unserefirma.de), also verschlüsselt und dem Unterpfad
'/sysaid' auf die 7er Kiste, wo Sysaid läuft.
yop!
Post by Thomas Mauritz
Register TO: This rule...: remote.unserefirma.de
Register TO: Computer name or IP...: .. (IP des Win7-PCs)
mal den namen ausprobiert (PCNAME)?!
Post by Thomas Mauritz
Register TO: Forward the original host header... (NICHt angekreuzt)
richtig!
Post by Thomas Mauritz
Register TRAFFIC: HTTPS mit 128-bit verschlüsselung
nur bis zum listener, nicht weitergeben!
Post by Thomas Mauritz
Register LISTENER: SBS 2008 Web Listener (Port 443 und unser Cert)
Register PUBLIC NAME: this rule applies to: remote.unserefirma.de
Registe PATH: External= '/sysaid', Internal= '/*'
Register BRIDGING: HTTP und Port 8181
moooooooooment - du musst hierfür 2 regeln erstellen, mit einer geht das
nicht. also eine regel für das exchange-geraffel und eine für dein süssääd.
Post by Thomas Mauritz
Also sieht das so aus als würde ich bis zum SysAid-PC kommen oder? Nur der
PC mach noch Zicken, obwohl er im LAN über http://PCNAME:8181 erreichbar ist.
für mich siehts so aus, als ob du das über eine regel alles zum sbs
kanalisierst?!

also eine regel, die den https-listener verwendet um /owa und so zum sbs zu
schicken.
und eine zweite regel, die /sysaid zum 7ner schickt!
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Thomas Mauritz
2010-03-08 07:18:01 UTC
Permalink
Moin Jens,

muss wohl doch was am Sonntag liegen ;-)
Post by unknown
Post by Thomas Mauritz
Register TO: This rule...: remote.unserefirma.de
Register TO: Computer name or IP...: .. (IP des Win7-PCs)
mal den namen ausprobiert (PCNAME)?!
Ja, den habe ich jetzt über den Browse-Button dort eintragen lassen.
Post by unknown
moooooooooment - du musst hierfür 2 regeln erstellen, mit einer geht das
nicht. also eine regel für das exchange-geraffel und eine für dein süssääd.
Das ist nicht so. Ich habe die regel für Exchange/SP und so unverändert
gelassen und für SysAid eine neue Regel erstellt, die zwar den gleichen
Listener verwendet, aber über Bridging zum W7 weiterleitet.

Trotzdem komme ich nicht zum Ziel. Gestern Abend habe ich dann noch einmal
eine n eue Regel erstellt, die von Extern HTTP und Port 8181 annimmt, und
Port 8181 und HTTP an den W7 weiter gibt. Auch hier komme ich nicht ans Ziel.
Das war allerdings spät und das muss ich heute noch einmal kontrollieren.

Also zusammengefasst möchte ich am liebsten:
1. Verschlüsselte Verbindung von Extern bis hin zum W7-PC
2. Verwendung unseres normalen Zugangs 'https://remote.unserefirma.de' plus
unterordner '/sysaid'

Das scheint doch irgendwie Möglich zu sein. Auch im ISA-Handbuch etc. habe
ich nicht so die richtige Lösung gefunden.

cu
Thomas

Volker Strähle
2010-03-07 11:25:28 UTC
Permalink
Post by Thomas Mauritz
...
Wenn ich dann im Browser eingebe: https://remote.unserefirma.de:8181
sehe ich das die Verbindung zu unserem Server über die IP aufgebaut wird,
dann erhalte ich aber ein weissen Screen und gut. Das ist alles.
Und genau dort stehe ich jetzt und komme nicht weiter.
Hast Du oder jemand anderes noch eine Idee?
Hallo Thomas,

wenn ich das richtig verstanden habe, dann testest Du
https://remote.unserefirma.de:8181 im LAN. Richtig?

Das dürfte beim SBS im LAN nicht funktionieren, da remote.unserefirma.de im
DNS auf den SBS eingetragen ist (OWA, RWW von extern).

So wie ich das sehe gibt es 2 Möglichkeiten:
1. Leg dir eine neue subdomain (z. B. helpdesk.unserefirma.de) an und leg
dafür entsprechende Regeln im ISA fest. Außerdem kannst Du
helpdesk.unserefirma.de im DNS als neue Zone anlegen und auf den
entsprechenden PC verweisen.

2. Der ISA darf nicht auf remote.unseredomain.de weiterleiten sondern auf
Deinen PC.

Volker
Thomas Mauritz
2010-03-07 12:23:01 UTC
Permalink
Hi Volker,
Post by Volker Strähle
wenn ich das richtig verstanden habe, dann testest Du
https://remote.unserefirma.de:8181 im LAN. Richtig?
Nein, dem ist nicht so. Im Lan ohne HTTPS sondern nur mit HTTP und Port 8181.
Post by Volker Strähle
Der ISA darf nicht auf remote.unseredomain.de weiterleiten sondern auf
Deinen PC.
Das ist auch so. Bridging in der ISA-Regel auf den internen PC über die IPm
HTTP und Port 8181.


Gruß
Thomas
Volker Strähle
2010-03-07 15:25:44 UTC
Permalink
Post by Thomas Mauritz
Hi Volker,
Post by Volker Strähle
wenn ich das richtig verstanden habe, dann testest Du
https://remote.unserefirma.de:8181 im LAN. Richtig?
Nein, dem ist nicht so. Im Lan ohne HTTPS sondern nur mit HTTP und Port 8181.
Post by Volker Strähle
Der ISA darf nicht auf remote.unseredomain.de weiterleiten sondern auf
Deinen PC.
Das ist auch so. Bridging in der ISA-Regel auf den internen PC über die IPm
HTTP und Port 8181.
Gruß
Thomas
Volker Strähle
2010-03-07 15:32:40 UTC
Permalink
Da bin ich wohl gerade auf den falschen Knopf gekommen. Sorry. Zum Thema

Ich versteh dann aber nicht, warum Du extern https://remote. ... aufrufen
willst, wenn intern nur http://remote...

Veröffentlich doch den PC mit Sysaid ganz normal als Webserver nur statt
Port 80 nimmst Du Port 8181 (im Listener und im Bridging. Damit der Aufruf
intern und extern mit der gleichen Adresse erfolgen kann würde ich wie
gesagt eine eigene Subdomain anlegen und auf dem SBS-DNS eintragen.

Volker
Thomas Mauritz
2010-03-07 08:41:01 UTC
Permalink
Im ISA-LOG kann ich nicht erkennen, das die SysAis-Veröffentlichungsregel
überhaupt vom ISA aufgerufen wird, wenn ich mich von einem anderen PC
versuche über https://remote.unserefirma.de:8181 zu verbinden.
Jens Baier
2010-03-06 18:43:24 UTC
Permalink
Hi,
Post by Thomas Mauritz
https://remote.unserefirma.de:8181 und kann dann vom ISA zum SysAidServer
über http und port 8181 weiter gehen.
Du musst die Tunnel Port Range fuer HTTPS um den Port erweitern
http://www.isaserver.org/tutorials/ISA-Server-Tools.html

Gruss Jens
www.nt-faq.de
www.it-training-grote.de
www.forefront-tmg.de
Thomas Mauritz
2010-03-06 20:38:01 UTC
Permalink
Hallo Jens,

ich habe mir den tipp von Dir durchgelesen, kann aber das Script nicht
downloaden, da ich es auf der seite nicht finden kann.

Auch in den zip-files die dort zum Download stehen ist das Script nicht drin.

Hast Du eine Idee wo ich das script her bekomme?

Gruß
Thomas
Thomas Mauritz
2010-03-06 20:46:01 UTC
Permalink
Vergiss meine n post von eben, habe script gefunden, were umsetzung machen
und berichten
Thomas Mauritz
2010-03-06 20:55:01 UTC
Permalink
Hallo Jens,

habe mir das Script angesehen, finde aber nur Verweise auf den ISa 2000 und
ISA 2004.

Hast Du eine Idee ob dieses Script dann auch mit dem ISA 2006 läuft?

Gruß
Thomas
Jens Baier
2010-03-06 21:12:10 UTC
Permalink
Hi,
Post by Thomas Mauritz
Hast Du eine Idee ob dieses Script dann auch mit dem ISA 2006 läuft?
juup, allerdings hat der andere jens angemerkt per PM, dass das evtl. gar
nicht von noeten sei. Teste mal
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Lesen Sie weiter auf narkive:
Loading...