Discussion:
ISA 2004, SBS-Exchange, Zertifikatsfehler
(zu alt für eine Antwort)
Volker Strähle
2010-01-10 14:18:45 UTC
Permalink
Also wir haben folgendes:

Internet ->Router (Dyn-IP) -> ISA 2004 -> SBS2003/Exchange

Nun habe ich Probleme mit dem Zugriff auf OWA aus dem Internet und erhalte
die Meldung "Fehlercode: 500 Interner Serverfehler. Das empfangene
Zertifikat ist abgelaufen. (-2146893016)"

Jetzt kommt das witzige: Outlook mit RPC-over-HTTPS funktioniert. Ich kenn
das immer nur andersrum.

Bis vor kurzem hatte auch OWA vom Internet her funktioniert.

Hat da jemand eine Erklärung oder einen Tipp wo sich das abgelaufene
Zertifikat verstecken könnte?

Volker
Jens Baier
2010-01-10 15:17:41 UTC
Permalink
Hi,
Post by Volker Strähle
Internet ->Router (Dyn-IP) -> ISA 2004 -> SBS2003/Exchange
OK
Post by Volker Strähle
Nun habe ich Probleme mit dem Zugriff auf OWA aus dem Internet und erhalte
die Meldung "Fehlercode: 500 Interner Serverfehler. Das empfangene
Zertifikat ist abgelaufen. (-2146893016)"
Hat da jemand eine Erklärung oder einen Tipp wo sich das abgelaufene
Zertifikat verstecken könnte?
Am ISA das Certificate auf dem CN desoeffentliche Namen oder das Cert am SBS
sprich Exchange
Kannst Du aber sehen, indem Du im IEW beim OWA Aufruf in die Eigenschaften
des Certificate gehst und dort nachguckst, wo es augstellt wurde!
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Volker Strähle
2010-01-10 15:33:40 UTC
Permalink
Also ich rufe vom Internet unsere OWA-Seite auf und erhalte o. g.
Zertifikatfehler. Lass ich mir dann im IE den Sicherheitsbericht anzeigen
(Schloss neben der Adressleiste), dann stimmt die Externe Domain und gültig
ist es bis Mitte 2010.

Was mich halt total stört ist, dass Outlook mit RPC-over-HTTPS geht. Bei
einem Zertifikatsfehler auf der Serverseite dürfte das doch erst recht nicht
gehen.

Volker
unknown
2010-01-10 17:16:31 UTC
Permalink
huhu volker,
Post by Volker Strähle
Also ich rufe vom Internet unsere OWA-Seite auf und erhalte o. g.
Zertifikatfehler. Lass ich mir dann im IE den Sicherheitsbericht anzeigen
(Schloss neben der Adressleiste), dann stimmt die Externe Domain und
gültig ist es bis Mitte 2010.
und wie schauts mit dem ca-cert aus - ist das noch aktuell?
Post by Volker Strähle
Was mich halt total stört ist, dass Outlook mit RPC-over-HTTPS geht. Bei
einem Zertifikatsfehler auf der Serverseite dürfte das doch erst recht
nicht gehen.
yo strange...
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Jens Baier
2010-01-10 17:48:38 UTC
Permalink
Hi Jungs,
Post by unknown
Post by Volker Strähle
Was mich halt total stört ist, dass Outlook mit RPC-over-HTTPS geht. Bei
einem Zertifikatsfehler auf der Serverseite dürfte das doch erst recht
nicht gehen.
yo strange...
no. RPC over HTTPS hat ja kein User Interface fuer Fehlermeldungen und so
lange der CN stimmt und dasCertificate gegen die Root CA trusted ist, gibt
es keine Fehlermeldung, es sei denn CRL Checking ist aktiv und das scheint
nicht der Fall zu sein, so das RPC/HTTPS oder OA halt keine Fehlermeldung
brint
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
unknown
2010-01-10 20:04:42 UTC
Permalink
hm,
Post by Jens Baier
no. RPC over HTTPS hat ja kein User Interface fuer Fehlermeldungen und so
lange der CN stimmt und dasCertificate gegen die Root CA trusted ist, gibt
es keine Fehlermeldung, es sei denn CRL Checking ist aktiv und das scheint
nicht der Fall zu sein, so das RPC/HTTPS oder OA halt keine Fehlermeldung
brint
aber bei nem zertifikatsfehler würde der zugriff doch gar nicht funtzen
oder?! das man keine fehlermeldung "sieht" ist klar.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Jens Baier
2010-01-10 17:49:31 UTC
Permalink
Hi,
Post by Volker Strähle
Also ich rufe vom Internet unsere OWA-Seite auf und erhalte o. g.
Zertifikatfehler. Lass ich mir dann im IE den Sicherheitsbericht anzeigen
(Schloss neben der Adressleiste), dann stimmt die Externe Domain und
gültig ist es bis Mitte 2010.
dann ist es das Certificate am SBS was abgelaufen ist
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Volker Strähle
2010-01-10 18:40:44 UTC
Permalink
Es war nicht das Zertifikat am SBS. Der Fehler kommt aus der Kombination
ISA2004, OWA/FBA, RPC/HTTPS und nur einer externen IP-Adresse. Um das oben
zum Laufen zu bekommen muss ich OWA/FBA am ISA ja erstmal über localhost
leiten, RPC/HTTPS läuft direkt durch. Localhost-Cert war abgelaufen, aber
SBS-Cert ist gültig. So geht dann RPC/HTTPS aber nicht OWA/FBA.

Volker
Post by Jens Baier
Hi,
Post by Volker Strähle
Also ich rufe vom Internet unsere OWA-Seite auf und erhalte o. g.
Zertifikatfehler. Lass ich mir dann im IE den Sicherheitsbericht anzeigen
(Schloss neben der Adressleiste), dann stimmt die Externe Domain und
gültig ist es bis Mitte 2010.
dann ist es das Certificate am SBS was abgelaufen ist
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Jens Baier
2010-01-10 18:57:49 UTC
Permalink
Hi,
Post by Volker Strähle
Es war nicht das Zertifikat am SBS. Der Fehler kommt aus der Kombination
ISA2004, OWA/FBA, RPC/HTTPS und nur einer externen IP-Adresse. Um das oben
zum Laufen zu bekommen muss ich OWA/FBA am ISA ja erstmal über localhost
leiten, RPC/HTTPS läuft direkt durch. Localhost-Cert war abgelaufen, aber
SBS-Cert ist gültig. So geht dann RPC/HTTPS aber nicht OWA/FBA.
ah, alles klar. Daher weht der Wind :-) ISA ist ja nicht auf dem SBS
Hast Du den Trick von isaserver.org genommen mit dem Localhost Listener -SBS
like tricky :-)
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
unknown
2010-01-10 20:05:46 UTC
Permalink
Post by Jens Baier
ah, alles klar. Daher weht der Wind :-) ISA ist ja nicht auf dem SBS
Hast Du den Trick von isaserver.org genommen mit dem Localhost
Listener -SBS like tricky :-)
ach herje, die olle kamelle. ;-)
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Volker Strähle
2010-01-11 06:58:39 UTC
Permalink
"Jens Mander" <~remove_this*jemand[at]aixperts[dot]de> schrieb im
Post by unknown
Post by Jens Baier
ah, alles klar. Daher weht der Wind :-) ISA ist ja nicht auf dem SBS
Hast Du den Trick von isaserver.org genommen mit dem Localhost
Listener -SBS like tricky :-)
ach herje, die olle kamelle. ;-)
Ich weiss - TMG....
unknown
2010-01-11 07:26:05 UTC
Permalink
Post by Volker Strähle
Ich weiss - TMG....
;-)))
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Lesen Sie weiter auf narkive:
Loading...