Re: RPC over HTTPS
From: Ingo Morlock (IngoMorlock_at_discussions.microsoft.com)
Date: 10/14/04
- Next message: AS: "Private und Öffentliche Adressbereiche im internen LAN"
- Previous message: Ingo Morlock: "Re: RPC over HTTPS"
- Maybe in reply to: Ingo Morlock: "Re: RPC over HTTPS"
- Messages sorted by: [ date ] [ thread ]
Date: Thu, 14 Oct 2004 02:47:02 -0700
Hallo Christian,
sorry das ich mich solange nicht gemeldet habe, hatte extrem viel zu tun.
Mein Problem besteht aber immer noch. Stand jetzt:
Habe alles noch mal überprüft und versachiede einstellungen ausprobiert.
1. Wenn ich vom isa einen Aufruf mit https:/mail.externe_domäne.de mache,
kommt zuerst die Sicherheitswarnung" es sind keine Sperrinformationen für das
sicherheitszertifikat dieser site verfügbar. Soll der Vorgang fortgesetzt
werden? Danach werde ich nach benutzer und pw gefragt. danach kommt die
Fehlermeldung http403.2 was ja eigentlich richtig ist.
2. wenn ich das gleiche beim client mache kommt sofort die fehlermeldung:
seite kann nicht angezeigt werden. 500 interneer serverfehler - die
zertifikatkette wurde von einer nicht vertrauenswürdigen zertifizierungstelle
ausgestellt (-2146893019)
3. outlook versucht erst die verbindung über http und verbindet sich dann
aber über tcp. über tcp ist mailversand und empfang aber möglich....
4. auf dem isa ist das Zertifikat für mail.externe_domäne.de als
vertrauenswürdige Stamms. installiert.
5. auf dem isa ist das gleich zertifikat beim weblistener hinterlegt.
6. Frage. Laut Deiner anleitung soll ein zertifikat für die verbindung vom
client zum isa für mail.externe_domäne.de auf dem isa installiert sein. und
ein weiteres vom isa zum exchange mit mail.interne_domäne.lan auf dem
exchange. bei mir ist aber das zertifikat auf dem exchange gleich dem vom isa.
bin für weitere tipps sehr dankbar!!
gruß ingo
"Christian Gröbner [MVP]" wrote:
> Hallo Ingo,
>
> überprüfe mal, ob du vom Client aus bzw. vom ISA aus per IE eine
> Zertifikatswarnung bekommst. Wenn ja, musst du diese beheben.
>
> Auf dem ISA ist wichtig, dass der Computer und nicht der Benutzer der
> Zertifizierungsstelle vertraut!
>
> Öffne mal eine MMC und füge mit STRG + M die Zertifikate des lokalen
> Computers hinzu und überprüfe, ob als Vertrauenswürdige
> Zertifizierungsstelle die Zertifizierungsstelle des Zertifikates drin steht.
>
> Dass der interne Servername des Exchange Servers als Server drin steht ist
> normal, da die RPC Pakete auch an dieses gesendet werden.
>
> Gruß
>
> Christian
>
> --
>
> Christian Gröbner
> [MVP ISA Server]
>
>
> <anonymous@discussions.microsoft.com> schrieb im Newsbeitrag
> news:089a01c495a1$1b229120$a401280a@phx.gbl...
> Hallo Christian,
>
> den Eintrag in der host Datei hatte ich schon. Habe jetzt
> folgenden Effekt: OWA geht, Aufruf über IE
> https://mail.externe_domän.de/rpc/ bringt Server Fehler
> 500 Interner Serverfehler " Die Zerifikatkette wurde von
> einer nicht .... ausgestellt" ISA. Bei Outlook 2003 kann
> ich über mail.externe.de einen benutzernamen auflösen,
> doch dann wird als server wieder mldx.interne_domäne.lan
> eingetragen.
> Zum Fehler im IE: Das Zertifikat habe ich als
> Vertrauenswürdige Stammzertifizierungstelle importiert.
> Gruß Ingo
>
> >-----Originalnachricht-----
> >Hallo Ingo,
> >
> >auf dem Exchange Server brauchst du kein weiteres
> Zertifikat, da dieser
> >schon eines hat.
> >Wichtig ist, dass das Zertifikat gültig ist und der ISA
> der der
> >Stammzertifizierungsstelle des Zertifikates vertraut.
> >In der Webveröffentlichungsregel musst du dann als
> Weiterleitungsserver den
> >FQDN, also mail.externe_domäne.de eintragen und
> zusätzlich auf dem ISA in
> >der Hosts Datei folgenden Eintrag hinzufügen.
> >
> >xxx.xxx.xxx.xxx mail.externe_domäne.de
> (xxx.xxx.xxx.xxx ist die interne IP
> >des Exchange)
> >
> >Zusätzlich brauchst du auf dem ISA das gleiche
> Zertifikat, d.h. du musst das
> >Zertifikat, mit privatem Schlüssel, vom Exchange
> exportieren und auf dem ISA
> >in das Computerkonto importieren und dem Weblistener
> hinzufügen.
> >
> >Das der ISA nicht in der Domäne ist, ist kein Problem.
> >
> >Dann sollte es funktionieren.
> >
> >Gruß
> >
> >Christian
> >--
> >
> >Christian Gröbner
> >[MVP ISA Server]
> >
> >
> ><anonymous@discussions.microsoft.com> schrieb im
> Newsbeitrag
> >news:069c01c4957b$5cb21ff0$a401280a@phx.gbl...
> >Hallo Christian,
> >
> >danke erst mal für die schnelle Antwort.
> >
> >Habe noch vergessen zu erwähnen, die
> >Zertifizierungsstelle läuft auf dem DC. DC ist nicht
> >gleich Exchange.
> >Noch mal genau nachgefragt:
> >das Zertifikat für meinen internen exchange lautet auf:
> >mail.externe_domäne.de Outlook Wb Access funktioniert mit
> >SSL. Mein Exchange ist auch per smtp über
> >mail.externe_domäne.de erreichbar.
> >der Exchange selber hat den FQDN
> mldex.interne_domäne.lan.
> >Wie soll ich jetzt ein zweites Zertifikat für den
> >exchange hinterlegen? oder sollte ich das bestehende
> >ändern?
> >PS: der isa ist nicht AD integriert....geplant ist ein 2.
> >isa der Ad integriert ist!
> >Gruß Ingo
> >
> >>-----Originalnachricht-----
> >>Hallo Ingo,
> >>
> >>wichtig ist:
> >>
> >>1. Die Zertifikate sind nicht abgelaufen
> >>2. Der ISA, also der Computer muss der
> >Zertifizierungsstelle des
> >>Zertifikates auf dem Exchange vertrauen
> >>3. Der Client muss der Zertifizierungsstelle des
> >Zertifikates auf dem ISA
> >>vertrauen
> >>4. Die FQDN der Zertifikate müssen mit dem FQDN
> >übereinstimmen, mit dem man
> >>den Server aufruft.
> >>
> >>Du kannst also das Zertifikat mit extern.domäne.de auf
> >dem Exchange
> >>installieren zu beachten ist hierbei allerdings:
> >>
> >>1. In der Webveröffentlichungsregel musst!! du als Ziel
> >den FQDN des
> >>Zertifikates eingeben.
> >>2. Auf dem ISA in die Hostdatei einen Eintrag machen,
> >der extern.domäne.de
> >>auf deinen internen Exchange umleitet.
> >>
> >>Ob alles funktioniert, kannst du prüfen, indem du von
> >extern im IE mal
> >>extern.domäne.de/rpc aufrufst.
> >>
> >>Falls du noch weitere Fragen haben solltest, dann
> >einfach nochmal melden :-)
> >>
> >>Gruß
> >>Christian
> >>
> >>--
> >>Christian Gröbner
> >>MVP ISA Server
> >>
> >>"Ingo Morlock" <anonymous@discussions.microsoft.com>
> >schrieb im Newsbeitrag
> >>news:764301c494eb$f8183d20$a501280a@phx.gbl...
> >>Hallo NG,
> >>
> >>Umgebung: Isa 2000 auf W2k3-Server, Exchange2003 auf
> W2k3
> >>Server. OWA funktiuoniert. Möchte nun RPC over HTTPS
> >>einrichten und bin nach der Anleutung von msisafaq
> >>vorgegangen.
> >>mailserver heist mldex.ml.lan zertifikat für den
> exchange
> >>lautet aber auf mail.xyz.de kann ich ein weiters
> >>Zertifikat für die verbindung isa exchange hinterlegen?
> >>geht das überhaupt beides gleichzeitig? und funktioniert
> >>eigentlich der interne FQDN mldex.ml.lan mit dem
> externen
> >>FQDN mail.xyz.de/rpc ?
> >>Bin für alle Tipps dankbar!
> >>Gruß Ingo Morlock
> >>lockel@gmx.net
> >>
> >>
> >>.
> >>
> >
> >
> >.
> >
>
>
>
"Christian Gröbner [MVP]" wrote:
> Hallo Ingo,
>
> überprüfe mal, ob du vom Client aus bzw. vom ISA aus per IE eine
> Zertifikatswarnung bekommst. Wenn ja, musst du diese beheben.
>
> Auf dem ISA ist wichtig, dass der Computer und nicht der Benutzer der
> Zertifizierungsstelle vertraut!
>
> Öffne mal eine MMC und füge mit STRG + M die Zertifikate des lokalen
> Computers hinzu und überprüfe, ob als Vertrauenswürdige
> Zertifizierungsstelle die Zertifizierungsstelle des Zertifikates drin steht.
>
> Dass der interne Servername des Exchange Servers als Server drin steht ist
> normal, da die RPC Pakete auch an dieses gesendet werden.
>
> Gruß
>
> Christian
>
> --
>
> Christian Gröbner
> [MVP ISA Server]
>
>
> <anonymous@discussions.microsoft.com> schrieb im Newsbeitrag
> news:089a01c495a1$1b229120$a401280a@phx.gbl...
> Hallo Christian,
>
> den Eintrag in der host Datei hatte ich schon. Habe jetzt
> folgenden Effekt: OWA geht, Aufruf über IE
> https://mail.externe_domän.de/rpc/ bringt Server Fehler
> 500 Interner Serverfehler " Die Zerifikatkette wurde von
> einer nicht .... ausgestellt" ISA. Bei Outlook 2003 kann
> ich über mail.externe.de einen benutzernamen auflösen,
> doch dann wird als server wieder mldx.interne_domäne.lan
> eingetragen.
> Zum Fehler im IE: Das Zertifikat habe ich als
> Vertrauenswürdige Stammzertifizierungstelle importiert.
> Gruß Ingo
>
> >-----Originalnachricht-----
> >Hallo Ingo,
> >
> >auf dem Exchange Server brauchst du kein weiteres
> Zertifikat, da dieser
> >schon eines hat.
> >Wichtig ist, dass das Zertifikat gültig ist und der ISA
> der der
> >Stammzertifizierungsstelle des Zertifikates vertraut.
> >In der Webveröffentlichungsregel musst du dann als
> Weiterleitungsserver den
> >FQDN, also mail.externe_domäne.de eintragen und
> zusätzlich auf dem ISA in
> >der Hosts Datei folgenden Eintrag hinzufügen.
> >
> >xxx.xxx.xxx.xxx mail.externe_domäne.de
> (xxx.xxx.xxx.xxx ist die interne IP
> >des Exchange)
> >
> >Zusätzlich brauchst du auf dem ISA das gleiche
> Zertifikat, d.h. du musst das
> >Zertifikat, mit privatem Schlüssel, vom Exchange
> exportieren und auf dem ISA
> >in das Computerkonto importieren und dem Weblistener
> hinzufügen.
> >
> >Das der ISA nicht in der Domäne ist, ist kein Problem.
> >
> >Dann sollte es funktionieren.
> >
> >Gruß
> >
> >Christian
> >--
> >
> >Christian Gröbner
> >[MVP ISA Server]
> >
> >
> ><anonymous@discussions.microsoft.com> schrieb im
> Newsbeitrag
> >news:069c01c4957b$5cb21ff0$a401280a@phx.gbl...
> >Hallo Christian,
> >
> >danke erst mal für die schnelle Antwort.
> >
> >Habe noch vergessen zu erwähnen, die
> >Zertifizierungsstelle läuft auf dem DC. DC ist nicht
> >gleich Exchange.
> >Noch mal genau nachgefragt:
> >das Zertifikat für meinen internen exchange lautet auf:
> >mail.externe_domäne.de Outlook Wb Access funktioniert mit
> >SSL. Mein Exchange ist auch per smtp über
> >mail.externe_domäne.de erreichbar.
> >der Exchange selber hat den FQDN
> mldex.interne_domäne.lan.
> >Wie soll ich jetzt ein zweites Zertifikat für den
> >exchange hinterlegen? oder sollte ich das bestehende
> >ändern?
> >PS: der isa ist nicht AD integriert....geplant ist ein 2.
> >isa der Ad integriert ist!
> >Gruß Ingo
> >
> >>-----Originalnachricht-----
> >>Hallo Ingo,
> >>
> >>wichtig ist:
> >>
> >>1. Die Zertifikate sind nicht abgelaufen
> >>2. Der ISA, also der Computer muss der
> >Zertifizierungsstelle des
> >>Zertifikates auf dem Exchange vertrauen
> >>3. Der Client muss der Zertifizierungsstelle des
> >Zertifikates auf dem ISA
> >>vertrauen
> >>4. Die FQDN der Zertifikate müssen mit dem FQDN
> >übereinstimmen, mit dem man
> >>den Server aufruft.
> >>
> >>Du kannst also das Zertifikat mit extern.domäne.de auf
> >dem Exchange
> >>installieren zu beachten ist hierbei allerdings:
> >>
> >>1. In der Webveröffentlichungsregel musst!! du als Ziel
> >den FQDN des
> >>Zertifikates eingeben.
> >>2. Auf dem ISA in die Hostdatei einen Eintrag machen,
> >der extern.domäne.de
> >>auf deinen internen Exchange umleitet.
> >>
> >>Ob alles funktioniert, kannst du prüfen, indem du von
> >extern im IE mal
> >>extern.domäne.de/rpc aufrufst.
> >>
> >>Falls du noch weitere Fragen haben solltest, dann
> >einfach nochmal melden :-)
> >>
> >>Gruß
> >>Christian
> >>
> >>--
> >>Christian Gröbner
> >>MVP ISA Server
> >>
> >>"Ingo Morlock" <anonymous@discussions.microsoft.com>
> >schrieb im Newsbeitrag
> >>news:764301c494eb$f8183d20$a501280a@phx.gbl...
> >>Hallo NG,
> >>
> >>Umgebung: Isa 2000 auf W2k3-Server, Exchange2003 auf
> W2k3
> >>Server. OWA funktiuoniert. Möchte nun RPC over HTTPS
> >>einrichten und bin nach der Anleutung von msisafaq
> >>vorgegangen.
> >>mailserver heist mldex.ml.lan zertifikat für den
> exchange
> >>lautet aber auf mail.xyz.de kann ich ein weiters
> >>Zertifikat für die verbindung isa exchange hinterlegen?
> >>geht das überhaupt beides gleichzeitig? und funktioniert
> >>eigentlich der interne FQDN mldex.ml.lan mit dem
> externen
> >>FQDN mail.xyz.de/rpc ?
> >>Bin für alle Tipps dankbar!
> >>Gruß Ingo Morlock
> >>lockel@gmx.net
> >>
> >>
> >>.
> >>
> >
> >
> >.
> >
>
>
>
- Next message: AS: "Private und Öffentliche Adressbereiche im internen LAN"
- Previous message: Ingo Morlock: "Re: RPC over HTTPS"
- Maybe in reply to: Ingo Morlock: "Re: RPC over HTTPS"
- Messages sorted by: [ date ] [ thread ]
Relevant Pages
|
