2
ISA 2006, Exchange 2007, Zertifizierungsstelle auf 2008 Standard
Hallo an alle,
leider habe ich ein kleines Problem mit der Verbindung von ISA 2006 SP1 und Exchange 2007 OWA – ich sitze nun seit ein paar Tagen an der Realisierung und habe haufenweise HowTo und Dokus durch – nur leider stellt sich kein erfolg ein.
Problembeschreibung:
Der ISA soll das OWA des Exchanges bereitstellen und anhand von AD Gruppen einen Zugriff erlauben oder ablehnen.
Zu den Gegebenheiten:
ISA 2006 SP1 auf 2003 im AD – DMZ.
Exchange 2007 auf 2008 Standard im AD – Intern Lan.
Zertifizierungsstelle auf 2008 Standard im AD – Intern Lan.
Alle können uneingeschränkt miteinander kommunizieren (RPC, http, HTTPS, etc…. )
Ich habe mehrere Dokus nun durch wie z.B. diese (http://www.isaserver.org/tutorials/Publishing-Exchange-2007-OWA-Exchang ..). Wobei ich finde, dass es bisher die Beste ist – nur leider hilft sie bei meinem Problem nicht richtig.
Erste Fehler, der bei mir auftaucht:
Ich kann leider kein Webserver Zertifikat für den lokalen Rechner anfordern und mit einem Verschlüsselungsschlüssel im Computerkonto sichern. Die Checkbox „Im lokalen Computerspeicher ablegen“ ist nicht vorhanden. Diese Funktionalität ist bei der Zertifizierungsstelle bei 2008 abgeschaltet worden. Leider ist es mir auch nicht möglich dem User das Zertifikat mit einem exportierbaren Schlüssel auszustellen (ist ausgegraut). Nach ein wenig forschen verhalf mir dann ein Artikel in dem beschreiben worden ist, dass man die Zertifikatsvorlage Webserver duplizieren soll und den Schlüssel als exportierbar kennzeichnen soll. Hat auch geklappt – nur leider kann ich die erstellte Vorlage nicht laden, da ich kein 2008 Enterprise Server habe, sondern nur einen Standard – da ist es nicht möglich.
1. Frage: Kann mir jemand helfen und mir einen Weg aus diesem Dilemma weisen?
Wahrscheinlich folge Fehler auf dem ISA:
Auf Grund der Tatsache, dass kein „ordentliches“ Webserver Zertifikat für den ISA ausgestellt worden ist – erhalte ich nach einer erfolgreichen Authentifizierung auf dem ISA die Fehlermeldung Error 500. Zu sehen ist im ISA Log ein Error, der auf ein falsches Zertifikat verweißt und deshalb einen falschen Zielprinzipal ausgibt (kann aber auch vom Exchange kommen).
2. Frage: Kann ich trotzdem auch ohne Zertifikat eine Verknüpfung zum Exchange OWA irgendwie herstellen? Vielleicht hatte ja schon jemand so eine Konstellation?
Ich danke euch vorab für etwaige Hilfestellungen.
Gruß
jpk
leider habe ich ein kleines Problem mit der Verbindung von ISA 2006 SP1 und Exchange 2007 OWA – ich sitze nun seit ein paar Tagen an der Realisierung und habe haufenweise HowTo und Dokus durch – nur leider stellt sich kein erfolg ein.
Problembeschreibung:
Der ISA soll das OWA des Exchanges bereitstellen und anhand von AD Gruppen einen Zugriff erlauben oder ablehnen.
Zu den Gegebenheiten:
ISA 2006 SP1 auf 2003 im AD – DMZ.
Exchange 2007 auf 2008 Standard im AD – Intern Lan.
Zertifizierungsstelle auf 2008 Standard im AD – Intern Lan.
Alle können uneingeschränkt miteinander kommunizieren (RPC, http, HTTPS, etc…. )
Ich habe mehrere Dokus nun durch wie z.B. diese (http://www.isaserver.org/tutorials/Publishing-Exchange-2007-OWA-Exchang ..). Wobei ich finde, dass es bisher die Beste ist – nur leider hilft sie bei meinem Problem nicht richtig.
Erste Fehler, der bei mir auftaucht:
Ich kann leider kein Webserver Zertifikat für den lokalen Rechner anfordern und mit einem Verschlüsselungsschlüssel im Computerkonto sichern. Die Checkbox „Im lokalen Computerspeicher ablegen“ ist nicht vorhanden. Diese Funktionalität ist bei der Zertifizierungsstelle bei 2008 abgeschaltet worden. Leider ist es mir auch nicht möglich dem User das Zertifikat mit einem exportierbaren Schlüssel auszustellen (ist ausgegraut). Nach ein wenig forschen verhalf mir dann ein Artikel in dem beschreiben worden ist, dass man die Zertifikatsvorlage Webserver duplizieren soll und den Schlüssel als exportierbar kennzeichnen soll. Hat auch geklappt – nur leider kann ich die erstellte Vorlage nicht laden, da ich kein 2008 Enterprise Server habe, sondern nur einen Standard – da ist es nicht möglich.
1. Frage: Kann mir jemand helfen und mir einen Weg aus diesem Dilemma weisen?
Wahrscheinlich folge Fehler auf dem ISA:
Auf Grund der Tatsache, dass kein „ordentliches“ Webserver Zertifikat für den ISA ausgestellt worden ist – erhalte ich nach einer erfolgreichen Authentifizierung auf dem ISA die Fehlermeldung Error 500. Zu sehen ist im ISA Log ein Error, der auf ein falsches Zertifikat verweißt und deshalb einen falschen Zielprinzipal ausgibt (kann aber auch vom Exchange kommen).
2. Frage: Kann ich trotzdem auch ohne Zertifikat eine Verknüpfung zum Exchange OWA irgendwie herstellen? Vielleicht hatte ja schon jemand so eine Konstellation?
Ich danke euch vorab für etwaige Hilfestellungen.
Gruß
jpk
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 122756
Url: https://administrator.de/contentid/122756
Printed on: April 25, 2024 at 06:04 o'clock
2 Comments
Latest comment
Diese Geschichte mit dem Zielprinzipal hatten wir auch mal.
Die Problemlösung war dann ein Eintrag in der Datei Hosts (Windows\system32\drivers\etc ....)
Da haben wir den öffentlichen Namen mit der interne IP zusamengebracht, dann gings.
Also z.B.
192.68.1.1 xydomain.de
Die Problemlösung war dann ein Eintrag in der Datei Hosts (Windows\system32\drivers\etc ....)
Da haben wir den öffentlichen Namen mit der interne IP zusamengebracht, dann gings.
Also z.B.
192.68.1.1 xydomain.de
Hi,
ja daran hatte auch schon gedacht und auch umgesetzt! Nur:
- die DNS liefern für alle Rechner im Intern LAN auf den Namen "owa.domain.tld" z.b. 192.168.10.200 zurück
- die DNS liefern für alle Rechner in der DMZ auf den Namen "owa.domain.tld" z.b. 192.168.10.200 zurück
- Auflösung extern liefert für "owa.domain.tld" z.B. 216.239.59.104(in dem Fall google.de) zurück und landen auf dem ISA in der DMZ, der dann ja die richtige Auflösung der DNS Server erhält.
owa.domain.tld ist beispielsweise owa.exmaple.com - intern wie extern sind es gleiche Namen - nur andere Adressen.
Kann ja auch sein, dass ich mich irre - aber im ISA habe ich eingestellt, dass er nicht den Client Header nehmen soll, sondern den Server Header vom ISA.
Oder habe ich etwas falsch verstanden? Ich gehe immernoch davon aus, dass es wirklich ein Zertifikatsfehler ist - trozdem danke erstmal.
Gruß
ja daran hatte auch schon gedacht und auch umgesetzt! Nur:
- die DNS liefern für alle Rechner im Intern LAN auf den Namen "owa.domain.tld" z.b. 192.168.10.200 zurück
- die DNS liefern für alle Rechner in der DMZ auf den Namen "owa.domain.tld" z.b. 192.168.10.200 zurück
- Auflösung extern liefert für "owa.domain.tld" z.B. 216.239.59.104(in dem Fall google.de) zurück und landen auf dem ISA in der DMZ, der dann ja die richtige Auflösung der DNS Server erhält.
owa.domain.tld ist beispielsweise owa.exmaple.com - intern wie extern sind es gleiche Namen - nur andere Adressen.
Kann ja auch sein, dass ich mich irre - aber im ISA habe ich eingestellt, dass er nicht den Client Header nehmen soll, sondern den Server Header vom ISA.
Oder habe ich etwas falsch verstanden? Ich gehe immernoch davon aus, dass es wirklich ein Zertifikatsfehler ist - trozdem danke erstmal.
Gruß
