Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kein Login ins OWA von Aussen möglich

Frage Microsoft Exchange Server

Mitglied: Stippi

Stippi (Level 1) - Jetzt verbinden

11.09.2009, aktualisiert 10:38 Uhr, 13513 Aufrufe, 13 Kommentare

Hallo, mittlerweile habe ich es hinbekommen unseren Server von Aussen erreichbar zu machen. Folgende Konfiguration liegt vor:
SBS 2003 RC2
ISA 2004
Exchange 2003

Habe auf dem Server den Zugriff auf die OWA Oberfläche eingerichtet, intern gibt es auch keinerlei schwierigkeiten, jedoch von aussen...

Es ist mir ohne Probleme möglich das ich von Aussen auf die Domain zugreife und mir die OWA Oberfläche angezeigt wird. Zwar meckert mein Browser wegen dem Zertifikat da es selbst erstellt ist, aber das macht nix. Jedenfalls möchte ich mich einloggen bzw gebe meinen Benutzernamen sowie Passwort ein, bestätige dies mit Enter und ich lande wieder auf der selben Oberfläche. Kein Login so richtig möglich.
In der Ereignisanzeige kommt folgender Fehler:

Der Webproxyfilter konnte das Socket nicht an 172.18.56.1, Port 80 binden. Möglicherweise verwendet ein anderer Dienst bereits diesen Port, oder der Netzwerkadapter funktioniert nicht. Starten Sie den Microsoft-Firewalldienst neu, um diesen Fehler zu beheben. Der Fehlercode im Datenbereich der Ereigniseigenschaften zeigt die Ursache des Fehlers an.

Der Webproxyfilter konnte das Socket nicht an 172.18.56.1, Port 443 binden. Möglicherweise verwendet ein anderer Dienst bereits diesen Port, oder der Netzwerkadapter funktioniert nicht. Starten Sie den Microsoft-Firewalldienst neu, um diesen Fehler zu beheben. Der Fehlercode im Datenbereich der Ereigniseigenschaften zeigt die Ursache des Fehlers an.

Gut, ein wenig gegoogelt und habe da auch etwas von Socket Spooling gelesen, jedoch keinen blassen schimmer was ich nun zu machen habe. DIe ganze OWA geschichte lief einmal, jedoch musste ich die Verzeichnisse alle neu anlegen da ich doch ein wenig viel verstellt hatte...
Hat hier jemand für mich eine art Leitfaden für mich wie ich den Fehler nun beheben kann das ich mich von Aussen wieder per OWA Oberfläche einloggen kann?

Ich danke euch für die Aufmerksamkeit,
hoffe auf hilfreiche Beiträge

Viele Grüße
Stippi
Mitglied: MisterIX
11.09.2009 um 15:33 Uhr
Hallo Stippi,

zunächst möchte ich Dir zu äusserster Vorsicht im Umgang mit OWA raten. Der Webserver von Microsoft (IIS) gilt ohne ISA Server als schweitzer Käse in Sachen Sicherheit. Und von ISA 2004 wurde kurz vor der Veröffentlichung des Nachfolgers 2006 eine große Sicherheitslücke publik gemacht, die für einen kleinen Skandal gesorgt hat. Ich habe einmal testweise einen Apache Server als Reverse Proxy konfiguriert, was auch, wenn der Apache auf WinXP installiert wird als relativ sichere Lösung gilt. Ich würde vorschlagen, dass Du den ISA Server als Firewall nutzt und die Ports auf den Reverse Proxy umleitest, der sich dann zwischen Deinen Mailserver und den ISA setzt. Da dieses Projekt schon eine Weile her ist, muss ich mal meine Notizen rauskramen. Ich erinnere mich, dass vor allem die https Verschlüsselung nicht ganz einfach zu bewältigen war.

Sollte Dich eine Lösung in dieser Richtung interessieren, gib mir mal einen Wink, dann helf ich gerne weiter.

Mit freundlichen Grüßen, MisterIX.
Bitte warten ..
Mitglied: Stippi
14.09.2009 um 08:49 Uhr
Hallo MisterIX,

vielen dank für deine Antwort.
Okay, also mich interessiert das brennend, gerade Sicherheit ist nicht ganz unwichtig.
Es wäre äußerst klasse wenn du mir bei dem Thema helfen könntest, würde mich sehr darüber freuen.

Viele Grüße
Stippi
Bitte warten ..
Mitglied: MisterIX
14.09.2009 um 11:03 Uhr
Hallo Stippi,

also, ich habe Hinweise dafür gefunden das neuere Versionen von exchange nicht mehr über Apache laufen, während ich mir sicher bin, dass es mit exchange 2003 durchaus funktioniert. Ich habe mir mal bei http://httpd.apache.org/download.cgi die neueste Version des Servers heruntergeladen (Apache 2.2). Diese kannst Du problemlos auf einem normalen Rechner mit WinXP installieren.
Mit XP-Antispy (http://www.xp-antispy.org/) kannst Du dann die Höchstzugriffszahl von 10 Usern auf WinXP abschalten bzw. beliebig erweitern. Damit hättest Du dann ersteinmal einen funktionierenden aber noch nicht konfigurierten Webserver. Ich habe nochmal in meine Notizen geschaut und gesehen, dass Du zwei Module benötigst: ProxyPass zum weiterleiten der Anfragen von außen auf den OWA und SSL. SSL dient zur Verschlüsselung des OWA-Zugriffs über https:\\ . Da hatte ich damals am meisten Probleme. Ich hatte nur eine Anleitung zum erstellen eines Zertifikates unter Linux gefunden, was aber unter Windows nicht richtig funktionierte. Hier aber ein Link, wie es unter Windwos geht: http://www.mindfile.org/Computer/SSL-Apache2.2-Windows . Ich habe mir damals mit abylon selfcert beholfen, ein Programm, mit dem man schnell ein selbstsigniertes Zertifikat und den dazugehörigen Keyfile erstellen kann. Beides musst Du einfach nur in der SSL-Konfiguration mit Pfadnahmen angeben. Lass Dich dabei nicht von unterschiedlichen Dateiendungen verwirren: die .pfx Datei ist das Zertifikat und die .pem Datei der dazugehörige Schlüssel. Den Apache Server konfiguriert Du übrigens über die httpd.conf im Programmverzeichnis\conf dort musst Du die richtigen Module laden und Die SSL Engine starten. Mit listen 443 horchst Du dann auf dem https:\\ Port. Diesen musst du durch die Firewall auf den XP Rechner routen. Habt ihr eigentlich auch eine hardware Firewall ? und wichtig auch, hosted ihr noch andere Webseiten über den ISA Server und zuletzt habt ihr eine statische IP-Adresse (Hoffe ich doch bei exchange .

Grüßlis, MisterIX
Bitte warten ..
Mitglied: Stippi
14.09.2009 um 13:34 Uhr
Hallo MisterIX,

vielen dank für deine Hilfe, also ich versuche mal so gut es geht die Fragen zu beantworten.
Mit dem Apachen habe ich früher mal gearbeitet, denke das ich mit dem schon arbeiten kann. Habe ich dich richtig verstanden das ich für die ganze sache einen 2ten Rechner brauche? Könnte ich diesen auch virtuell stellen? Dachte eigentlich das ich weiterhin alles auf dem selben Server laufen lassen kann.
Das mit der SSL verschlüsselung werde ich mir auch gut angucken, die macht mir auch immer kopfzerbrechen ;)
Welche richtigen Module lade ich denn? Kann ich das ohne größere Probleme erkennen?
Hardware Firewall haben wir ebenfalls, habe ich aber für den Server ausgeschaltet, dachte das der ISA reichen würde, jedoch wenn der so unsicher sein soll..
Andere Seiten werden auf dem Server nicht gehostet, weiterhin haben wir nur noch den VPN und RDP Zugriff dort aktiviert. Statische IP adresse haben wir ebenfalls nicht, wir realisieren die geschichte über dyndns.org welche mir bislang auch sehr gut gefiel.

Viele Grüße und nochmals Danke,
Stippi
Bitte warten ..
Mitglied: MisterIX
14.09.2009 um 14:38 Uhr
Hallo Stippi,

also ich würde die Hardwarefirewall definitiv einschalten. Wichtig ist aber, ob man das Protokoll (nicht den Port) 47 (General Routing Encapsulat###) auf die IP-Adresse des Servers umleiten kann. Das ist für das VPN wichtig. Ansonsten müsstest Du auch den Port 1723 TCP durchleiten (PPTP) . Die Sache mit dem XP Rechner geht auch virtuell, zumal nicht allzuviel Last anfallen dürfte. Über Bridged Networking hat das XP ja dann eine eigene IP. Es ist nur wichtig, dass das XP eine andere IP-Adresse bekommt, da es so als Puffer zwischen dem Exchange Server und der Firewall fungiert. Grundsätzlich wäre es auch nicht schlecht den XP Rechner Firewall technisch in ein Umkreisnetzwerk einzubinden, um nur die Proxy Anfragen durch die Firewall zu lassen (z.B. IP- Abhängig) dann bräuchtest Du in dem Server aber eine zweite Netzwerkkarte, um die IPs physikalisch zu trennen und an unterschiedliche Anschlüsse der Firewall stöpseln zu können (glaube ich). Dafür könntest Du theoretisch auch den ISA Server einsetzen (dann ist der nicht ganz arbeitslos). Sehe ich das richtig, das der ISA Server zur Zeit auf der selben Hardware läuft, wie der Exchange-Server ? Auch virtuell ? Den könntest Du dann ja sonst abschalten. Was die festen IP-Adressen angeht, würde ich dringend zu einer anraten. U.a. aus folgendem Grund: Immer mehr Provider geben ihre dynamischen IP-Adressen an Firmen weiter, die Blacklists für den Mail-Empfang erstellen. Dann kann es von heute auf morgen passieren, das Eure Mails nicht mehr bei den Partnern ankommen, nur weil ihr eine dyn. IP habt. Habe ich selber so bei einer Hausverwaltung erlebt.

Was die Module in Apache angeht:

Auf der Downloadseite findest Du auf jeden fall schon mal einen Apache, der mit Open SSL ausgeliefert wird. Das Modul für den Befehl ProxyPass heisst, wie ich gerade lese eigentlich mod_proxy. Es war bei mir in dieser SSL Version schon mit dabei. in der httpd.con findest Du dann die Zeile:

01.
#LoadModule proxy_module modules/mod_proxy.so
Die Raute bedeuted, dass der Befehl nicht ausgeführt wird, also einfach löschen.

Ausserdem wird wahrscheinlich der Befehl:

01.
AddModule mod_proxy.c
benötigt.

Oben in der httpd.conf machst Du aus "Listen 80" "Listen 443" damit der Proxy auf dem SSL Port lauscht.

Du musst mehrere Proxy Passes für OWA einrichten (ich glaube drei). Versuch mal bitte rauszufinden welche (habe Zeitnot hier ) .

Z.B.

01.
ProxyPass /owa /http://server.owa
etc.

Die Zeile #LoadModule ssl_module modules/mod_ssl.so wird wohl für die SSL Verschlüsselung gebraucht.
Wieder die Raute weg.

01.
<virtualHost _default_:443> 
02.
 
03.
ServerName deinserver.domäne.de:443 
04.
ServerAdmin Deinadminname@domäne.de 
05.
 
06.
SSLEngine On 
07.
 
08.
SSLCertificateFile "c:\Temp\DeinZertifikate.crt" 
09.
SSLCertificateKeyFile "c:\Temp\DeinKeyfile.key" 
10.
 
11.
< filesMatch "\.(cgi|shtml|phtml|php) $> 
12.
   SSLOptions +StdEnvVars 
13.
<\filesMatch> 
14.
 
15.
<Directory "C:\Programme\Apache Software Foundation\Apache2.2\cgi-bin"> 
16.
   SSLOptions +StdEnvVars 
17.
<\Directory> 
18.
 
19.
BrowserMatch ".*MSIE.*" \ 
20.
   nokeepalive ssl-unclean-shutdown \ 
21.
   downgrade-1.0 force-response-1.0 
22.
 
23.
Custom Log "C:\Programme\Apache Software Foundation\Apache2.2\logs\ssl_request.log" \"%t %h %{SSL_PROTOCOL}x %{SSL_CYPHER}x \ "5r\" %b" 
24.
 
25.
</VirtualHost>
Bitte warten ..
Mitglied: Stippi
14.09.2009 um 16:08 Uhr
Hallo MisterIX,

Wow, das nenn ich mal einen guten leitfaden ;)

Also derzeit schaut es so aus das wir ein Catch-All Postfach bei unserem Webhoster haben (1und1). Der Exchange lädt die Mails die dort eintreffen herunter und verteilt diese. versendet werden sie dann per SMTP auch über unseren Hoster, von daher sollte das mit den Blacklisted IP's kein problem bei uns werden.
Weiterhin hat der Server 2 Netzwerkkarten, die eine für die Verbindung zum Router, die andere fürs interne Netzwerk. Somit läuft der komplette Datenverkehr über den Server da die Clients den Server als Proxy eingetragen haben müssen, somit wird auch alles mitprotokolliert.
Der Exchange und der ISA laufen über den selben Server, aber derzeit ist nix virtuell realisiert.
Eine Frage hätte ich noch, wenn ich jetzt diese virtuelle Maschine aufsetze und dann dort den Apache installiere, kommt der sich nicht mit der aktuellen konfiguration in die quere? Derzeit hört ja der IIS oder der ISA auf Port 80 und 443 richtig? Soll ich dazu einfach die ISA Veröffentlichungsregel löschen damit der Apache auf diesen Ports listen kann?

Vielen dank für die konfigurationsbeispiele für den Apache, wird gemacht sofern ich genau weiß wie ich vorgehen muss ;)

Viele Grüße,
Stippi

PS: Sind unter folgendem Link die richtigen ProxyPasses?
http://blog.scottlowe.org/2005/12/03/protecting-owa-with-apache/
Bitte warten ..
Mitglied: MisterIX
14.09.2009 um 16:59 Uhr
"Soll ich dazu einfach die ISA Veröffentlichungsregel löschen damit der Apache auf diesen Ports listen kann?"

Ja, würde ich vorschlagen. Was die Mailversendung angeht solltest Du so tatsächlich keine Schwierigkeiten bekommen. Die Proxy Passes unter Deinem Link sehen auch gut aus (genaueres weiss man ja erst, wenn man es ausprobiert). Dann schreib mal, wie Du voran kommst, wir sollten ja unseren httpd Frankenstein schon fast zusammengestückelt haben.

:p
Bitte warten ..
Mitglied: Stippi
15.09.2009 um 09:50 Uhr
Also vielen Dank soweit, ich werde jetzt mal die Virtuelle Maschine aufsetzen und nach und nach versuchen das so zu konfigurieren wie du vorgeschlagen hast.
Ich schreib dann hier wieder rein sobald ich weiter fortgeschritten bin ;)

Vielen dank und viele Grüße
Stippi
Bitte warten ..
Mitglied: Stippi
15.09.2009 um 13:02 Uhr
Hallo MisterIX,

ich habe mittlerweile den Apache am laufen, habe mir deine links zu SSL angeschaut und mittels OpenSSL auch ein Zertifikat erstellt.
Dieses habe ich in die httpd-ssl.conf eingetragen und diese conf datei in die httpd.conf eingebunden.
Der Apache sollte jetzt auf Port 80 und 443 listen, hoffe ich mal
Auch die ProxyPasses habe ich in die httpd-ssl.conf eingetragen so wie es in meinem Link vorgeschlagen wird. Soll ich als DocumentRoot eigentlich "/var/www/webmail" eintragen oder wie muss der pfad lauten damit alles richtig eingetragen ist?
ProxyPass habe ich immer unser dyndns.org domain genommen, auch in Ordnung oder?
ServerName ist unsere dyndns.org adresse mit dem zusätzlichen SSL Port 443, auch okay?

Jedenfalls, ich hoffe soweit alles erstmal richtig eingetragen zu haben, von aussen ist es derzeit nicht möglich auf das OWA zuzugreifen. Vllt eine Idee? Vielen dank für die Hilfe!

Grüße
Bitte warten ..
Mitglied: MisterIX
15.09.2009 um 17:36 Uhr
Hallo Stippi,

was das Document Root Verzeichnis angeht bin ich im Moment eher überfragt. Bei Proxy Pass brauchst Du vorne eigentlich nur die Endungen wie /owa auf Deine INTERNE Adresse umleiten (z.B. mailserver.meinedomäne.intern/OWA). Der Servername ist meiner Meinung nach aber richtig. Nimms mir nicht übel, aber das Projekt ist zwei Jahre her, und ich erinnere mich nicht mehr an jedes Detail (zumal Webserver nicht ganz meine Stärke sind).

Grüßlis, MisterIX:
Bitte warten ..
Mitglied: Stippi
17.09.2009 um 13:50 Uhr
Hallo MisterIX,

keine bange, ich nehm dir nix übel, bin dir schon ziemlich dankbar für deine Hilfe!
Nur wie ich es auch drehen und wenden will, der Apache mag mich anscheind nich.
Ich hab keinerlei ahnung wo das Document Root Verzeichnis hinführen soll, bzw ob es überhaupt relevant ist.
Dann ist es derzeit so, wenn der Punkt "SSLEngine On" in der http.conf aktiviert ist, will der Apache nicht mehr, warum auch immer. Habe mir sogar ne Xampp installation dafür besorgt, genau das selbe spielchen.

Webserver sind ebenfalls nicht so ganz meine stärke, alles ein bisschen verwirrend zu konfigurieren.

Alle How-To's die ich so im netz finde beziehen sich auf Linux server, wobei die konfig ja nun nicht sooo unterschiedlich beim Apache ist, aber kann das noch eine gewisse rolle spielen?
Muss der Virtuelle XP Rechner eigentlich in einer DMZ sein?

Grüße
Bitte warten ..
Mitglied: MisterIX
17.09.2009 um 14:14 Uhr
Hallo Stippi,

also was das Dokument Root Verzeichnis angeht so wird das in meiner Apache installation folgendermassen angegeben:

DocumentRoot "C:/Programme/Apache Software Foundation/Apache2.2/htdocs"

Dort liegt standardmässig eine "It Works !" Webseite zum Testen. Mehr brauchst Du auch erstmal nicht, da der Rest ja über Proxy Pass ans OWA weitergeleitet wird. Du stellst ja keine eigene Webseite zur Verfügung, sondern nutzt die durch OWA vorhandene.

Was das SSLEngine On angeht, hast Du es mal mit abylon selfcert versucht ? Wie gesagt, dass mit der Verschlüsselung klappte bei mir auch erstmal nicht. Damit konnte ich aber ein funktionierendes Zertifikat + Schlüsseldatei erstellen.

Mit freundlichen Grüßen, MisterIX.
Bitte warten ..
Mitglied: Stippi
08.10.2009 um 14:08 Uhr
So, sofern der Beitrag noch beachtung findet, folgendes war der Fehler bei meiner OWA Geschichte.
Erstmal habe ich das mit dem Reverse Proxy aufgegeben, der Virtuelle Rechner schluckte zuviele ressourcen und der Apache war mir nicht gesonnen so zu arbeiten wie ich möchte.
Auf jeden fall hatte ich das Problem das ich immer wieder auf die OWA Login Seite geleitet wurde wenn Benutzername und Passwort eingetragen wurden.
Ich habe durch google dann doch noch die Lösung gefunden das ich im Exchange Manager für das http Protokoll die FBA deaktivieren musste. Hatte dann aber keine Login Seite mehr, deswegen habe ich die Option dort lieber aktiviert und im Listener vom ISA 2004 die FBA ausgeschaltet und nur die Integrierte aktiviert.
Prompt hatte ich die OWA Login Seite mit funktionierenden Login.

Vielen Dank dennoch an MisterIX für seine Geduld und ständigen Ratschläge, leider war ich wohl nicht fähig genug für die Geschichte.

Viele Grüße
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Server
gelöst Jeden Morgen kein Login möglich (13)

Frage von michi311984 zum Thema Windows Server ...

Windows Server
gelöst Windows Server 2012 R2 login nicht möglich (6)

Frage von oce zum Thema Windows Server ...

Windows 7
Login nach Standby nicht möglich?

Frage von MediaWrd zum Thema Windows 7 ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (10)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...