none
TMG = WAP = ADFS (Office 365) RRS feed

Alle Antworten

  • Hi,

    rein von der Funktion ist die Regel richtig. Es handelt sich dabei um quasi eine Portweiterleitung, wo der TMG Server den HTTPS Datenverkehr nicht terminiert. Die Zertifikatsfehlermeldung stammt also vom WAP. Welche Meldung erscheint? Kein vertrauenswuerdiges Stammzertifizierungsstellenzertifikat oder ein Mismatch im Namen des Zertifikats und der aufgerufenen Webseite?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.galileocomputing.de/3570

    Mittwoch, 9. Juli 2014 18:10
    Moderator
  • Hallo Marc,

    OK...dann passt die Regel. Danke. Stutzig macht mich dann aber der Fehler des MSRCA, das ja einen TCP port 443 error zeigt für adfs.xy.com.

    Aufruf von https://outlook.com/xy.com (wird korrekt auf adfs.xy.com/..... weiter geleitet)

    Zertifikatsfehler: This certificate cannot be verified up to a trusted certification authority.

                             Issued to "meine externe IP Adresse"  Issued by 166.59.216.99

    Das "adfs.xy.com" Zertifikat ist von GoDaddy ausgestellt.

    Gruss, Markus


    AdminIT

    Donnerstag, 10. Juli 2014 07:50
  • Hi,

    dann solltest Du auf dem Client der die Webseite aufruft mal den Trust Chain ueberpruefen. Webseite im Browser aufrufen und schauen, ob die Zertifikatkette von Godaddy verifiziert werden kann. Auf dem WAP Server auch mal in dem Zertifikats SnapIn die Zertifizeirungskette pruefen von dem Godaddy Zertifikat


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.galileocomputing.de/3570

    Donnerstag, 10. Juli 2014 08:23
    Moderator
  • Hallo,

    konnte mich nach langer Abwesenheit diesem offenen Punkt endlich wieder widmen...

    Denke ich habe das Zertifikatsproblem in den Griff bekommen, aber leider funktioniert es immer noch nicht wie gewünscht.

    Fehlermeldung des MS Remote Connectivity Analyzer ist wie folgt:

    Es wird getestet, ob TCP-Port 443 auf Host adfs.xy.com überwacht wird/geöffnet ist.
    Der angegebene Port ist blockiert, wird nicht überwacht oder sendet nicht die erwartete Antwort.
    Es ist Netzwerkfehler bei der Kommunikation mit dem Remotehost aufgetreten.

    Verkehr kommt am TMG Server an. NonWebserver HTTPS von adfs.xy.com nach IP=WAP steht.
    Filter nach Regel zeigt auf HTTPS Eintrag zur WAP Server IP. WAP Server Ereignisprotokoll AD FS wird keine Fehlermeldung angezeigt.

    https://outlook.com/xy.com wird sofort auf adfs.xy.com weitergeleitet.
    Browser hat dann eine gewisse Zeit, bis die Fehlermeldung kommt "Seite kann nicht geöffnet werden"

    netstat auf WAP für Port 443 hat folgende Einträge:
    [: :]:443      WAP:0           abhören
    0.0.0.0:443    WAP:0           abhören

    Wie erwähnt, intern funtioniert https://adfs.xy.com/adfs/ls/idpinitiatedsignon.htm einwandfrei.

    Eine veröffentlichte Webanwendung inern URL=https://adfs.xy.com mit Backend Url=https://adfs.xy.com Vorauthentifizierung=PassThrough besteht.

    Danke für jede weitere Hilfestellung die zur Lösung führt.

    Gruss,
    Markus


    AdminIT

    Mittwoch, 17. September 2014 18:13