locked
TMG = WAP = ADFS (Office 365) RRS feed

  • Allgemeine Diskussion

  • Hallo,

    Meine Netzwerktopologie sieht wie folgt aus:

    TMG mit 3 NIC (WAN/LAN/DMZ) Veröffentlichungsregel HTTPS-Server externe IP zu WAP IP ist erstellt.

    DC mit ADFS Rolle steht im LAN hinter dem TMG. Sync mit Office 365 funktioniert.

    WAP (2 NIC LAN/DMZ) steht in der DMZ hinter TMG (ADFS URL = adfs.xy.com) Veröffentlichte Webanwendung mit "Passthrough" und URL adfs.xy.com

    Mein Ziel ist es gemäss http://blogs.technet.com/b/rmilne/archive/2014/04/30/how-to-install-adfs-2012-r2-for-office-365-part-3.aspx das SSO einzurichten.

    Klappt soweit alles von intern. Beim Test von Extern scheitere ich aber. https://outlook.com/xy.com zeigt einen Zertifikatserror wo das Zertifikat auf die externe IP ausgestellt ist.

    MS Remote Connectivity Analyzer zeigt einen Fehler beim TCP port 443 Test.

    Stimmt hier meine Regel am TMG?

    Gruss, Markus


    AdminIT

    Mittwoch, 9. Juli 2014 15:26

Alle Antworten

  • Hi,

    rein von der Funktion ist die Regel richtig. Es handelt sich dabei um quasi eine Portweiterleitung, wo der TMG Server den HTTPS Datenverkehr nicht terminiert. Die Zertifikatsfehlermeldung stammt also vom WAP. Welche Meldung erscheint? Kein vertrauenswuerdiges Stammzertifizierungsstellenzertifikat oder ein Mismatch im Namen des Zertifikats und der aufgerufenen Webseite?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.galileocomputing.de/3570

    Mittwoch, 9. Juli 2014 18:10
  • Hallo Marc,

    OK...dann passt die Regel. Danke. Stutzig macht mich dann aber der Fehler des MSRCA, das ja einen TCP port 443 error zeigt für adfs.xy.com.

    Aufruf von https://outlook.com/xy.com (wird korrekt auf adfs.xy.com/..... weiter geleitet)

    Zertifikatsfehler: This certificate cannot be verified up to a trusted certification authority.

                             Issued to "meine externe IP Adresse"  Issued by 166.59.216.99

    Das "adfs.xy.com" Zertifikat ist von GoDaddy ausgestellt.

    Gruss, Markus


    AdminIT

    Donnerstag, 10. Juli 2014 07:50
  • Hi,

    dann solltest Du auf dem Client der die Webseite aufruft mal den Trust Chain ueberpruefen. Webseite im Browser aufrufen und schauen, ob die Zertifikatkette von Godaddy verifiziert werden kann. Auf dem WAP Server auch mal in dem Zertifikats SnapIn die Zertifizeirungskette pruefen von dem Godaddy Zertifikat


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.galileocomputing.de/3570

    Donnerstag, 10. Juli 2014 08:23
  • Hallo,

    konnte mich nach langer Abwesenheit diesem offenen Punkt endlich wieder widmen...

    Denke ich habe das Zertifikatsproblem in den Griff bekommen, aber leider funktioniert es immer noch nicht wie gewünscht.

    Fehlermeldung des MS Remote Connectivity Analyzer ist wie folgt:

    Es wird getestet, ob TCP-Port 443 auf Host adfs.xy.com überwacht wird/geöffnet ist.
    Der angegebene Port ist blockiert, wird nicht überwacht oder sendet nicht die erwartete Antwort.
    Es ist Netzwerkfehler bei der Kommunikation mit dem Remotehost aufgetreten.

    Verkehr kommt am TMG Server an. NonWebserver HTTPS von adfs.xy.com nach IP=WAP steht.
    Filter nach Regel zeigt auf HTTPS Eintrag zur WAP Server IP. WAP Server Ereignisprotokoll AD FS wird keine Fehlermeldung angezeigt.

    https://outlook.com/xy.com wird sofort auf adfs.xy.com weitergeleitet.
    Browser hat dann eine gewisse Zeit, bis die Fehlermeldung kommt "Seite kann nicht geöffnet werden"

    netstat auf WAP für Port 443 hat folgende Einträge:
    [: :]:443      WAP:0           abhören
    0.0.0.0:443    WAP:0           abhören

    Wie erwähnt, intern funtioniert https://adfs.xy.com/adfs/ls/idpinitiatedsignon.htm einwandfrei.

    Eine veröffentlichte Webanwendung inern URL=https://adfs.xy.com mit Backend Url=https://adfs.xy.com Vorauthentifizierung=PassThrough besteht.

    Danke für jede weitere Hilfestellung die zur Lösung führt.

    Gruss,
    Markus


    AdminIT

    Mittwoch, 17. September 2014 18:13