none
SBS 2011: Kein Zugriff mehr auf die Freigaben im Remote Webarbeitsplatz nach Änderungen im IIS RRS feed

  • Frage

  • Moin Moin,

    ich habe gestern im IIS meines SBS 2011 die SSL-Einstellungen auf Clientzertifikate erforderlich für die Remote und OWA Site eingestellt. Die Zertifikate auf den Clients sind installiert. Der Zugriff auf OWA und Remote über HTTPS funktioniert. Lediglich der Zugriff auf die Freigaben und das Verbinden mit den Clients will mir nicht gelingen.

    Folgende Fehlermeldung taucht in der Ereignisanzeige auf:

    System.ServiceModel.Activation.HostedHttpRequestAsyncResult/36099725
       System.ServiceModel.ServiceActivationException: Der Dienst '/Remote/BuiltIns/FS/FileOperationService.svc' kann aufgrund einer Ausnahme während der Kompilierung nicht aktiviert werden. Die Ausnahmemeldung lautet: Die SSL-Einstellungen für den Dienst 'None' stimmen nicht mit denen für den IIS 'Ssl, SslNegotiateCert, SslRequireCert' überein.. ---> System.NotSupportedException: Die SSL-Einstellungen für den Dienst 'None' stimmen nicht mit denen für den IIS 'Ssl, SslNegotiateCert, SslRequireCert' überein. bei System.ServiceModel.Activation.HostedAspNetEnvironment.ValidateHttpsSettings(String virtualPath, Nullable`1& requireClientCertificate) bei System.ServiceModel.Channels.HttpsChannelListener.ApplyHostedContext(String virtualPath, Boolean isMetadataListener) bei System.ServiceModel.Channels.HttpsTransportBindingElement.BuildChannelListener[TChannel](BindingContext context) bei System.ServiceModel.Channels.Binding.BuildChannelListener[TChannel](Uri listenUriBaseAddress, String listenUriRelativeAddress, ListenUriMode listenUriMode, BindingParameterCollection parameters) bei System.ServiceModel.Description.DispatcherBuilder.MaybeCreateListener(Boolean actuallyCreate, Type[] supportedChannels, Binding binding, BindingParameterCollection parameters, Uri listenUriBaseAddress, String listenUriRelativeAddress, ListenUriMode listenUriMode, ServiceThrottle throttle, IChannelListener& result, Boolean supportContextSession) bei System.ServiceModel.Description.DispatcherBuilder.BuildChannelListener(StuffPerListenUriInfo stuff, ServiceHostBase serviceHost, Uri listenUri, ListenUriMode listenUriMode, Boolean supportContextSession, IChannelListener& result) bei System.ServiceModel.Description.DispatcherBuilder.InitializeServiceHost(ServiceDescription description, ServiceHostBase serviceHost) bei System.ServiceModel.ServiceHostBase.InitializeRuntime() bei System.ServiceModel.ServiceHostBase.OnOpen(TimeSpan timeout) bei System.ServiceModel.Channels.CommunicationObject.Open(TimeSpan timeout) bei System.ServiceModel.ServiceHostingEnvironment.HostingManager.ActivateService(String normalizedVirtualPath) bei System.ServiceModel.ServiceHostingEnvironment.HostingManager.EnsureServiceAvailable(String normalizedVirtualPath) --- Ende der internen Ausnahmestapelüberwachung --- bei System.Runtime.AsyncResult.End[TAsyncResult](IAsyncResult result) bei System.ServiceModel.Activation.HostedHttpRequestAsyncResult.End(IAsyncResult result)
       w3wp
       10304

    Ich bin nicht so der große Experte und möchte mir den SBS nicht durch eine unüberlegte Handlung zerlegen. Deshalb bin ich für einen guten Ratschlag dankbar.

    Danke und Gruß.

    Uwe

     

     

    Samstag, 19. März 2011 11:53

Antworten

  • Hi Uwe,
     
    > Ich muß zugeben, daß ich das ohne Anleitung von MS gemacht habe. Mein
    > Sicherheitsbedürfnis gepaart mit meiner Neugier war der Auslöser.
    > Zwischenzeitlich
    > habe ich es wieder rückgängig gemacht. Was ich aber nicht verstehe ist,
    > warum diese
    > Option im IIS angeboten wird, wenn sie von MS nicht supportet wird.
     
    Gegenfrage: Wieso steht auf keinem Messer explizit, dass man damit keine
    Menschen erstechen soll?
     
    Um bei der Allegorie zu bleiben: Du hast auf dem IIS unbedachten
    eingestochen, nun das Messer wieder herausgezogen, wunderst Dich jedoch
    weiterhin, dass der IIS blutet..
     
    Deswegen: installier Dir ein SBS 2011 Referenzsystem und vergleiche
    sämtliche IIS-Einstellungen auf noch fehlenden Änderungen.
     
     
    > Was mir noch aufgefallen ist, ist die fehelnde Möglichkeit im IIS bei SSL
    > die 128 bit
    > Verschlüsselung explizit auszuwählen. Beim SBS 2008 ging das noch. Ist das
    > jetzt
    > standardmäßig so, oder handelt es sich dabei vielleicht um eine Folge
    > meiner
    > unbedachten Änderungen.
     
    Dazu müsste ich mich in Dein Vorhaben eindenken, jedoch fehlt mir aktuell
    die freie Zeit, jedoch kann ich gerne gegen Bezahlung Dir ein evtl.
    funktionierendes Konzept ausarbeiten.
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Sonntag, 27. März 2011 15:49
    Moderator
  • Ich bin nicht so der große Experte und möchte mir den SBS nicht durch eine unüberlegte Handlung zerlegen. Deshalb bin ich für einen guten Ratschlag dankbar.
    Wie Tobias schon schrieb ist es dafür an wenig zu spät.
    Zusätzlich zu Tobias Ausführungen kann ich Dir als möglicherweise einfache Lösung nur noch vorschlagen den Assistenten zur Behebung von Netzwerkproblemen aus der SBS Konsole zu versuchen.
    SBS Tipps unter: www.SBSfaq.de

    Oliver Sommer
    Senior Consultant | MVP Windows Small Business Server
    TrinityComputer.de | Fon +49 (5231) 458986-00 | Fax +49 (5231) 458986-11
    Sonntag, 3. April 2011 20:04
    Moderator

Alle Antworten

  • Hi Uwe,
     
    > ich habe gestern im IIS meines SBS 2011 die SSL-Einstellungen auf
    > Clientzertifikate
    > erforderlich für die Remote und OWA Site eingestellt
     
    wo steht, dass dieses supportet wäre und nach welcher Microsoft
    (SBS-)Anleitung bist Du dabei vorgegangen?
     
    Merke: IIS-Veränderungen haben systemweite Auswirkungen und sollten nicht
    unbedacht verändert werden.
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Sonntag, 27. März 2011 14:16
    Moderator
  • Hallo Tobias,

    vielen Dank für die Antwort.

    Ich muß zugeben, daß ich das ohne Anleitung von MS gemacht habe. Mein Sicherheitsbedürfnis gepaart mit meiner Neugier war der Auslöser. Zwischenzeitlich habe ich es wieder rückgängig gemacht. Was ich aber nicht verstehe ist, warum diese Option im IIS angeboten wird, wenn sie von MS nicht supportet wird.

    Was mir noch aufgefallen ist, ist die fehelnde Möglichkeit im IIS bei SSL die 128 bit Verschlüsselung explizit auszuwählen. Beim SBS 2008 ging das noch. Ist das jetzt standardmäßig so, oder handelt es sich dabei vielleicht um eine Folge meiner unbedachten Änderungen.

    Gruß und einen schönen Sonntag.

    Uwe

     

    Sonntag, 27. März 2011 15:17
  • Hi Uwe,
     
    > Ich muß zugeben, daß ich das ohne Anleitung von MS gemacht habe. Mein
    > Sicherheitsbedürfnis gepaart mit meiner Neugier war der Auslöser.
    > Zwischenzeitlich
    > habe ich es wieder rückgängig gemacht. Was ich aber nicht verstehe ist,
    > warum diese
    > Option im IIS angeboten wird, wenn sie von MS nicht supportet wird.
     
    Gegenfrage: Wieso steht auf keinem Messer explizit, dass man damit keine
    Menschen erstechen soll?
     
    Um bei der Allegorie zu bleiben: Du hast auf dem IIS unbedachten
    eingestochen, nun das Messer wieder herausgezogen, wunderst Dich jedoch
    weiterhin, dass der IIS blutet..
     
    Deswegen: installier Dir ein SBS 2011 Referenzsystem und vergleiche
    sämtliche IIS-Einstellungen auf noch fehlenden Änderungen.
     
     
    > Was mir noch aufgefallen ist, ist die fehelnde Möglichkeit im IIS bei SSL
    > die 128 bit
    > Verschlüsselung explizit auszuwählen. Beim SBS 2008 ging das noch. Ist das
    > jetzt
    > standardmäßig so, oder handelt es sich dabei vielleicht um eine Folge
    > meiner
    > unbedachten Änderungen.
     
    Dazu müsste ich mich in Dein Vorhaben eindenken, jedoch fehlt mir aktuell
    die freie Zeit, jedoch kann ich gerne gegen Bezahlung Dir ein evtl.
    funktionierendes Konzept ausarbeiten.
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Sonntag, 27. März 2011 15:49
    Moderator
  • Ich bin nicht so der große Experte und möchte mir den SBS nicht durch eine unüberlegte Handlung zerlegen. Deshalb bin ich für einen guten Ratschlag dankbar.
    Wie Tobias schon schrieb ist es dafür an wenig zu spät.
    Zusätzlich zu Tobias Ausführungen kann ich Dir als möglicherweise einfache Lösung nur noch vorschlagen den Assistenten zur Behebung von Netzwerkproblemen aus der SBS Konsole zu versuchen.
    SBS Tipps unter: www.SBSfaq.de

    Oliver Sommer
    Senior Consultant | MVP Windows Small Business Server
    TrinityComputer.de | Fon +49 (5231) 458986-00 | Fax +49 (5231) 458986-11
    Sonntag, 3. April 2011 20:04
    Moderator
  • Hallo Oliver und Tobias,

    nicht dass ihr mich verkehrt versteht, aber ich habe meiner Meinung nach nichts irreparabel zerlegt.

    Ich habe lediglich die Webzertifikatsstelle installiert und dann von jedem Client aus ein Zertifakat angefordert, erhalten und installiert. Im IIS habe ich unter Owa- und Remote in der SSL-Konfiguration eingestellt, daß ein Zertifakat erforderlich ist. Unter dieser Konfiguration tritt oben benanntes Problem auf. Die Verbindung zu den Clients über Remotewebzugriff und der Zugriff auf die Freigaben über das I-Net funktionieren nicht. Wenn ich  im IIS auf Zertifikate ignorieren oder akzeptieren umstelle, funktioniert alles ohne Probleme.  Im Zuge dieser Aktion ist mir dann aufgefallen, daß ich in den SSL-Einstellungen nicht mehr explizit die 128 bit Verschlüsselung auswählen kann. Beim SBS 2008 ging das noch.

    Aber Tobias hat es im Vergleich mit dem Messer schon gut getroffen.

    Andere Frage zum SBS 2011:

    Wie sieht es mit dem SP1 für Server 2008 R2 aus? Kann man das schon bedenkenlos installieren?

    Danke für eure Antworten und einen schönen Abend noch.

    Uwe

     

    Dienstag, 5. April 2011 15:46