locked
Besonderheiten ISA/TMG einbeinig als RProxy? RRS feed

  • Frage

  • Hi,
    Kunde will TMG einbeinig aufstellen.
    Erster Test mit OutlookAnywhere war nicht erfolgreich.
     
    Gibt es eine Anleitung/Tipps, die ggf. vorhandenen Besonderheiten
    beschreibt?
     
    --
     
    Besten Dank,
    Jens
     
     

    Regards, Jens Klein
    Dienstag, 31. August 2010 13:38

Alle Antworten

  • sers jens,

    ich würde nach erfolgreicher single-nic implementation (brrr) erstmal mit owa anfangen. wenn das einwandfrei läuft, dann eas und outlook anywhere mit dazu bauen. denke dran: für autodiscovery brauchst du idealerweise san-zertifikate!


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Dienstag, 31. August 2010 13:43
  • Hallo Jens,
    vielen Dank für Deine schnelle Antwort, aber
    was gibt es abweichend von der MehrBeinKonfiguration zu beachten/anders zu
    konfigurieren?
     
    --
     
    Besten Dank,
    Jens
    "Jens.Mander" schrieb im Newsbeitrag
    news:85f06a52-c45c-4a39-bde4-e92fb33e3282@communitybridge.codeplex.com...
    sers jens,
    ich würde nach erfolgreicher single-nic implementation (brrr) erstmal mit
    owa anfangen. wenn das einwandfrei läuft, dann eas und outlook anywhere mit
    dazu bauen. denke dran: für autodiscovery brauchst du idealerweise
    san-zertifikate!
     gruss, jens mander aka karsten hentrup - www.aixperts.de -
    www.forefront-tmg.de - www.hentrup.net |<-|
     
     

    Regards, Jens Klein
    Dienstag, 31. August 2010 13:57
  • Hallo Jens,

    wie hast du denn den TMG konfiguriert, steht er in einer DMZ oder im LAN, welche Authentifizierung forderst du am TMG?

    Wie sieht derzeit deine Regel aus?

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Dienstag, 31. August 2010 14:11
  • Hi,

    http://www.it-training-grote.de/download/tmg-ldap-eas.pdf
    Hilft das?


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Dienstag, 31. August 2010 14:13
  • beim "erste-schritte-assistenten" sollte das single-nic template verwendet werden und idealerweise auch nur eine aktive nic im os vorhanden sein. das publishing bleibt eigentlich ähnlich, nur das du auf eine interne ip den listener aufspannst!
    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Dienstag, 31. August 2010 15:17
  • Hallo Jens,

    ich habe einen TMG als Reverseproxy einbeinig in der DMZ.

    Mach die Anbindung über die Exchange Veröffentlichung. Binde den Weblistener an das Zertifikat der Rest ist eigentlich selbsterklärend, fang mit OWA an. Teste über den Regeltest Button, wenn da alles ok ist wird auch activesync und outlook anywhere gehen.

    Das ah und oh ist dass das Zertifikat passt und richtig integriert ist.

    Gruß

    Michael

     


    Cisco CCNP -- HP Procurve ASE Networking and Convergence
    Dienstag, 31. August 2010 16:48
  • yo das mit den zertifikaten geht am häufigsten in die hose. für san zertifikate ausstellen siehe auch hier:

    http://blog.forefront-tmg.de/?p=250


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Dienstag, 31. August 2010 18:11
  • ok, ich vergaß in der Eile die genaue Beschreibung:
    Ziel: nur Reverse-Proxy für OWA, OutlookAnywhere
     
    TMG mit Single-IP ist jetzt Geschichte.
     
    Jetzt mit 2 NIC (mi tAssi eingerichtet) in verschiedenen VLANs in der DMZ
    hinter Checkpoint,
    eine NIC mit öffentlicher IP (extern) 1.1.1.1,
    eine NIC im anderen VLAN mit priv. IP (intern) 192.168.0.1,
    TMG nicht Dom-Mitglied (nicht gewünscht).
    TMG kann über CP und den Ports 80, 443, 389 3268 alle internen DCs + Exch
    (CAS+MBX 2007) erreichen.
    Als intern sind definiert: IP des 2.Beins mit priv. IP (192.168.0.1) und
    alle internen Netz-IDs (172.16.0.x, 172.17.0.x), wo der TMG hin will
    (Server),  oder aus denen er erreicht werden will (per RDP zur Verwaltung).
    Routen sind gesetzt und funktionieren (nur eine 0.0.0.0 vorhanden).
    Listener mit HTML-Formularauth., Auth-Überprüfung per LDAP
    (ActiveDirectory).
    Als Auth-Srv sind die DCs eingetragen.
    Zertifikate sind von interner CA, der Root-CA vertraut der TMG.
    CAS für OWA auf Standard und integrierte Auth. umgestellt.
    OWA-Regel-Test fehlerfrei+ Funktion gegeben.  :-)
     
    CAS-IIS für den RPC-Bereich in Standard + integriete Auth. gestellt, damit
    Outlook-Clients (OL2003, OL2007, OL2010) NTLM-Auth. nutzen können.
    OutlookAnywhere-Regel-Test fehlerfrei (als Ziel ist der CAS eingetragen (auf
    dem wurde OutlookAnywhere in der Exch-Verwalt. aktiviert))
    aber Funktion ist nicht gegeben.  :-(
    Vorübergehend gelang die OL-Verbindung über Basis-Auth., es erfolgte aber
    kein sync und auch Mail versenden war nicht möglich.
    Von da an gelang auch über Basis-Auth. keine Verbindung mehr. Reg-Key im
    OL2003 für NTLM-Auth. ist auf 2 gesetzt.
     
    Was habe ich an Infos vergessen?
     
    --
     
    Besten Dank,
    Jens
     
     

    Regards, Jens Klein
    Dienstag, 31. August 2010 23:01
  • Hi,

    Dein Listener unterstuetzt auch HTTP Basic Auth, wie ich in dem Artikel beschrieben habe, den ich gepostet habe?
    Was sagt denn das TMG und Exchange Log zum Zeitpunkt der Verbindungsaufbaus?
    Was sagt https://testexchangeconnectivity.com?

     


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Mittwoch, 1. September 2010 03:53
  • moin jens,

    was hast du denn als benutzerkontensatz auf der regel angegeben - hast du "alle authentifizierten benutzer" genommen? falls nicht, dann probier es mal mit dieser vordefinierten gruppe aus!


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Mittwoch, 1. September 2010 11:22
  • sers jens,

    grad beim aufarbeiten meiner rss-urlaubslücken die artikelserie von uns richard bemerkt. schauma hier vlt. hilft's dir ein wenig?!:

    http://www.isaserver.org/tutorials/Publishing-Exchange-Outlook-Web-App-OWA-Microsoft-Forefront-Threat-Management-Gateway-TMG-2010-Part1.html


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Mittwoch, 1. September 2010 16:12