locked
TMG 2010 Berechtigungsgruppen RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

     

    ich habe eine Frage.

    Der TMG steht in der DMZ und ist Mitglied im AD.

    Ich möchte OWA. Outlook Anywhere und Acticesync unseren Usern bereitstellen.
    Im AD habe ich die Gruppen:

    Zugriff_TMG_ActiveSync_DL (Domain Lokal)
    Zugriff_TMG_ActiveSync_GG (Global)

    Zugriff_TMG_Outlookanywhere_DL
    Zugriff_TMG_Outlookanywhere_GG

    Zugriff_TMG_OWA_DL
    Zugriff_TMG_OWA_GG

    In den GG-Gruppen habe ich die User.
    Die GG-Gruppen sind einziges Mitglied der DL-Gruppen,

    Im TMG habe ich auch entsprechende Gruppen.
    "ActiveSync Zugriff" beinhaltet Zugriff_TMG_ActiveSync_DL
    "Outlook Anywhere Zugriff" beinhaltet Zugriff_TMG_Outlookanywhere_DL
    "OWA Zugriff" beinhaltet Zugriff_TMG_OWA_DL

    Diese 3 Gruppen sind den  3 Firewallregeln zugeordnet und sind auch  in der Spalte Bedingung zu sehen.

    Bei meinen momentanen Tests mit der ActiveSync-regel mit einem iPad bekomme ich immer folgende Fehlermeldung
    im Protokoll zu sehen:

    > --------------------------------------------------------

    Verweigerte Verbindung                         TMG 29.11.2011 13:16:36
    Protokolltyp: Webproxy (Reverse)
    Status: 12309 Der ISA Server erfordert Autorisierung, um die Anforderung durchführen zu können. Der Zugriff auf den Webserver wird verweigert. Wenden Sie sich an den Serveradministrator. 
    Quelle: aaa.bbb.ccc.ddd:49169
    Ziel: ddd.eee.fff.ggg:443
    Anforderung: OPTIONS http://xxxxxxxxxxxxxxxxxxxx/Microsoft-Server-ActiveSync
    Filterinformationen: Req ID: 09b026f1; Compression: client=No, server=No, compress rate=0% decompress rate=0%
    Protokoll: https
    Benutzer: anonymous
     Zusätzliche Informationen
    Client agent: Apple-iPad1C1/901.334
    Objektquelle: (Es sind keine Quellinformationen verfügbar.)
    Cacheinformationen: 0x0
    Verarbeitungszeit: 469 MIME type:
     
    > --------------------------------------------------------

    Die Frage nun die ich habe ist folgende:

    Kann ich den TMG-Gruppen keine Gruppen zuweisen, oder nur keine verschachtelten Gruppen?

    Vielen Dank für Eure Hilfe/Tipps

     

    Mittwoch, 30. November 2011 13:54

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    wenn der TMG Server Mitglied der Domaene ist, kannst Du problemlos mit Gruppen arbeiten und auch das AGDLP / AGUDLP etc. Prinzip verwenden.
    Hast Du mal https://testexchangeconnectivity.com verwendet? Was sagt das Tool? Die erste Anfrage kommt von einem HTTP User Agent am TMG immer als Anonymous an und danach wird die Anfrage erneut vom Client mit Authentifizierung zum TMG Server gesendet. also grundsaetzlich sehe ich erst mal kein Problem in Deiner Konstellation. Du kannst es ja testweise mal mit einer einfachen globalen Gruppe testen und diese am TMG hinterlegen

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Mittwoch, 30. November 2011 16:49
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

     

    sorry hat etwas gedauert, mangels Zeit

    Mit https://testexchangeconnectivity.com Habe ich mein Glück mal versucht. Nur fehlt mir hier ehrlichgesagt der Ansatz, wo ich dann ggf im TMG  etwas derehen kann.

     

    Hier ist mal das Resultat  bei ActiveSync mit Domainlokaler Gruppe:

     

    > -------------------------------- schnipp  -------------

    Exchange ActiveSync wird von ExRCA getestet.
     Fehler beim Testen von Exchange ActiveSync.
     Testschritte
     Es wird versucht, den AutoErmittlungs- und Exchange ActiveSync-Test durchzuführen (falls angefordert).
     AutoErmittlung konnte nicht für Exchange ActiveSync getestet werden.
     Testschritte
     Es wird versucht, alle Methoden zum Herstellen einer Verbindung zum AutoErmittlungsdienst zu verwenden.
     Eine Verbindung zum AutoErmittlungsdienst konnte mit keiner Methode hergestellt werden.
     Testschritte
     Es wird versucht, die mögliche AutoErmittlungs-URL https://abcde.de/AutoDiscover/AutoDiscover.xml zu testen.
     Fehler beim Testen dieser potenziellen AutoErmittlungs-URL.
     Testschritte
     Attempting to resolve the host name abcde.de in DNS.
     The host name resolved successfully.
     Weitere Details
     IP addresses returned: ee.fff.ggg.hhh

    Testing TCP port 443 on host abcde.de to ensure it's listening and open.
     The specified port is either blocked, not listening, or not producing the expected response.
      Weitere Informationen zu diesem Problem und zu möglichen Lösungen
     Weitere Details
     A network error occurred while communicating with the remote host.




    Es wird versucht, die mögliche AutoErmittlungs-URL https://autodiscover.abcde.de/AutoDiscover/AutoDiscover.xml zu testen.
     Fehler beim Testen dieser potenziellen AutoErmittlungs-URL.
     Testschritte
     Attempting to resolve the host name autodiscover.abcde.de in DNS.
     The host name resolved successfully.
     Weitere Details
     IP addresses returned: aaa.bbb.ccc.ddd

    Testing TCP port 443 on host autodiscover.abcde.de to ensure it's listening and open.
     The port was opened successfully.
    Testing the SSL certificate to make sure it's valid.
     The certificate passed all validation requirements.
     Testschritte
     ExRCA is attempting to obtain the SSL certificate from remote server autodiscover.abcde.de on port 443.
     ExRCA successfully obtained the remote SSL certificate.
     Weitere Details
     Remote Certificate Subject: E=Info@abcde.de, CN=mobile.abcde.de, OU=Secure Webserver, O=aaaaaa, L=bbb, S=NRW, C=DE, Issuer: E=NOC@abcde.de, CN=aaaaa Root CA, OU=Network Operation Center, O=aaaa, L=bbb, S=ccc, C=DE.

    Validating the certificate name.
     The certificate name was validated successfully.
     Weitere Details
     Host name autodiscover.abcde.de was found in the Certificate Subject Alternative Name entry.

    Testing the certificate date to confirm the certificate is valid.
     Date validation passed. The certificate hasn't expired.
     Weitere Details
     The certificate is valid. NotBefore = 10/24/2011 5:08:00 PM, NotAfter = 10/24/2014 5:08:00 PM



    Die IIS-Konfiguration Wird im Hinblick auf die Clientzertifikatsauthentifizierung überprüft.
     Keine Clientzertifikatsauthentifizierung erkannt.
     Weitere Details
     Clientzertifikate für Akzeptieren/Anfordern nicht konfiguriert.

    Es wird versucht, dem AutoErmittlungsdienst eine POST-Anforderung zu senden, damit er URLs ggf. automatisch erkennen kann.
     Beim Senden der POST-Anforderungen für die AutoErmittlung konnten keine AutoErmittlungseinstellungen abgerufen werden.
     Testschritte
     ExRCA versucht, eine XML-Antwort des AutoErmittlungsdiensts von URL https://autodiscover.abcde.de/AutoDiscover/AutoDiscover.xml für Benutzer test2@abcde.de abzurufen.
     Von ExRCA konnte keine XML-Antwort von der AutoErmittlung abgerufen werden.
     Weitere Details
     An HTTP 401 Unauthorized response was received from the remote Unknown server. This is usually the result of an incorrect username or password. If you are attempting to log onto an Office 365 service, ensure you are using your full User Principal Name (UPN).





    Es wird versucht, mit der HTTP-Umleitungsmethode eine Verbindung zum AutoErmittlungsdienst herzustellen.
     Fehler beim Verbindungsversuch zur AutoErmittlung mit der HTTP-Umleitungsmethode.
     Testschritte
     Attempting to resolve the host name autodiscover.abcde.de in DNS.
     The host name resolved successfully.
     Weitere Details
     IP addresses returned: aaa.bbb.ccc.ddd

    Testing TCP port 80 on host autodiscover.abcde.de to ensure it's listening and open.
     The specified port is either blocked, not listening, or not producing the expected response.
      Weitere Informationen zu diesem Problem und zu möglichen Lösungen
     Weitere Details
     A network error occurred while communicating with the remote host.




    Es wird versucht, mit der DNS-SRV-Umleitungsmethode eine Verbindung zum AutoErmittlungsdienst herzustellen.
     Mit der DNS-SRV-Umleitungsmethode konnte keine Verbindung von ExRCA zum AutoErmittlungsdienst hergestellt werden.
     Testschritte
     Es wird versucht, den SRV-Datensatz _autodiscover._tcp.abcde.de im DNS zu finden.
     Der SRV-Datensatz für die AutoErmittlung wurde nicht in DNS gefunden.
      Weitere Informationen zu diesem Problem und zu möglichen Lösungen

     

    > -------------------------------- schnapp  -------------

    hier mit Domainloakler Gruppe

     

    > ----------------------------------- schnipp -----------------------

     

    Exchange ActiveSync wird von ExRCA getestet.
     Fehler beim Testen von Exchange ActiveSync.
     Testschritte
     Es wird versucht, den AutoErmittlungs- und Exchange ActiveSync-Test durchzuführen (falls angefordert).
     AutoErmittlung konnte nicht für Exchange ActiveSync getestet werden.
     Testschritte
     Es wird versucht, alle Methoden zum Herstellen einer Verbindung zum AutoErmittlungsdienst zu verwenden.
     Eine Verbindung zum AutoErmittlungsdienst konnte mit keiner Methode hergestellt werden.
     Testschritte
     Es wird versucht, die mögliche AutoErmittlungs-URL https://abcd.de/AutoDiscover/AutoDiscover.xml zu testen.
     Fehler beim Testen dieser potenziellen AutoErmittlungs-URL.
     Testschritte
     Attempting to resolve the host name abcd.de in DNS.
     The host name resolved successfully.
     Weitere Details
     IP addresses returned: eee.fff.ggg.hhh

    Testing TCP port 443 on host abcd.de to ensure it's listening and open.
     The specified port is either blocked, not listening, or not producing the expected response.
      Weitere Informationen zu diesem Problem und zu möglichen Lösungen
     Weitere Details
     A network error occurred while communicating with the remote host.




    Es wird versucht, die mögliche AutoErmittlungs-URL https://autodiscover.abcd.de/AutoDiscover/AutoDiscover.xml zu testen.
     Fehler beim Testen dieser potenziellen AutoErmittlungs-URL.
     Testschritte
     Attempting to resolve the host name autodiscover.abcd.de in DNS.
     The host name resolved successfully.
     Weitere Details
     IP addresses returned: aaa.bbb.ccc.ddd

    Testing TCP port 443 on host autodiscover.abcd.de to ensure it's listening and open.
     The port was opened successfully.
    Testing the SSL certificate to make sure it's valid.
     The certificate passed all validation requirements.
     Testschritte
     ExRCA is attempting to obtain the SSL certificate from remote server autodiscover.abcd.de on port 443.
     ExRCA successfully obtained the remote SSL certificate.
     Weitere Details
     Remote Certificate Subject: E=Info@abcd.de, CN=mobile.abcd.de, OU=Secure Webserver, O=aaaaaa, L=bbbb, S=NRW, C=DE, Issuer: E=NOC@abcd.de, CN=aaaaaa Root CA, OU=Network Operation Center, O=aaaaaa, L=bbbb, S=NRW, C=DE.

    Validating the certificate name.
     The certificate name was validated successfully.
     Weitere Details
     Host name autodiscover.abcd.de was found in the Certificate Subject Alternative Name entry.

    Testing the certificate date to confirm the certificate is valid.
     Date validation passed. The certificate hasn't expired.
     Weitere Details
     The certificate is valid. NotBefore = 10/24/2011 5:08:00 PM, NotAfter = 10/24/2014 5:08:00 PM



    Die IIS-Konfiguration Wird im Hinblick auf die Clientzertifikatsauthentifizierung überprüft.
     Keine Clientzertifikatsauthentifizierung erkannt.
     Weitere Details
     Clientzertifikate für Akzeptieren/Anfordern nicht konfiguriert.

    Es wird versucht, dem AutoErmittlungsdienst eine POST-Anforderung zu senden, damit er URLs ggf. automatisch erkennen kann.
     Beim Senden der POST-Anforderungen für die AutoErmittlung konnten keine AutoErmittlungseinstellungen abgerufen werden.
     Testschritte
     ExRCA versucht, eine XML-Antwort des AutoErmittlungsdiensts von URL https://autodiscover.abcd.de/AutoDiscover/AutoDiscover.xml für Benutzer test2@abcd.de abzurufen.
     Von ExRCA konnte keine XML-Antwort von der AutoErmittlung abgerufen werden.
     Weitere Details
     An HTTP 401 Unauthorized response was received from the remote Unknown server. This is usually the result of an incorrect username or password. If you are attempting to log onto an Office 365 service, ensure you are using your full User Principal Name (UPN).





    Es wird versucht, mit der HTTP-Umleitungsmethode eine Verbindung zum AutoErmittlungsdienst herzustellen.
     Fehler beim Verbindungsversuch zur AutoErmittlung mit der HTTP-Umleitungsmethode.
     Testschritte
     Attempting to resolve the host name autodiscover.abcd.de in DNS.
     The host name resolved successfully.
     Weitere Details
     IP addresses returned: aaa.bbb.ccc.ddd

    Testing TCP port 80 on host autodiscover.abcd.de to ensure it's listening and open.
     The specified port is either blocked, not listening, or not producing the expected response.
      Weitere Informationen zu diesem Problem und zu möglichen Lösungen
     Weitere Details
     A network error occurred while communicating with the remote host.




    Es wird versucht, mit der DNS-SRV-Umleitungsmethode eine Verbindung zum AutoErmittlungsdienst herzustellen.
     Mit der DNS-SRV-Umleitungsmethode konnte keine Verbindung von ExRCA zum AutoErmittlungsdienst hergestellt werden.
     Testschritte
     Es wird versucht, den SRV-Datensatz _autodiscover._tcp.abcd.de im DNS zu finden.
     Der SRV-Datensatz für die AutoErmittlung wurde nicht in DNS gefunden.
      Weitere Informationen zu diesem Problem und zu möglichen Lösungen

    > -------------------------------- schnapp  -------------

    Schon einmal vielen Dank

    Montag, 5. Dezember 2011 10:01