Fragensteller
Migration2003/2010 + TMG - Doppelte Anmeldung OWA

Allgemeine Diskussion
-
Aktuell Migration von 2003 auf 2010, 2003 wird über legacy angesprochen. Aktuell ist noch keine Mailboxrolle installiert, vor dem Umzug der Postfächer muss OWA erst einmal intern/extern laufen.
TMG: Webveröffentlichungsregel -> Standardauthentifizierung.
Owa Listener HTML-Formularauth. Windows AD
OWA: Standardauthentifizierungsverfahren (KW unverschlüsselt)
Nun melden wir uns von extern an (an Postfach was auf 2003 liegt), es kommt ForeFront OWA Fenster, melde mich an und werde an legacy.extdomain.de/OWA weitergeleitet und lande wieder bei forefront owa anmeldefenster. Melde ich mich hier an kommt "Der Zugriff auf ihr Konto wird durch eine Änderung an der Serverkonfiguration verhindert blah".
Intigrierte Auth natürlich auch schon probiert, das Zugriffsproblem besteht trotzdem.
entferne ich owa von legacy.extdomain.de bekomme ich 403 Fehlercode
Intern bekomme ich ein windows Fenster zum Daten eingeben, dann das alte OWA Anmeldefenster.
Es scheint das Exchange2010 hier ein Problem hat die Daten zu übernehmen und richtig weiterzuleiten. Forefront kann ich einstellen was ich will, wenn Exchange vorhanden ist nimmt er die richtigen Anmeldedaten, schickt weiter bzw. ruft legacy auf wenn das Postfach auf 2003 liegt und leitet knallhart weiter ob es nun ins nirwana geht oder nicht.
Ein Regeltest im Forefront ergibt für alle Domains owa+ecp erfolgreich.
Wo dreht sich das ganze im Kreis bzw. welche Einstellung ist hier falsch?
- Bearbeitet DavidA- Freitag, 18. Oktober 2013 14:55
- Typ geändert Alex Pitulice Dienstag, 22. Oktober 2013 11:20 Warten auf Feedback
Alle Antworten
-
legacy zeigt auf die gleiche IP externe Ip wie Owa. Mit internen legacy geht es, nur von ausen gibt es Probleme.
Aktuelle Veränderung: Keine 2 Anmeldungen mehr für https://owa.exDomain.de/owa sondern direkt ein "403 Verboten: Der Server hat die angegebene URL verweigert." für https://legacy.exdomain.de/exchange nach der Anmeldung (Anmeldung leitet mich für 2003er Postfach ja an legacy weiter) am externen OWA. Scheint also auf eine Seite zu zeigen die er nicht hat/zulässt.
-Exchange2003Url https://legacy.exDomain.de/exchange ist aber natürlich richtig gesetzt.
Ich speche die ganze Zeit über das externe OWA. Welche Einstellungen könnten hier falsch sein? Kann es sein das er vom 2003er Ex "https://legacy..." aufrufen will? Intern zeigt legacy direkt auf den 2003er.
p.s. Am TMG kann man die Regel testen. Dort sind alle autodiscovery Einträge weg die dort aber mal gelistet wurden.
- Bearbeitet DavidA- Samstag, 19. Oktober 2013 14:35
-
Hi David,
ich habe nicht viel mit dem TMG am Hut, aber du hast zwei Regeln und FormAuth am Exchange deaktiviert, sofern am TMG aktiv?
Hier ist ein ausführliche Beschreibung, wie beides parallel betrieben wird und einzurichten ist:
http://blogs.perficient.com/microsoft/2010/06/using-isa-2006-tmg-to-publish-exchange-2007-and-2010/
Hier sind auch noch Hinweise zur Konfig:
http://technet.microsoft.com/en-us/library/bb310763.aspx...jetzt müsstest du deine genaue Konfig mal posten...
Grüße
Christian
-
Hallo David,
bist Du weitergekommen?
Gruss,
Alex
Alex Pitulice, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können. -
Negativ.
Bis auf SSO das wir mal aktiviert, mal deaktiviert haben ist die Config die übliche, so auch zu sehen wie bei Christian seinem Link. Form Based auth im Listener, Basic Auth in der Owa Regel, +intigrierte Auth am Exchange. Wir haben bisher nur OWA, für ActiveSync/anywhere und co. haben bisher noch nicht in Angriff genommen.
SSO muss die externe Domain eingetragen sein?
Ich kann mir kaum noch vorstellen das es am Forefront liegt wobei es intern ja funktioniert. Wo könnte er landen wenn er von extern auf eine falsche Seite landet? Als würde https://legacy.exdomain.de/exchange auf einem IIS landen der mit /exchange nichts anfangen kann und sie deshalb blockt. Es gibt aber keinen DNS Eintrag der anders als https://owa.exdomain.de/exchange bzw. https://owa.exdomain.de/exchange zeigt bzw von ausen landen diese ja direkt am FF-TMG.
-
Hi Mali...,
poste mal bitte im TMG-Forum - da sollte es schneller eine Hilfreiche Rückmeldung geben: http://social.technet.microsoft.com/Forums/forefront/en-US/home?forum=Forefrontedgegeneral
Viele Grüße