none
ISA 2006 Problem mit OWA Veröffentlichung RRS feed

  • Frage

  • Hallo zusammen,

    ich habe ein Problem mit der Veröffentlichung von OWA über ISA 2006 und komme einfach nicht weiter.

    Schilderrung des Problems:
    Ich rufe über eine externe Adresse (dyndns, da keine statische IP vorhanden) die OWA Freigabe auf, also Bsp.: https://test.dyndns.org:443/owa
    Ich komme zum ISA Login Fenster, authentifiziere mich. Gelange zum OWA Login Fenster, authentifiziere mich und anschließend kommt eine Fehlermeldung:


    Technische Informationen (für Supportpersonal)
    
        * Fehlercode 64: Host ist nicht verfügbar
        * Hintergrund: Die Verbindung mit dem Webserver ging verloren. 

    Diese kommt ob ich das korrekte Passwort eingebe, oder auch nicht. Also scheinbar stimmt irgendwas an der Auflösung zum Exchange nicht.
    Ich habe das ganze mit HTTPS sowie mit HTTP(Testweise) probiert. Beides jedoch ohne Erfolg.

    Hier die Konfiguration:
    ISA 2006 SP 1 Standard Edition, auf Windows 2003 R2 Standard Edition
    zwei Netzwerkkarten (intern/extern)


    intern:
    IP-Adresse: 190.115.57.56
    SNM:           255.255.255.0
    GW:            -
    DNS1:        190.115.57.50 (Ist der interne DC)
    DNS2:        -


    extern:
    IP-Adresse: 192.168.2.56
    SNM:           255.255.255.0
    GW:          192.168.2.1
    DNS1: - DNS2: -
    Wir nutzen einen VPN Router. Diese Router hat 2 interne IP-Adresse vergeben. Beide auf das gleiche WAN. Der externe IP-Adressbereich entspricht der zweiten Adresse des Routers. Via traceroute gehen die Pakete auch richtig rauß. sprich über die externe, nicht über die interne IP-Adresse. Auf dem Router ist eine Weiterleitung eingestellt, die Anfragen von 443 an die interne IP(extern) des ISA's weiterleiten.

    Bevor der Server produktiv geht, wird mit Trial Zertifikaten gearbeitet. Habe Thawte sowie CaCert ausprobiert. Das Zertifikate auf dem Exchange ist ein selbsterstelltes. (vllt. hängt es damit zusammen, wobei das ganze über HTTP auch nicht funktioniert. Auch wenn OWA intern auf HTTP umgestellt ist)


    OWA lässt sich vom ISA aus soweit öffnen, das er mäkelt das die Skripteinstellungen im IE nicht passen. Die DNS Auflösung funktioniert auch sauber. Sprich mit Hostnamen oder hostname.domain


    Die OWA Freigabe ist wie folgt eingerichtet:
    Von: Beliebig
    Bis: exchange-server
          IP-Adresse des exchange-server auch hinterlegt
          Ursprünglicher Hostheader abgehakt
          Ursprung der Anforderrungen scheint der ISA Server zu sein, angehakt
    Weblistener:
                     Netzwerke: extern
                     Port HTTP: 443
                     Port HTTPS: (deaktiviert)
                     Authentifizierungsmethoden: FBA with AD
                     Immer authentifizieren: Ja
                     Domäne für Nutzung: domain

    So ist es momentan zum testen eingestellt, um eigentlichen Fehlern von Zertifikaten zu umgehen.
    Wenn ich nun z.B. unter Bridging Regel testen anklicken. Sind alle Fehler bis auf OWA in Ordnung. Der Fehler bei OWA beruhrt auf Authentifizierungseinstellungen. Passe ich das ganze so an, das OWA grün ist, sind die anderen rot. Nichts desto trotz funktioniert das ganze immer noch nicht.

    es scheint für mich so, als wenn nach der ISA Authentifizierung keine vernünftige Weiterleitung an den Exchange erfolgt.

    Hoffe ihr habt eine Idee wie ich das ganze zum fliegen bringe.

    Gruß,
         Johnny Walker.
    Mittwoch, 24. Februar 2010 10:57

Antworten

  • Guten Morgen.

    Ich war in der Lage mein Problem zu lösen.
    Mein ISA war so konfiguriert das er eine interne sowie eine externe Netzwerkkarte hatte.
    Ich habe den ISA nun als "Einzelner Netzwerkadapter" konfiguriert. Sprich als Proxyserver.

    Ich habe die OWA Regel etc. noch einmal neu erstellen müssen, da sonst die Umstellung wegen des Listeners nicht funktioniert hätte.
    Habe diese, genau wie vorher erstellt, nur das der Verkehr nun von der "internen" und nicht der "externen" (nicht mehr vorhanden) Schnittstelle kommt.
    Es scheint also, das die erste Konstellation in unserem Netz nicht zu integrieren war. Da aufgrund der Gegebenheiten nicht korrekt Unterschieden werden konnte, von welchem Device nun die Anfragen kommen.

    Der Regeltester sagt im übrigen das alle Freigaben für die OWA Freigabe in Ordnung sind, bis auf die OWA Freigabe.
    Sprich:
    http://domain.dyndns.org:443/Exchange/ (i.O)
    http://domain.dyndns.org:443/Exchweb/ (i.O)
    http://domain.dyndns.org:443/OWA/ (n. in Ordnung)
    http://domain.dyndns.org:443/public/ (i.O)

    Folgenden Fehler bekomme ich für die OWA Freigabe:

    Kategorie: Allgemeiner Fehler
    Fehlerdetails: Die in der Regel definierte Methode der Authentifizierungsdelegierung entspricht nicht der ausgewählten Authentifizierungsmethode für das veröffentlichte Verzeichnis auf dem Server, auf dem die Site gehostet wird. Methode für die Authentifizierungsdelegierung der Veröffentlichungsregel: Basic. Authentifizierungsmethoden für den veröffentlichten Server: Formularbasierte Authentifizierung.

    Funktionieren tut es trotzdem. Wäre jedoch nicht schlecht, denke ich, wenn auch diese verschwindet.

    Des Weiteren muss ich nun noch testen ob mit dieser ISA Variante die Freigabe von Exchange ActiveSync funktioniert.

    Gruß,
      Johnny Walker

    ---- EDIT ----
    Die Regel funktioniert nun auch:
    Die OWA Regel Authentifizierung steht nun auf:
    Keine Delegierung, aber direkte Authentifizierung des Clients
    Die Listener steht auf:
    HTML-Formularauthentifizierung + Windows Active Directory

    Ist diese Konsteletation in Ordnung, oder vielleicht nicht zu empfehlen? Wenn ja warum?
    Donnerstag, 25. Februar 2010 07:48

Alle Antworten

  • Hi,

    >Schilderrung des Problems:
    >Ich rufe über eine externe Adresse (dyndns, da keine statische IP vorhanden) die OWA Freigabe auf, also Bsp.: https://test.dyndns.org:443/owa
    Ist hier erst einmal nicht das Problem, außer mit dem Zertifikat.
    >Ich komme zum ISA Login Fenster, authentifiziere mich. Gelange zum OWA Login Fenster, authentifiziere mich und anschließend kommt eine Fehlermeldung:
    Schalte bitte die FBA am Exchange 2007 aus. Der ISA reicht die Credential weiter. Doppelte FBA Authentifizierung geht nicht.

    Was sagt denn der Regeltest Deiner OWA Veröffentlichung im ISA ?

    Gruß Ralph Andreas Altermann | Microsoft Partner Regional Technical Communities, Hamburg | 09.03.2010 - 2.ter Microsoft Partner Stammtisch Hamburg | Anmeldung/Registrierung unter http://www.xing.com/net/mpshh
    Mittwoch, 24. Februar 2010 19:35
  • Guten Morgen.

    Ich war in der Lage mein Problem zu lösen.
    Mein ISA war so konfiguriert das er eine interne sowie eine externe Netzwerkkarte hatte.
    Ich habe den ISA nun als "Einzelner Netzwerkadapter" konfiguriert. Sprich als Proxyserver.

    Ich habe die OWA Regel etc. noch einmal neu erstellen müssen, da sonst die Umstellung wegen des Listeners nicht funktioniert hätte.
    Habe diese, genau wie vorher erstellt, nur das der Verkehr nun von der "internen" und nicht der "externen" (nicht mehr vorhanden) Schnittstelle kommt.
    Es scheint also, das die erste Konstellation in unserem Netz nicht zu integrieren war. Da aufgrund der Gegebenheiten nicht korrekt Unterschieden werden konnte, von welchem Device nun die Anfragen kommen.

    Der Regeltester sagt im übrigen das alle Freigaben für die OWA Freigabe in Ordnung sind, bis auf die OWA Freigabe.
    Sprich:
    http://domain.dyndns.org:443/Exchange/ (i.O)
    http://domain.dyndns.org:443/Exchweb/ (i.O)
    http://domain.dyndns.org:443/OWA/ (n. in Ordnung)
    http://domain.dyndns.org:443/public/ (i.O)

    Folgenden Fehler bekomme ich für die OWA Freigabe:

    Kategorie: Allgemeiner Fehler
    Fehlerdetails: Die in der Regel definierte Methode der Authentifizierungsdelegierung entspricht nicht der ausgewählten Authentifizierungsmethode für das veröffentlichte Verzeichnis auf dem Server, auf dem die Site gehostet wird. Methode für die Authentifizierungsdelegierung der Veröffentlichungsregel: Basic. Authentifizierungsmethoden für den veröffentlichten Server: Formularbasierte Authentifizierung.

    Funktionieren tut es trotzdem. Wäre jedoch nicht schlecht, denke ich, wenn auch diese verschwindet.

    Des Weiteren muss ich nun noch testen ob mit dieser ISA Variante die Freigabe von Exchange ActiveSync funktioniert.

    Gruß,
      Johnny Walker

    ---- EDIT ----
    Die Regel funktioniert nun auch:
    Die OWA Regel Authentifizierung steht nun auf:
    Keine Delegierung, aber direkte Authentifizierung des Clients
    Die Listener steht auf:
    HTML-Formularauthentifizierung + Windows Active Directory

    Ist diese Konsteletation in Ordnung, oder vielleicht nicht zu empfehlen? Wenn ja warum?
    Donnerstag, 25. Februar 2010 07:48