none
TMG Publishing OWA inkl. legacy redirect mit RSA SecurID RRS feed

  • Frage

  • Hallo zusammen,

    ich habe folgendes Problem, auf das ich bis jetzt keine Lösung gefunden habe:

    Wir veröffentlichen über einen TMG (Rollup 4 für Forefront TMG 2010 SP1 Update 1 - Version 7.0.9027.450) OWA für Exchange 2010 und Exchange 2007/2003.

    Das ganze ist über FBA am Listener mit RSA SecurID abgesichert. Der Zugriff auf Exchange 2010 funktioniert ohne Probleme. Zusätzlich ist für den legacy-Zugriff der DNS Name registriert und am Zertifikat des Listener sind SAN's (mit legacy-URL) eingetragen. Single-Sign-On für ".domain.tld" ist ebenfalls aktiviert.

    Beim Aufruf der URL https://owa.domain.tld/owa erfolgt der redirect auf https://legacy.domain.tld/owa nicht, wenn die RSA SecureID Authentifizierung aktiviert wird. Ein manueller Aufruf der URL https://legacy.domain.tld/owa nach erfolgter Authentifizierung über die URL https://owa.domain.tld/owa öffnet das Postfach.

    Das Problem besteht nicht, wenn am TMG auf die RSA SecureID Authentfizierung verzichtet wird - also nur FBA aktiv ist.

    Es scheint immer nur dann ein Problem zu sein, sobald RSA SecurID als Authentifizierungsmethode am Listener gewählt wird. Ein grundsätzliches RSA SecurID Problem kann ausgeschlossen werden, denn wenn ich den Benutzer auf Exchange 2010 umziehe funktioniert alles.

     

    Hat jemand eine weitere Idee?

     

    Danke und Gruß

    Sascha

    Donnerstag, 22. September 2011 08:34

Alle Antworten

  • Moin,

    verstehe ich das richtig du hast drei Exchange Versionen in der gleichen Organisation ?

    Es kann ja nur was mit der Art der Authentifizierung zusammen hängen. Kann man am Exchange Server im IIS-Log sehen, ob eine Anmeldung durchgeführt wurde ? Möglicherweise hilf die Kerberos Constraind Delegeation.

    Dabei wird dann zwischen TMG und Exchange mit Kerberos gearbeitet. Dazu müsstest du die Authentifizierungs Deligierung am TMG auf KCD umstellen (SPN http/*) und dem Computerkonto des TMGs erlaubern, KCD auf die Exchange Server (ANY Protocoll http/exchangeserver) erlauben. Nach dem Setzten der Delegierung ist ein Neustart notwendig ....


    Viele Grüße Carsten
    Montag, 26. September 2011 04:34
  • Hi Carsten,

     

    danke für deine Antwort. KCD scheidet hier (bis jetzt) leider aus, das der TMG einbindig in einer DMZ konfiguriert ist und der Kunde nicht wünscht, dass der TMG Server Mitglied der Domäne wird.

    Ich bin mir nicht so sicher, ob es wirklich an der Authentifizierung liegt, da nur eine Umstellung des Listeners von RSA auf FBA reicht, damit alles funktioniert.

    Ich werde mir aber noch mal die IIS-Logs anschauen.

     

    Gruß

    Sascha

    Montag, 26. September 2011 19:21
  • Hallo Sascha,

    hast du vielleicht Updates?

    Gruss,

    Alex

    Mittwoch, 28. September 2011 14:18
    Moderator
  • Hallo Alex,

     

    nein bis jetzt keine weiteren Updates. KCD scheidet leider aus - und der Kunde konnte mir noch keine IIS-Log-Ergebnisse liefern.

     

    Gruß
    Sascha

    Mittwoch, 28. September 2011 17:00