locked
TMG 2010 und Exchange 2010 Problem mit OWA/EAS RRS feed

  • Frage

  • Hallo,

    habe einen neune Beitrag aufgemacht da das Thema ein bisschen aufwendiger ist bzw. für mich.

    Konfiguration:

    Exchange 2010 SP2
    TMG 2010 in der DMZ und Arbeirtsgruppe

    Zertifikat:

    ex01.contoso.com        intern
    eas.dom.contoso.com   extern (gibt ein internes Zertifikat)
    eas.contoso.com          gekauftes SSL-Zertifikat 

    Bin die Installation mehrmals durchgegangen und hab diese mit folgendet Installation verglichen.

    http://www.msisafaq.de/anleitungen/2006/Firewallrichtlinien/OWALDAP.htm

    Komme einfach nicht weiter, jedenfalls komme ich auf die OWA-Seite und bekommen dann eine Fehlermeldung "Error Code: 500 Internal Server Error. The certificate chain
    was issued by an authority that is not trusted. (-2146893019)".

    Auf dem TMG Server hab ich mir die Log auch angesehen und finde einfach den Fehler nicht.

    Failed   Connection Attempt

    Log   type: Web   Proxy (Reverse)

    Status:   0x80090325  

    Rule: OWA

    Source:   External   (194.166.176.195:59676)

    Destination:   Local   Host (192.168.3.33:443)

    Request:   GET http://eas.contoso.com/owa

    Filter   information: Req ID:   012067fa; Compression: client=Yes, server=No, compress rate=0% decompress   rate=0% ; FBA cookie: exists=yes, valid=yes, updated=no, logged off=no,   client type=private, user activity=yes

    Protocol:   https

    User: (LDAP)test.tester

    Client agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:13.0) Gecko/20100101 Firefox/13.0.1
    Object source: Internet (Source is the Internet. Object was added to the cache.)
    Cache info: 0x0
    Processing time: 47 MIME type:

    Hat jemand einen Tipp für mich?

    LG. Franz



    • Bearbeitet net-com Mittwoch, 29. August 2012 19:56
    • Verschoben Christian Schulenburg Donnerstag, 30. August 2012 05:56 TMG-Thema (aus:Exchange Server)
    Mittwoch, 29. August 2012 19:53

Antworten

  • moin franz,

    ich schätze dein tmg mag das interne zertifikat nicht?! wenn ich dich richtig verstehe ist für eas.dom.contoso.com ein selbsterstelltes zertifikat in verwendung (intere pki?). der auszustellenden instanz dieses zertifikats muss tmg vertrauen, sonst kanns nicht tun tun.

    :-)


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

    • Als Antwort markiert net-com Donnerstag, 30. August 2012 07:40
    Donnerstag, 30. August 2012 06:11

Alle Antworten

  • Hi Franz,

    ich habe den Thread mal ins TMG&Co-Forum geschoben, denn Marc wird dir die Schritte bestimmt im Blindflug herbeten können und den Fehler etwas schnelle lokaliseren... :-)

    Viele Grüße

    Christian

    Donnerstag, 30. August 2012 06:02
  • moin franz,

    ich schätze dein tmg mag das interne zertifikat nicht?! wenn ich dich richtig verstehe ist für eas.dom.contoso.com ein selbsterstelltes zertifikat in verwendung (intere pki?). der auszustellenden instanz dieses zertifikats muss tmg vertrauen, sonst kanns nicht tun tun.

    :-)


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

    • Als Antwort markiert net-com Donnerstag, 30. August 2012 07:40
    Donnerstag, 30. August 2012 06:11
  • Hi,

    als oeffentliches Zertifikat nutzt Du:
    Request:  GET http://eas.contoso.com/owa
    Da sollte die Fehlermeldung schon mal nicht kommen wenn es sich um ein Public Certificate handelt und die ausstellende Instanz sich im Zertifikatspeicher der vertrauenswuerdigen Stammzertifizierungsstellen des lokalen Computers befindet von welchem Du die OWA Verbindung herstellst. Kannst Du pruefen indem Du auf der Webseite fuer OWA in die Eigenschaften des Zertifikat klickst.
    ich vermute das problem hier:
    ex01.contoso.com        intern
    Wenn es sich um ein self signed Zert handelt (ausgestellt vom Exchange CAS), musst Du das Zertifikat am Exchange exportieren als .CER File und dann am TMG in den Zertifikatspeicher der vertrauenswuerdigen Stammzertifizierungsstellen des lokalen Computers importieren.
    Bei dem weiteren Troubleshooting hilft Dir der TMG regeltestbutton und https://testexchangeconnectivity.com


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Donnerstag, 30. August 2012 06:52
  • Hallo Jens,

    vielen Dank Christian, hab ein gekauftes externes SSL Zertifikat und ein ein interne PKI. Den TMG Server haben wir beigebracht, dass er der internen PKI vertraut.

    Jedenfalls kann man von extern auf die OWA-Seite(TMG) zugreifen und gibt die Anmeldedaten ein und danach kommt die Fehlermeldung: "Error Code 500 Internal Server Error usw.". Noch eins vorweg, haben jetzt zwei Zertifikat am TMG installiert (externe SSL und interne), möchten gern das exteren Zertifikat vorhalten.

    Mobiles Endgerät -> Internet -> Firewall -> (gekauftes SSL-Zertifikat) TMG 2010 (internes Zertifikat/PKI) -> Exchange 2010

    Kann man das Problem ein bisschen eingrenzen, komme einfach nicht weiter!

    Schöne Grüße

    Franz

    

    Donnerstag, 30. August 2012 06:57
  • Hallo,

    hat echt geklappt:-)!!!, mein Problem war, dass ich als Benutzer die PKI vertrauenswürdig gemacht habe!
    Habe das Root Zertifikat als Computer vertrauenswürdig gemacht und siehe da es funktioniert!

    Werd gleich mal EAS testen und gebe dann kurz Bescheid.

    Schöne Grüße

    Franz


    • Bearbeitet net-com Donnerstag, 30. August 2012 07:17
    Donnerstag, 30. August 2012 07:14
  • Moin Franz,

    yop das passiert schon mal - der TMG nutzt in diesem Fall den Computerzertifikatsspeicher.

    ;-)


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

    Donnerstag, 30. August 2012 08:13