none
Problem mit TMG (SP2) und RPC Outlook/Exchange in VPN RRS feed

  • Frage

  • Hallo,

    ich habe folgendes Problem:

    bei VPN (PPTP) Clients funktioniert Outlook (2007/2010) mit internem Exchange 2007 SP2 nicht.
    Outlook baut kurz eine Verbindung auf und meldet gleich darauf "Getrennt"

    Ping, DNS, http funktioniert alles problemlos (mittlerweile gesamten Datenverkehr von VPN zu Exchange erlaubt, Strikte RPC Filterung auch abgeschaltet)

    Bis zum installieren von Updates funktionierte auch alles. Uninstall der Updates fehlgeschlagen :-(
    Server (2008 R2 Sp2) nun neu installiert - dummerweise erst alle Updates installiert - Problem besteht immernoch/schon wieder :-(((

    VM mit Testlizenzen installiert (2008 R2 SP1; TMG SP1 ohne Hotfix) - hier funktioniert alles Problemlos (VPN PPTP > Outlook syncronisiert "verbunden")

    Bei der "Protokollierung" wird bei der VM (funktioniert) folgendes angezeigt
    Client to Exchange:
    RPC (alle Schnittstellen) Zielports 5969;135;1116 Initiiert und einige Sekunden später wieder Getrennt
    BrancheCache - Ankündigung  Zielport 443 Initiiert&Getrennt >> Was soll das sein?
    HTTPS  Zielport 443 Verweigert
    Exchange to Client
    Quellport 443 Zielport 5XXXX Nicht identifizierter Datenverkehr, Verweigert; Nicht SYN-Paket...

    Bei dem neu Installiertem TMG (funktioniert nicht)
    Client to Exchange:
    RPC (alle Schnittstellen) Zielports 135 Initiiert und SOFORT wieder Getrennt, ca. 10 mal pro Sekunde
    HTTPS  Zielport 443 Initiiert später Getrennt, dann Verweigert
    Exchange to Client
    Quellport 443 Zielport 5XXXX Nicht identifizierter Datenverkehr, Verweigert; Nicht SYN-Paket...

    RPC over HTTPS auf dem Exchange einrichten ist derzeit keine wirkliche Option (läuft lt. meinem Systemhaus bei 2007 auch oft nicht rund), und ich will keine zwei Baustellen anfangen, wenn ich den Fehler schon mal eingekreist habe.

    Hat jemand einen Tipp, warum RPC nur noch auf Port 135 ankommt und wie das zu beheben ist?

    Mittwoch, 11. April 2012 16:57

Antworten

Alle Antworten

  • Hi,

    deine Zertifikatinfrastruktur fuer Exchange (CAS) laeuft sauber? Alle Certs trusted, nichts abgelaufen, keine veralteten RootCA Certs bei den Clients welche uber den S2S Tunnel auf den Exchange zugreifen?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Mittwoch, 11. April 2012 17:22
    Moderator
  • Wir nutzen eine interne CA, diese ist als Vetrauenswürdig auf dem Client eingetragen und gültig

    das Zertifikat des Exchange ist bis ende 2012 gültig

    Donnerstag, 12. April 2012 03:45
  • Hi,

    koennte so etwas sein:
    http://www.it-training-grote.de/blog/?p=4432


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    • Als Antwort markiert S.Friedrich Donnerstag, 12. April 2012 06:38
    Donnerstag, 12. April 2012 05:00
    Moderator
  • RPC-Filter deaktiviert

    Danke, jetzt geht's!

    Das hatte ich noch nicht gefunden. Wobei der Fehler nun eindeutig beim TMG liegt, da Exchange 2007 auf Server 2003 läuft und kein Update bekommen hat.

    Offenbar hat Microsoft die vordefinierten (RPC) Protokolle des TMG geändert, da Beispielsweise vor dem Update die Pakete teilweise einer BrancheCache - Ankündigung zugeordnet werden.

    Eigentlich haben wir einen TMG, weil wir dachten die Zusammenarbeit der Systeme wäre besser, besonders bei Updates :-/

    PS: Netterweise können die nicht MS Outlook Clients (iPad, Android, ...) auch mit RPC-Filter einwandfrei per VPN arbeiten.

    Donnerstag, 12. April 2012 06:57