locked
ISA lässt EAS und OWA nicht mehr durch nach Neustart ... RRS feed

  • Frage

  • Hallo zusammen,

    ich habe hier folgendes Problem:

    Unser ISA lässt auf den Exchange per https (für OWA und EAS) nichts mehr durch seit er gestern Abend neu gestartet wurde.

    Er hat gemeldet dass er auf das Cache-File nicht zugreifen konnte, weil in Benutzung ... -> Neustart

    Alles andere funktioniert nach wie vor (vpn-Einwahl, Mails rein und raus, GFI WebFilter-Proxy, BlackberryServer)
    Die Regeln wurden NICHT verändert (ich habe auch noch einmal sicherheitshalber die letzte XML von davor ausprobiert... !)

    Die Clients erhalten jetzt Fehlercode: 500 Interner Serverfehler. Der Zielprinzipalname ist falsch. (-2146893022)

    Das Zertifikat ist gültig.

    Hat jemand eine Idee wo ich noch drehen und kucken kann ?

    Besten Dank und schon mal ein schönes Wochenende !

    Grüße aus München,

    Freitag, 12. Oktober 2012 09:43

Antworten

  • Es geht wieder ....

    ich habe ALLE regeln die den Exchange betreffen gelöscht, alle Listener rausgeworfen und anschließend 1x neu erstellt.

    Nun tuts wieder ...

    Die Frage bleibt für mich aber trotzdem, warum es bis zum Neustart gestern einwandfrei mit den "alten" Regeln ging.

    • Als Antwort markiert Schubo Freitag, 12. Oktober 2012 12:43
    Freitag, 12. Oktober 2012 11:48

Alle Antworten

  • moin schubo,

    patchlvl ist aktuell vom isa?

    http://blog.forefront-tmg.de/?page_id=27

    was für einen namen hast du denn als ziel angegeben? netbios, fqdn? kannst du vom tmg mit einem browser auf den internen exchanger zugreifen und owa "sehen"?


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

    Freitag, 12. Oktober 2012 09:45
  • Hallo Jens,

    also:

    Patchstand ISA 2004 SP3 aber ohne den KB960995.

    Ich kann vom ISA aus ohne Probleme auf die OWA-Seiten des Exchange (2010) zugreifen. Bekomme ganz brav mein Login.

    In der OWA-Regel ist (und war immer !) der FQDN des Exchange-Servers drin.

    Freitag, 12. Oktober 2012 10:02
  • Hi,

    was sagt denn https://testexchangeconnectivity.com?
    Die Meldung 500 - Service Principal name wrong kann beim HTTPS Bridging nur daran liegen dass:
    1) der CN des Zertifikats vom Exchange Server nicht der gleiche ist wie Du in der ISA Veroeffentlichungsregel im Feld "Bis" angegeben hast. Weitere Moeglichkeit waere dass Du auf dem Exchange Server ein SAN Zertifikat einsetzt und der ISA den Namen nicht aus dem Zertifikat auslesen kann. Da Du am ISA aber OWA intern oeffnen kannst ohne Zertifikatmeldung denke ich, dass etwas mit dem Zertifikat im ISA Listener nicht passt.
    2) der CN des Zertifikats im Listener muss dem "Public Name" im Listener entsprechen.
    Ich wuerde also alle Zertifikate pruefen, welche an der Infrastruktur beteiligt sind (Exchange, ISA, Trusted Root pruefen, Zertifikatgueltigkeit pruefen etc.).
    Evtl. sagt auch der ISABPA mehr zu dem Zertifikatproblem


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Freitag, 12. Oktober 2012 10:15
  • So, der Test sagt:

    Testdetails
    Exchange ActiveSync wird von ExRCA getestet.
      Fehler beim Testen von Exchange ActiveSync.
     
    Testschritte
     
    Attempting to resolve the host name xxx in DNS.
      The host name resolved successfully.
     
    Weitere Details
    Testing TCP port 443 on host xxx to ensure it's listening and open.
      The port was opened successfully.
    Testing the SSL certificate to make sure it's valid.
      The certificate passed all validation requirements.
     
    Testschritte
     
    ExRCA is attempting to obtain the SSL certificate from remote server xxx on port 443.
      ExRCA successfully obtained the remote SSL certificate.
     


    Validating the certificate name.
      The certificate name was validated successfully.
     
    Weitere Details
    Validating certificate trust for Windows Mobile devices.
      The certificate is trusted and all certificates are present in the chain.
     
    Testschritte
    Testing the certificate date to confirm the certificate is valid.
      Date validation passed. The certificate hasn't expired.
     
    Weitere Details
    Die IIS-Konfiguration Wird im Hinblick auf die Clientzertifikatsauthentifizierung überprüft.
      Keine Clientzertifikatsauthentifizierung erkannt.
     
    Weitere Details
    HTTP-Authentifizierungsmethoden werden für URL https://xxx/Microsoft-Server-ActiveSync/ getestet.
      Fehler beim HTTP-Authentifizierungstest.
     
    Weitere Details
      Die Antwort 'HTTP 500' wurde von Unknown zurückgegeben.

    Freitag, 12. Oktober 2012 10:53
  • Das Zertifikat ist für die "externe" adresse des Server ausgestellt. und wie gesagt:

    Bis gestern nachmittag (vor dem Neustart des ISA-Servers) hat das ganze ja bereits seit vielen Wochen einwandfrei funktioniert !

    Freitag, 12. Oktober 2012 10:55
  • moin schubo,

    schau dir mal diesen artikel hier an, vlt. hilft der?!:

    http://blogs.technet.com/b/isablog/archive/2008/04/29/troubleshooting-owa-2007-publishing-rules-on-isa-server-2006.aspx


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

    Freitag, 12. Oktober 2012 11:10
  • Es geht wieder ....

    ich habe ALLE regeln die den Exchange betreffen gelöscht, alle Listener rausgeworfen und anschließend 1x neu erstellt.

    Nun tuts wieder ...

    Die Frage bleibt für mich aber trotzdem, warum es bis zum Neustart gestern einwandfrei mit den "alten" Regeln ging.

    • Als Antwort markiert Schubo Freitag, 12. Oktober 2012 12:43
    Freitag, 12. Oktober 2012 11:48