RPC over HTTP mit Exchange 7 mit ISA 2006 Fehler

[MHeiss2003]

Hallöchen,
die letzte Woche habe ich damit verbracht, den Fehler zu finden, warum keine RPC over HTTP Verbindungen von den Clients aus mehr funktionieren. Leider bin ich nicht weitergekommen bis jetzt.

Die Verbindung geht weder intern noch extern. Intern funktioniert zwar die Verbindung, allerdings nur über TCP/IP und nicht über HTTPS.

Was habe ich bisher unternommen:
1. DNS Konfiguration überprüft
2. AD überprüft
3. Netzwerktreiber aktualisiert
4. Alle Windows Updates auf ISA 2006 und Windows 2003 R2 mit Exchange 2007 installiert
5. Test der Verbindung intern;ist musste in die hosts Datei des Testrechners den Eintrag "IP-Adresse Exchange owa.domain.de" setzen, damit ich eine Verbindung über SSL bekam, da ich ein ofizielles SSL-Zertifikat installiert habe.

Ein Test der RPC-Konfiguration über https://www.testexchangeconnectivity.com/ ergab folgenden Fehler bei ping RPC endpoint 6001:
An RPC Error was thrown by the RPC Runtime. Error 2147483647 2147483647.
Wenn ich mir die IIS-Logs ansehe, sobald der Test gelaufen ist, finde ich folgendes im Log:
2009-11-15 14:32:13 W3SVC1 SRV032 10.150.30.3 RPC_IN_DATA /Rpc/RpcProxy.dll - 443 domain.local\testuser 10.150.30.254 MSRPC 200 0 0
2009-11-15 14:32:38 W3SVC1 SRV032 10.150.30.3 RPC_OUT_DATA /rpc/rpcproxy.dll srv032.domain.local:6001 443 domain.local\testuser 10.150.30.254 MSRPC 200 0 0
2009-11-15 14:32:38 W3SVC1 SRV032 10.150.30.3 RPC_IN_DATA /rpc/rpcproxy.dll srv032.domain.local:6001 443 domain.local\testuser 10.150.30.254 MSRPC 200 0 0
Die IP 10.150.30.254 ist die ISA, das nur zur Erklärung.

In den Serverlogs Exchange finde ich nichts. Einzig auf der ISA habe ich noch einen Fehler, wenn die RPC-Verbindung von extern kommt. Hier die ISA-Meldung:
Failed Connection Attempt SRV035 11/15/2009 3:39:04 PM
Log type: Web Proxy (Reverse)
Status: 64 The specified network name is no longer available.
Rule: OWA_RPC

In einem Forumsbeitrag hatte ein user allerdings geschrieben, dass diese Meldung normal sei und einfach vernachlässigt werden könnte. Bei Fehlern bin ich allerdings naturgemäß immer etwas skeptischer.
Wenn von extern zugegriffen werden soll, sieht das IIS-Log so aus:
2009-11-15 14:39:04 W3SVC1 SRV032 10.150.30.3 RPC_IN_DATA /rpc/rpcproxy.dll srv032.domain.local:6004 443 domain.local\admHeiss 10.150.30.254 MSRPC 200 0 0
2009-11-15 14:39:04 W3SVC1 SRV032 10.150.30.3 RPC_OUT_DATA /rpc/rpcproxy.dll srv032.domain.local:6004 443 domain.local\admHeiss 10.150.30.254 MSRPC 200 0 0

Nun weiß ich nicht mehr weiter, was ich noch alles checken soll. OWA funktioniert übrigens bestens.
Habt Ihr noch Ideen?

Grüße
Mario

[Letze01]

Hallo Mario,

kannst Du vom ISA-Server aus den FQDN des Exchange anpingen? Ist das Zertifikat des Exchange auf diesen FQDN ausgestellt? Was passiert, wenn Du vom ISA aus den FQDN des Exchange mit /rpc aufrufst?

[MHeiss2003]

Hi Letze01,
also der ping von ISA auf owa.domainname.de geht. Das SSL-Zertifikat ist auf owa.domainname.de ausgestellt. Bei Aufruf FQDN\rpc kommt ein Loginfenster. Nach dreimaliger Eingabe der Benutzerdaten kommt eine leere weisse Seite mit "Zugriff wurde verweigert".

[Letze01]

Hallo,

ist der FQDN für RPC auch owa.domainname.de?

Welche Authentifzierung ist auf dem Listener für RPC eingestellt?

Beim Aufruf der RPC-URL gibt es also keinen Zertifikatsfehler. Kannst Du den ISA so konfigurieren, dass der Listener auch auf der internen IP hört und einen DNS-Eintrag identisch dem externen Aufruf für die interne IP des Listeners erstellen?

Was passiert dann?

[MHeiss2003]

Hallo,

ja der FQDN für RPC ist auch owa.domainname.de.


Authentifizierung auf dem Listener ist FBA mit AD.

Auf dem Listener habe ich jetzt zusätzlich das interne Netz hinzugenommen mit der internen IP der ISA. Meintest Du das?

Allerdings kann ich Dir beim DNS Eintrag nicht ganz folgen. Welchen Eintrag soll ich erstellen? HOST=owa.domainname.de mit der internen IP-Adresse der ISA?

[Letze01]

Hallo,

ja, die Netzzuordnung habe ich so gemeint. Damit Du jetzt beim Zugriff von intern auf den Listener keine Zertifikatsprobleme bekommst, solltest Du intern einen DNS-Eintrag (oder auch einen hosts-Eintrag) mit der externen Adresse vornehmen, damit Du von intern auf die selbe URL wie von extern zugreifen kannst und Dein Zertifikat somit gültig bleibt.

Was passiert dann?

Hast Du zum Test schonmal versucht eine neue Regel mit neuem Listener ohne FBA zu erstellen? Ich weiß, dass der ISA einen Fallback macht, wenn FBA nicht möglich ist, aber wer weiß....

[MHeiss2003]

Hallo,

also das Ergebnis ist dasselbe, intern nur TCP/IP über RPC, trotz Aufruf der externen owa.domainname.de. Hosteintrag habe ich gesetzt. Ping auf owa.domainname.de führt mich jetzt auch auf die interne IP der ISA.

Welche Authentifizierung soll ich dann nehmen? HTTP based? Das Probem ist, dass ich den gleichen Listerner auch für OWA brauche. In der ISA habe ich zwei Regeln, die den gleichen Listerner benutzen.

Grüße

[Letze01]

Hallo,

versuch bitte mal den HTTP-based - soll wie gesagt nur mal zum Test sein. Alles andere scheint ja zu passen.

[MHeiss2003]

Hallo,

also auch bei HTTP based keinen Erfolg.

Grüße

[Letze01]

Hallo,

sorry für die Verzögerung. So auf die Schnelle fällt mir nichts mehr ein, was "einfach so" mal kurz noch getestet werden könnte.

Ich drück Dir die Daumen, dass sich jemand anderes findet, der noch ne Idee hat..