5 Antworten in diesem Thema

[BlackPixel]

Guten morgen Board,

ich... wieder mal

Folgende Situation:

Es sollen mehrere AD-Mitarbeiter per RPC over HTTP angebunden werden. Die hoffnung ist das es überall funktioniert, besonders im QAUsland wo zum grossen teil noch analog gesurft wird und nicht überall vpn möglich ist.

Ich hatte mich letzte woche 4 Tage da reingearbeitet, danke hier nochmals an msisafaq

Folgendes Szenario:

Router - HW-Firewall - ISA integriert - PDC- Exchange

ist alles 2003 version. ISA ist 2000.

OWA wurde über HTTPS veröffentlicht. ISA und Exchange kommunizieren intern nicht über SSL.
Laut msisafaq wird für /rpc/ ein Serverzertifikat ISA/Exchange benötigt und einen SSL Tunnel.
Mal abgesehen davon das das noch nicht geht, ist es von erforderlicher bedeutung intern zu Zertifzieren und SSL zu tunneln? Reicht die AUTH des Clients von aussen am ISA nicht aus?

Wenn ja, dann sollte doch eine Webserververöffentlichung auf /rpc/* ohne SSL/128 Bit und zertifikat ausreichen.

-- Nachtrag --
Auf dem Exchange läuft eine eigene Zertfizierungsstelle. Es ist ein Stammzertifizierungszertifikat und ein Webserverzertifikat erstellt. Im RPC Verzeichnis wurde das Zertifikat erstellt. Auf dem Isa liegt das Stammzertifizierungsstellenzertifikat in Vertrauenswürdige herausgeber, ebenso das exportierte Webserverzertifikat. Im ISA Kann ich in der Webveröffentlichung auch ein Zertifikat hinterlegen für den zugriff auf /rpc/*
Allerdings bekomme ich beim klick auf Auswählen ständig: Es sind keine Zertifikate auf diesem Server konfigueriert.
Woran liegt das? Zertifikat wurde im Konsolenstamm importiert.
-- Nachtrag --
Wenn mir hier jemand nährere Hintergrundinfos zur hand hat und zeit findet die mir näher zu erläutern wäre ich dankbar. Evt auch in der Mittagspause per Telefon

Grüße Manfred

[Dirk_privat]

Hallo Manfred

Es kommt darauf an wie Du OWA published hast, d.h. mit oder ohne form based authentication. Wenn Du form based hast, mußt Du für die https Verbindung einen eigenen Listener mit Zertifikat erstellen. Falls nicht, kannst Du den gleichen Listener nehmen.

Intern von ISA zum Exchange brauchst Du keine SSL Verbindung, da reicht https vollkommen aus.

Eine Publishing rule auf /rpc/* reicht aus mit Deinem Zertifikat. So wie Du schreibst arbeitest Du mit Deinen eigenen Zertifikaten und nicht mit öffentlichen, da wirst Du das erste Problem bei https over rpc bekommen, du brauchst dafür ein öffentliches von Verisign, Thawte, etc.
Das öffentliche Certificate mußt Du dann auch in den Zertifikatsspeicher vom ISA importieren, um mit https auf deine Veröffentlichung zuzugreifen.

Gruß
Dirk

[Dirk_privat]

Sorry, habe einen Fehler entdeckt: Intern brauchst Du kein SSL, d.h. http reicht aus.

[BlackPixel]

Sorry, habe einen Fehler entdeckt: Intern brauchst Du kein SSL, d.h. http reicht aus.

Hallo Dirk,

also nochmal...

ich hab das formbased Auth gewählt. Gilt das dann auch irgendwie für den rpc?

Und brauch ich nun öffentliche Zertifikate? Habs wohl noch nicht ganz so verstanden.

Um den ABlauf nochmal klar zustellen:

Webserverzertifakt vom Exchange auf ISA, Rule für OWA veröffentlichung, wenn nicht formbased das rule um /rpc/* erweitern?

Intern nur HTTP, von extern nur HTTPS. Gilt das auch für RPC over HTTPS, connected das standard auf 443 oder auf 80?

Der Router leitet port 80 und 443 durch eine HW-Firewall auf den ISA. Wird hier noch mehr benötigt?

Wenn Du mir diese Fragen noch beantworten kannst würde ich morgen mit einem besseren Gewissen an die Sache gehn

Viele Grüße Manfred

[Dirk_privat]

Hallo Manfred

Wenn Du formbased für OWA beim ISA gewählt hast, brauchst Du einen anderen Listener inkl. Zertifikat. Wenn Du Deine jetztige Adresse z.B. webmail.domain.com/exchange eingibst bekommst Du die Anmeldemaske für OWA (formbased). Mit dieser Anmeldung kannst Du aber nicht Outlook authentifizieren, da er Dein Username/Password nicht in die formbased authentication übergeben kann.

Du brauchst jetzt nochmal das gleiche, aber mit Standardauthentifizierung für RPC/HTTPS. Wenn Du Deine internen Zertifikate verwendest, bekommst Du von extern den Sicherheitshinweis mit der Warnung, außer Du hast Maschinenzertifikate verteilt und verbindest Dich mit so einem Rechner. Wenn die Sicherheitsabfrage kommt, kann Outlook damit nicht umgehen, deshalb brauchst Du ein öffentliches Zertifikat.

Intern reicht http und von außen mit https. Letztendlich ist es nicht viel anders als OWA.

Das Zertifikat mußt Du auf den ISA exportieren und damit einen neuen Listener mit Standardauthentifzierung erstellen auf Port 443. Dann noch eine Publishing Regel erstellen von die Anfragen vom Listener zu Deinem Exchange/rpc/* weitergeleitet werden.

Hoffe geholfen zu haben.

Gruß
DIrk

[BlackPixel]

Das Zertifikat mußt Du auf den ISA exportieren und damit einen neuen Listener mit Standardauthentifzierung erstellen auf Port 443. Dann noch eine Publishing Regel erstellen von die Anfragen vom Listener zu Deinem Exchange/rpc/* weitergeleitet werden.

Hoffe geholfen zu haben.

Gruß
DIrk

Hallo Dirk, ich les in letzter Zeit so viel von Zertifikaten, da wird mir schon ganz schwindelig.

Ich probiers mit einem letzten resumé, mal schauen ob ichs kapiert hab:

Um keine Öffentliche Zertifikate nutzen zu müssen muss ich folgendes machen:

Kein Formbased anmeldung. Intern müssen keine Zertifikate verteilt werden. Beim Anmelden muss ein Windows anmeldefenster kommen. Ok, Da für OWA eine HTTPS verbindung mit 128 Bit erforderlich ist, habe ich nureinen Lister der den Port 443 abhört. Als Zielsatz Muss eine Rule erstellt werden:

intranet.domain.tld

/exchange/*
/public/*
/exchweb/*
/rpc/*

Webserverzertifikat auf ISA exportieren, unter server/Certsrv ein ?!? Benutzerzertifikat mit dem Client anfordern. Muss das Gegenstück des ?!? Benutzerzertifikates in der Stammzertifizierungsstelle des Stammzertifizierungsstellenserver hinterlegt werden?

Sorry wenn ich so mit Fragen auf Dich losstürme, aber ich glaub ich habs dann solangsam. Solltest mal meine neue Doku über ISA Exchange sehen, alleine da steckt schon ein halber Lohn drin

Naja, wie dem auch sein, für die Letzten paar Antworten wäre ich wirklich glücklich!

Grüße Manfred