NetworkingHomer

Hi,

 

 

 

ich sehe 2 Möglichkeiten:

 

- auf dem SBS ist FormsBased Authentication eingeschaltet: bitte abschalten, bei einer Konfig. mit ISA sollte das auf dem ISA Server gemacht werden, dann ist es aber ziemlich tricky (und von MS nicht supportet!), das auf einer externen IP Adresse mit RPC/HTTPS zu kombinieren.

 

- auf dem SBS ist Standard-Auth. nicht aktiviert, sondern nur integrierte Windows-Auth.: schaltet zusätzlich Standard-Auth. ein, wenn das mit SSL abgesichert ist, kann man die Warnung ruhigen Gewissens übergehen.

 

Christoph

Moin Christoph!

>Standard-Auth. nicht aktiviert,

Das ist aber bei den entsprechenden virtuellen Webservern aktiviert.

>auf dem SBS ist FormsBased Authentication eingeschaltet

Und das ist im Exchange ausgeschaltet. Der Haken würde den OWA-Zugang verhindern, das hatte ich auch mal.

Hm, vielleicht doch ein billiger Router? ich persönlich glaube ja an einen Zertifikatsfehler.

Grüße

Wolfgang

Hallo Leute!

Ein SBS 2003 R2 mit SP2 und ISA 2004 SP2. Mit OWA gibt es keine Probleme, nur RCP over HTTPS, Remote und TSweb gehen nicht. OK, VPN auch nicht, aber das liegt am Router (Devolo DSL+ 1100).

Der Listener hört auf den Port 443 mit Standardauthentifizierung. Im IIS unter Standardwebsite haben alle Sites ebenso die Standardauthentifizierung. Der Router leitet die Ports 80, 443 und 4125 zur externen Netzwerkkarte des SBS weiter.

OWA geht (mit Standardauthentifizierung), nur RPC und Remote und TSweb nicht. Wobei ich auf Remote auch keinen besonderen Wert lege, der braucht doch auch die integrierte Authentifizierung, richtig?

Unter Standardwebsite gibt es keinen Anonymen Zugriff. Nur eben Standard-Authentifizierung. Würde man den anonymen Zugriff bei TSweb und Remote einschalten, würden alle Websites extern geladen, aber das Einloggen hätte keinen Erfolg. So kommt nur die Username/PW-Abfragemaske. Nach Eingabe von Benutzername und Kennwort kommt die Maske immer wieder, ohne Änderung. Xt man sie weg, kommt die Fehlermeldung:

HTTP Error 401.2 - Unauthorized: Access is denied due to server configuration favoring an alternate authentication method. (HTTP-Fehler 401.2 - Nicht autorisiert: Der Zugriff wurde verweigert, weil die Serverkonfiguration eine andere Authentifizierungsmethode verlangt.)

Internetinformationsdienste (Internet Information Services oder IIS)

Das Zertifikat wurde auf dem Client installiert unter "Vertrauenswürdige Stammzertifizierungstelle".

Ein konkreter Hinweis wäre toll, woran es liegen könnte. Vielleicht das hier? Fehlermeldung: wenn Sie einen HTTP TRACE Befehl an einen Webserver senden, der von einem ISA Server 2004 SP2-based Computer veröffentlicht wird: "HTTP 401 Unauthorized" Bin erst wieder Übermorgen am Server.

Kann es an der ISA liegen, dass da Ports gesperrt sind?

Die Dienste sind im lokalen Netzwerk sowohl unter .local/Remote etc alle verfügbar als auch unter .dyndns.org/remote oder rcp etc. Da geht alles.

Schöne Grüße

Wolfgang

–

Diese Meldung gibt er auch noch raus, ist es doch die Zertifizierung?

Sie verfügen nicht über die Berechtigung, dieses Verzeichnis oder diese Seite unter Verwendung der von Ihnen bereitgestellten Anmeldeinformationen anzuzeigen, weil Ihr Webbrowser ein WWW-Authenticate-Headerfeld sendet, das die Konfiguration des Webservers nicht akzeptieren kann.

Danke Euch! Ich mache und berichte!

Hallo Leute!

SBS 2003 R2 Premium mit ISA und XP SP2-Clients

Also erstmal Regel Nummer 1: Wenn man an einem Mini-Problem scheitert, sollte man doch erstmal Pause machen. Das hätte ich gestern mal beherzigen sollen.

Das Mini-Problem war, dass plötzlich der IE seine Proxyeinstellungen vergaß, obwohl ich ihm doch per Gruppenrichtlinie dies befahl. Grund war die nachträgliche Installation des ISA-Clients auf den Clients.

Dies weiß ich jetzt, gestern hat es mir fast den Nachmittag versaut.

Wie wichtig ist denn der ISA-Client? Kann man den auch deinstallieren, damit es in Zukunft mit den Proxy-Einstellungen klappt? Auf der anderen Seite muss es ja auch möglich sein, das der ISA-C seinen Dienst tut

Vielleicht hat ja jemand einen Impuls für mich.

Wenn ich das richtig in diesem Artikel gelesen habe How To Configure Firewall and Web Proxy Client Autodiscovery in Windows 2000, dann muss ich eine Policy erstellen, die lediglich einen Haken im Feld "Automatische Suche der Einstellungen" befiehlt, den Rest mach der ISA?!?

Schöne Grüße

Wolfgang

Wow, ES GEHT!!!!!!! Also, die Kennwortrichtlinie geht, und OWA auch ein profaner Haken hatte ich nicht gesetzt. Gelesen hatte eich es, aber landete an der falschen Stelle: Dies ist versäumt worden: Formularbasierte Authentifizierung war nicht deaktiviert, siehe: Formbased OWA

Die ganz normale Kontosperrungsrichtlinie in den Sicherheitseinstellungen der GPO.

Danke!

5 falsche Anmeldungen sind afaik viel zu wenig.

OWA erzeugt für jeden angelegten Ordner einen Anmeldungsversuch.

Einmal das PW falsch eingegeben und das Konto wird gesperrt, weil der Benutzer 10 E-Mail Ordner angelegt hat.

Wo stellt man das denn ein?

Nochmal ich: Kann es sein, dass ich falsche Rechte für den Standardwebserver vergeben habe? Ich hab da nämlich nichts geändert.

Hallo, und herzlich willkommen an Board.

 

Aber zu deinem Problem mit der Anmeldung:

 

- hast du OWA über den Assistenen freigegeben? - : www.SBSPraxis.de, SBS 2003 - Konfiguration des Internetzugriff auf OWA (Outlook Web Access) :

- wieviele Netzwerkkarten hat dein Server?

- welche Firewall / Router hängt vor deinem Server?

 

LG Günther

Moin Günther!

Danke für Deine schnelle Hilfe!

Ich habe OWA über den Assistenten freigegeben.

Der Server hat 2 Netzwerkkarten.

Als DSL-Router arbeitet ein Devolo DSL+ 1100 Duo, der korrekt die IP mit dynsys.org abgleicht. Er leitet den Port 443 an die externe Netwerkkarte des SBS weiter.

Der DSL-Router hat die IP 192.168.1.10

Die externe Netzwerkkarte die IP 192.168.1.11, kein DNS-Eintrag und ich glaube den Gate 1.11 (sitze nicht davor).

Die Netzwerkkarte Intern hat die IP 192.168.0.10. Dies ist auch die DNS- Adresse und ich glaube auch der Gateway.

Ich habe versucht, nach dem Buch von Thomas Joos zu arbeiten (Praxisbuch SBS R2 Premium).

Die ISA hört auf 192.168.1.11:443

Es könnte der Devolo sein. Ich sende Dir mal den OWA-Link zu, OK?

LG

Wolfgang

Hallo Leute!

Es geht um einen SBS R2 Premium (Update von Standard auf Premium).

Er hat 10 Device-CALS, keine User-CALS. Jetzt hab ich OWA eingerichtet, also der Internetzugriff auf das Server-Exchange. Die Login-Maske kommt, er nimmt die Anmeldedaten an, lädt dann aber wieder das Loginfenster. Ein Login findet also nicht statt. Dies ist ein Fehler, denn er sollte ja das OWA öffnen. Dieser Vorgang funktioniert übrigens, wenn man es im LAN-Bereich durchführt, nur im WAN (=Internet) schlägt es fehl.

Meine Fehlervermutung: Die Ursache liegt daran, dass der Server keine User-CALS installiert hat, richtig? Anmerkun dazu: Wir haben welche bestellt, aber es kamen leider Device-CALS.

Wieviele User-CALS brauche ich, wenn wir 5 OWA-User und 10 User insgesamt haben? Anmerkung: Es sind ja auch 10 Devive-CALS vorhanden. Diese Frage ist nicht trivial, die können auch nicht immer die Jungs von Microsoft beantworten. Bevor ich da wieder anrufe, versuche ich es lieber hier.

Noch eine Frage zu SSL: Der PKey dient doch nur dazu, das Serverzertifikat auf Echtheit zu bestätigen, oder? So gesehen schützt eine SSL-Verschlüsselung nicht gegen Grutforce-Attacken, ist das so korrekt? Sie schützt dafür vor dem Abhören des Kennwortes (sowie des gesamten) Datenverkehrs. Komplexe Kennwörter sind also notwendig?!!

Ich hab den OWA-Access mit einem Laptop probiert, der eine D-CAL verbraucht und ging daher davon aus, dass es auch ohne U-CAL klappt. Gibt es vielleicht doch einen Konfigurationsfehler?

Ist es sicherheitstechnisch OK, den P-Key auf der Firmen-Internetseite zu veröffentlichen?

Danke fürs Lesen und ich freue mich sehr auf Eure Antworten! Ich war hier übrigens schonmal als Admin Homer, konnte mich aber nicht erneut einloggen.

Schöne sonnige Grüße

Wolfgang