burschi

Aber aber aber... der Obergipfel ist nun: Ich habe in der NAT config vom VMWare Server nun die Ports 443 & 80 direkt auf den SBS geschaltet. Und Wunder was - es geht damit auch nicht!!! Wenn ich die Webseite aufrufe, komm erscheint noch die Warnung, dass das Zertifikat nicht gültig sei und dann: 403 - Verboten: Zugriff verweigert. Die angegebenen Anmeldeinformationen berechtigen Sie nicht dazu, dieses Verzeichnis oder diese Seite anzuzeigen. Daher hier nochmals meine Frage: Wo bitte soll ich denn im IIS den Zugriff freischalten? Allem Anschein nach ist der beschränkt auf das LAN in dem der SBS sich befindet.

Macht man sicherlich, wenn "intern" nicht eine VMWare Umgebung auf einem Root Server wäre und es eine weile dauert Dinge von A nach B zu kopieren.

okay, nachdem ich nun endlich wieder dazu gekommen bin mich damit zu beschäftigen - das Thema ist an dieser Stelle durch. Die Umleitung funktioniert sehr wohl, greifen ich von einem Client im LAN auf den Hostname des SBS2008 zu, dann erscheint sofort die OWA Anmeldeseite. Es ist also der Squid der irgendwass nicht so mitgibt, wie es der IIS erwartet.

korrigiert...

so - für die Nachwelt, hier gehts weiter -> https://www.mcseboard.de/windows-forum-ms-backoffice-31/2k8-owa-startseite-default-site-153351.html

Hallo zusammen, wie bereits im Thread https://www.mcseboard.de/windows-forum-ms-backoffice-31/umleitung-mail-domain-tld-https-mail-domain-tld-152688.html diskutiert (an dieser Stelle Danke Norbert für Deine Bemühungen!), habe ich folgendes Problem: Gegeben ist ein SBS 2008 mit einem Squid als Reverse Proxy. Die Squid config hat mit einem SBS 2003 schon problemlos funktioniert, im Grunde tut sie das auch mit dem SBS 2008. Mein eigentliches Problem ist die Einrichtung des OWA als Startseite. Wie von MS im Artikel http://technet.microsoft.com/de-de/library/aa998359.aspx beschrieben, habe ich unter der default Website auf https://remote.domäne.de/owa umgeleitet, dieser Link funktioniert auch im IE des SBS2008. Leider bekomme ich über das Internet immer nur Serverfehler403 - Verboten: Zugriff verweigert. Die angegebenen Anmeldeinformationen berechtigen Sie nicht dazu, dieses Verzeichnis oder diese Seite anzuzeigen. Nutze ich aber von extern http oder https://domänename.de/owa, dann funktioniert alles wunderbar. Habe bereits geschaut ob das eventuell eine IP Beschränkung innerhalb des IIS ist, aber auch wenn ich 0.0.0.0 explizit freigebe, bringt das nichts. Der Server ist nur als Mailsystem vorgesehen, es ist kein Sharepoint oder sonst ein Inhalt aus dem IIS nötig. Das mal noch als eventuellen Ansatz, leider habe ich mit dem Löschen von Inhalten im IIS schon mal recht schlechte Erfahrungen machen dürfen, aber könnte man die anderen Seiten nicht entfernen? Das reine deaktivieren hat leider auch nichts gebracht.

jawohl, ein SBS 2008. Mit dem 2003er ging die MS Anleitung problemlos, einfach auf das virtuelle Verzeichnis OWA umgeleitet und gut wars. Hier leider nicht. Ist schon gigantisch, alles ist fertig nur diese verflixte Umleitung geht nicht :rolleyes:

nein, nur einmal kurz testweise. Nachdem der Server nur für Mailing zuständig sein soll - kann ich den restlichen Krempel eigentlich löschen? Sharepoint usw. wird nicht benötigt. Interessant ist auch noch - die Umleitung an sich geht ja, denn wenn ich auf dem Server nun http://localhost eingebe, dann leitet er artig auf https://remote.domäne.de/owa um. Es ist einzig die verflixte Zugriffsperre. Habe auch in den IP Beschränkungen der OWA bzw. Web Applications Seite schon geschaut - nix. Mir ist noch aufgefallen - in der Exchange GUI steht ja auch der Pfad von OWA drinnen - das hat damit aber nicht wirklich was zu tun oder?

Das genau war meine eigentliche Frage: Wo soll ich die Berechtigung setzen, ich finde es nicht. Ist es die Sitebindung? Die ist auf Port 80 gesetzt, siehe Anhang. Unter Authentifizierung ist "anonym" aktiv, Autorisierungsregeln "alle Benutzer" und unter Einschränkungen für IP Adressen und Domänen hatte ich testweise die 0.0.0.0 freigegeben. Es geht hier auch nicht darum, dass ich behaupt das MS es nicht richtig beschreibt, sondern darum dass ich es nicht finde bzw. nicht verstanden habe wo ich es freischalten soll.

Ich habe es so konfiguriert wie es in Microsofts Anleitung steht: In den Einstellungen der Default Web Site: 1. Haken bei Anforderungen zu diesem Ziel umleiten 2. https://sbs2008/owa 3. Haken bei Anforderungen zu diesem Verzeichnis ...usw. gesetzt. Gebe ich die unter Punkt 2 angegebene Adresse auf dem Server im IE ein, dann funktioniert das auch. Leider aber eben nicht über Internet, da sagt er mir bei https:// oder auch http://domänenname.de noch immer folgendes: Serverfehler403 - Verboten: Zugriff verweigert. Die angegebenen Anmeldeinformationen berechtigen Sie nicht dazu, dieses Verzeichnis oder diese Seite anzuzeigen.

Hallo zusammen, in der Hoffnung, dass es noch jemand liest - ich steig da nicht durch. Habe die Weiterleitung wie hier beschrieben gesetzt - geht nicht. Vereinfachen des Outlook Web Access-URL Es erscheint noch immer der Fehler das der Zugriff verweigert sei. Wo genau muss ich denn noch die Berechtigungen setzen? Gruß & vielen Dank!

Vielen Dank! Sieht gut aus.

ja, da steht ja bisher die Gruppe "Mobile-Users" drinnen. Wenn Du im AD in den RAS Eigenschaften des Users die Option "Zugriff über RAS Richtlinien steuern" auswählst, dann zieht genau das. Ist er nicht in der Gruppe - keine Einwahl. Zusätzlich zur Gruppe "Mobile Users" kann ich da auch jede andere Gruppe reinsetzen. Nur ob das zieht oder nicht, das ist die Frage. Zum experimentieren ist mir das zu doof, denn zum Kunden muss ich 60 KM fahren und der Server Zuhause ist noch nicht soweit... bisher. – Tolle Wurst - das juckt den Server nicht die Bohne. Hab die Gruppe Domain-Computers nun auf dem Testserver drinnen - die Einwahl klappt nach wie vor. So ein Mist.... Da ich aber eine Lösung brauche, kann ich hier nun gleich mal versuchen den Umstieg auf L2TP zu probieren... Falls mir da jemand eine gute Anleitung hat - her damit und Danke schon jetzt :-)

wobei ich mich dann ernsthaft frage, wofür ich das in der Policy definieren kann/darf, wenn es eh nix bringt....:confused:

Hi, der existiert da nicht - bisher. Über Sicherheit kann man ja streiten, aber bisher ist mir mit diversen Umgebungen auch nach fünf Jahren nix passiert. Aber darum gings hier ja auch nicht... :-) UPDATE -> das Setup einer Testmaschine läuft schon... prüfe es ggf. selber nach. Ob ich das aber heut noch mach *gähn*...

Hallo zusammen, habe das gleiche Problem und bin dabei über Euren Thread gestolpert. Wie wäre es denn, wenn man in den RAS Richtlinien, in denen ja die Gruppe "Mobile Users" als einwahlberechtigt hinterlegt ist, um die Gruppe "Domänencomputer" erweitert? Hätten dann nicht nur noch Clients Zugriff, die in der Domäne bekannt sind? Ich kann das hier leider gerade nicht wirklich sicher testen, denn ich arbeite remote auf dem System und hab kein Lust mich selber auszusperren :-)