roxor

hi

hmm...soviel ich weiss, benützen wir irgend ein cisco gerät als FW, hab aber keinen zugriff darauf.

nun, wir wollen den ISA als reverse proxy einsetzen (reverse = leute benutzen ihn, um von aussen in unser internes netz zu gelangen), der eigentlich den "dienst" von OWA anbietet.

die Ports müssen wir schon noch öffnen (SSL) aber das war ja ned meine eigentliche frage...

mfg

rox

hi leute

hab' eine grundlegende frage bezüglich dem ISA-server, wenn er in einer DMZ steht.

unsere situation sieht folgendermassen aus: wir wollen den ISA als "OWA-Gateway" in unsere DMZ stellen. nun hab ich aber bedenken, dass wenn der ISA dort steht, dass kein verkehr mehr zwischen den beiden subnetzen stattfindet, welcher der ISA verbindet, also das DMZ-subnetz und das interne netz.

ist dem so??

momentan haben wir den ISA zu testzwecken noch im internen netz, zwischen den beiden angeschlossenen netzen funktioniert jedoch alles einwandfrei, keine probleme soweit.

ich denke mal, so wie ich es verstanden habe, kommt es nur zu unterbrüchen, wenn ich den clients (und anderen netzwerkgeräten) mitteilen würde, dass sie über den ISA nach aussen gelangen und nicht mehr über die "normalen", jetzt installierten, gateways!

stimmt das so?

könnte ich demnach den ISA ohne probleme in die DMZ stellen? findet keinen unterbruch des netzwerkverkehrs zwischen der DMZ und dem internen netz statt?

mfg

rox

hi

danke für die vielen antworten, ist immer wieder eine freude so viele ratschläge zu lesen, wenn man am abend von der arbeit heimkommt! =)

also...um klarheit zu schaffen: es handelt sich ume einen TFT! wir benutzen umgangssprachlich halt für einen TFT oft flatscreen...sorry.

hmm...ich schätze auch, dass da was mit einem elektronikteil ned in ordnung ist. naja...wenns schlimmer wird, geb ich ihn mal in reperatur, hat ja 36 monaten garantie! =))

bye

rox

hi

jo, ist auf 60hz eingestellt, grad nochmals kontrolliert!

ich weiss nur, dass das surren irgendwo in den innereien des monitors kommt...weiss nicht, ob es das netzteil ist oder nicht?!

hmm..naja, kann mir wahrscheinlich niemand helfen...hab nur gedacht, wenn da jemand vielleicht dieselbe erfahrung mal gemacht hat!

mfg

rox

hi leuts

seit kurzer zeit surrt mein monitor, was ziemlich nervig ist!

ich habe einen flatscreen von samsung (syncmaster 191N), garantie wäre noch nicht abgeloffen, jedoch möchte ich zuerst alles andere ausschliessen, bevor ich den in die reperatur bringe.

sobald ein bild auf den bildschirm erscheint, beginnt das surren, wenn ich den screen ausschalte ist logischerweise das surren auch weg.

ich habe das gefühl, dass da hardwaremässig was ned mehr in ordnung ist, und wann das surren begann, kann ich euch leider auch nicht mitteilen, auf jeden fall war das am anfang nicht der fall!

vielleicht ein paar ideen?

frequenz sollte okay sein, is ned zu hoch...

hab den mitgelieferten bildschirmtreiber sowie den graka-treiber installiert, keine exoten darunter...

mfg

rox

thx a lot!

tönt nun nicht mehr! =)

mfg

rox

hi leute

ein komisches prob hab ich da, nun ja, is ja eigentlich kein prob aber es stört mich ein bisserl!

also, jedes mal wenn ich den recycle bin leere, tönt ein hässliches *beep* aus dem PC, nicht etwa über die soundkarte sondern vom pc selbst, weiss ned wie ich das besser beschreiben soll. wisst ihr was ich meine?

wie früher, als diese quäki-töne durchs zimmer hallten, wenn man space invaders spielte oder so...einfach diese hässlichen pc töne halt!

nun...keine ahnung, was mein wind00f dazu bewegte, jetzt plötzlich diese hässlichen töne von sich zu geben...weiss da vielleicht jemand rat?

mfg

rox

hi

vielleicht noch ein weiterer tipp: bei bluescreens hast du immer eine textmeldung ("kmode exeption not handled") und gleich dahinter irgend eine hex-nummer, welche meistens mit ein paar nullen beginnt und dann zahlen und buchstaben enthält!

diese nummer ist ziemlich wichtig, weil sie oft genaueres über dein problem aussagt als nur der text! hatte auch mal nen bluescreen, wenn ich da nur den text angeschaut hätte, hätten 20 verschiedene probleme in frage kommen könnten, als ich dann zusätzlich nach der nummer suchte warens glaub ich noch 3 mögliche problemvarianten! =)

ist also ein versuch wert!

mfg

rox

hi leute

hab mal ne sicherheitstechnische frage bezüglich root-ca's bzw. subordinate CA.

hab mal OWA mit SSL implementiert und da einen enterprise root CA gemacht, wie in nem tut beschrieben.

Somit stellt die enterprise root CA zertifikate aus...eines hat unter anderem auch mein exchange bei ihr angefragt.

jetzt hab ich aber in den whitepapers von MS gelesen, dass es sicherheitstechnisch besser wäre, wenn eine subordinate CA zertifikate austeilt.

WAS ist dann genau der unterschied zwischen einem zertifikat von einer root-ca und einer subordinate ca? und worin liegt das sicherheitsrisiko?

dass die subordinate-ca nur zertifikate bei der root-ca requesten kann ist mir klar aber nicht, was der genaue unterschied des zertifikats selber ist?

kann mir da jemand klarheit verschaffen?

mfg

rox

Es geht auf jeden Fall, wie die andern User schon geschrieben haben!

Wir haben seit kurzem ein SAN/NAS System in userer Umgebung und haben die Datenbanken auch auf einen solchen Blade verschoben.

Leider war ich nicht dabei, kann dir also nicht sagen, wie's genau funktioniert!

mfg

rox

hab das prob mittlerweilen rausgefunden!

du musst das instant messaging in outlook deaktivieren!

tools--> options --> other (zu unterst)

dann sollts funzen, gegebenenfalls outlook neu starten.

mfg

rox

du meine güte!! ich komme mir langsam so vor, als hät ich noch nie vor einem pc gesessen!! pff

das prob war wohl genau, dass ich nicht "von aussen" her kam, sondern eben von x.y.185.51 zugegriffen habe.

nun, soweit so gut, dann hab ich aber den sinn und zweck der LAT noch nicht ganz begriffen?

mit der lat gebe ich doch an, was intern und was eben nicht intern ist! wenn ich dort jedoch nur den bereich von x.y.185.42 - 49 angegeben habe, wäre ja x.y.185.51 theoretisch nicht "intern"?

oder hat da die netzunterteilung und subnetzmaske von 255.255.255.0 vorrang? dass es quasi im selben subnetz liegt und somit als lokal angesehen wird? oder wie habe ich das zu verstehen?

jetzt gibts no nen kleines prob wegen principal name aber das find ich selbst raus!

auf jedenfall fettes dankeschön an dich, hast mir echt weitergeholfen!

mfg

rox

hi

ja, der eingehende Abhörer ist auf das externe Interface des ISA gelegt, SSL listeners sind enabled!

nein, auf dem ISA läuft kein IIS, ist bei win2003 defaultmässig ja disabled. (aber habs soeben nochmals kontrolliert!)

eben, das merkwürdige ist eben, dass ich überhaupt keine anzeichen dafür erhalte, dass der Client irgend eine kommunikation mit dem externen interface des ISA macht. krieg weder ein zertifikat zum akzeptieren noch sonst was...nach ner gewissen zeit erscheint das alt bekannte bild "this page cannot be..." blablabla

is vielleicht doch was mit den zertifikaten faul?

brauche ich diesen hosts-file eintrag überhaupt? soll ich diesen weglassen?

mit meinem client greife ich von der ip x.y.185.51 auf den ISA zu...könnte das das problem sein? (denke nicht)

hab mal direkt auf den exchange per owa zugegriffen, dort gibt er mir eine zertifikatsaufforderung, jedoch is da schon was ned ganz sauber:

"The security certificate was issued by a company you have not chosen to trust. View the certificate to determine whether you want to trust the certifying authority.

The security certificate date is valid.

The name on the security certificate is invalid or does not match the name of the site. "

der letzte satz bereitet mir ein wenig kopfzerbrechen...

nun, ich habe im zertifikat den common name owa.meineDomain.ext gewählt, da ich jetzt aber per direktem exchange-name auf OWA zugreife, ist dieser wohl falsch, richtig?

Wenn ich dann über owa.meineDomain.ext/exchange darauf zugreifen würde, wäre dies wohl korrekt oder?

mfg

rox

hi grizzly

habs jetzt mal umkonfiguriert, doch leider scheints noch immer ned zu funzen, weiss langsam ned mehr, was ich noch alles falsch machen könnte! =((

sieht nun folgendermassen aus:

External Interface: x.y.186.41

Default Gateway: x.y.186.1

Internal Interface: x.y.185.42

kein DG

LAT: x.y.185.42 - x.y.185.49

Hosts-file Eintrag auf dem ISA:

x.y.185.43 owa.meineDomain.ext (x.y.185.43 entsprich dem Exchange, auf welchem OWA läuft!)

Action in Web Pub Rule:

Redirect to owa.meineDomain.ext

Destination Set:

owa.meineDomain.ext /exchange*

owa.meineDomain.ext /exchweb*

owa.meineDomain.ext /public*

Das Zertifikat vom Exchange hab ich ebenfalls auf den ISA importiert und diese erscheinen auch an den richtigen Orten (Personal und Trustet Root Certification Authority)!

Getestet hab ich das ganze mit https://x.y.186.41/exchange (der DNS Eintrag wurde vom Admin noch nicht geändert!), jedoch erscheint mir genau dasselbe leere Bild wie vorhin, nicht mal die Aufforderung zum Annehmen des Zertifikats erscheint!

Kann es damit zu tun haben, dass ich das externe IF nicht pingen kann? Wie du mal früher geschrieben hast, ist dies standardmässig unterbunden, sollte jedoch an einer SSL anfrage nichts änder richtig?

Danke für die Mühe!

cu

rox

okay, dann werd ichs so mal ausprobieren, danke, hast mir sehr geholfen.

jo, das mit dem default gateway war mir bekannt!

(ich glaube du hast übersehen, dass der DG des exchange servers beim zitat oben gemeint war ;))

cu

ups, hehe

hast grad nen momentchen früher geschrieben, siehe oben! hab noch was angefügt...

thx für den link, jetzt is alles klar!

Zum besseren und klareren Verständnis hier zuerst kurz die Konfigurationsdaten des für dieses Beispiel verwendeten Netzwerkes:

 

ISA Server:

externe IP-Adresse: 192.168.69.99

default Gateway: 192.168.69.1

interne IP-Adresse: 192.168.133.1

DNS-Eintrag mail.msisafaq.de zeigt auf 192.168.69.99

Exchange Server:

interne IP-Adresse: 192.168.133.2

default Gateway: 192.168.133.1

daran hab ich eben auch schon gedacht, nur meinte mein vorgesetzter und betreuer, dass dies keine probleme geben sollte, also testete ich es mal auf diese weise.

dann meinst du also, dass es an den IP konfigurationen liegen könnte?

ich würde demnach folgendes probieren (als beispiel):

Externe IP: x.y.20.40 255.255.255.0

Interne IP: x.y.21.40 255.255.255.0

dann im dns den eintrag owa.meineDomain.ext auf die externe IP anpassen.

könnte es so funzen?

nein, ich hab das wizard nicht benutzt, habs "von hand" gemacht.

würdest du mir die benützung empfehlen?

thx

was meinst du mit "Anforderung umgeleitet auf die Standardwebsite auf dem Exchange, und nicht auf die Exchange Site" ?

meinst du bei der webveröffentlichungsregel unter "action", dass ich dort etwas falsch eingegeben hätte?

nun, meine eingabe dort ist der FQDN der externen netzwerkschnittstelle (derselbe FQDN, welcher ich im common name verwendet habe), wie im tut (http://isaserver.org/articles/pubowa2003part5.html) beschrieben.

wenn ich anschliessend im IE "https://owa.meineDomain.ext/exchange/" eingebe, kann er mir die site ned anzeigen.

hab im dns einen eintrag auf das externe interface der FW gelegt, owa.meineDomain.ext wäre das.

da ich aus testzwecken nicht "von aussen" komme, sondern einfach die LAT so gemacht hab, das ein teil des netzes als "intern" gilt, musste ich noch einen eintrag im hosts file des ISA machen:

Adresse des Exchange(liegt innerhalb LAT) owa.meineDomain.ext

hmm...weiss echt ned, was ich falsch machen könnte??

habt ihr ne ahnung, woran es liegen könnte?

mfg

rox

hi leuts

wende mich wieder mal mit ner neuen frage an euch! =)

hab nun mal owa aufgesetzt, gemäss einem tutorial...

krieg dann folgende fehlermeldung, wenn ich das zertifikat angenommen hab:

...

 

12206 - proxy chain loop

Internet Security and Acceleration Server

 

....

 

Background:

The server has detected a proxy chain loop. This condition might indicate a configuration problem in a proxy server

 

hab dann mal gegoogelt, aber nur infos über proxy server 2.0 von ms gefunden.

kennt das jemand oder hat jemand ne ahnung, wo ich was umstellen muss??

mfg

rox

hi grizzly

thx für die antworten! =)

alle haben subnetzmaske 255.255.255.0, von dem her sollte dies kein prob sein...

nun...dies ist momentan aber gar nicht mehr mein problem!

hab mal ein tutorial durchgearbeitet (http://isaserver.org/tutorials/pubowa2003toc.html), mit welchem ich per ssl auf OWA zugreifen soll.

wenn ich nun das OWA testen will, erhalte ich die aufforderung, das zertifikat anzunehmen, anschliessend erscheint aber Page under construction bla bla bla

hmm...an was könnte das nun liegen? falsche SSL konfiguration, zertifikatsfehler irgendwo?

mfg

rox

okay, donge! =)

hab mittlerweilen nen anderes prob... =(

hi

nochmals ich....ich stress jetzt ein bisschen rum! =))

wenn ich die clients "hinter" die firewall stellen will, wie mache ich das?

einfach die tcp/ip einstellungen ändern oder was?

selbst wenn sie physikalisch nicht am selben switch sind?

muss der default gateway danach auf die interne nic der FW zeigen?? weiss die FW automatisch, dass sie diese anfrage an die externe nic weiterleiten muss?

wäre für hilfe echt dankbar!

mfg

rox

hi leute

hab ein kleines problemchen mit meiner LAT.

bei meiner konfiguration benutze ich einen IP range von x.y.z.41 - x.y.z.50!

so...

meine externe NIC hat die IP: x.y.z.41

meine interne NIC hat die IP: x.y.z.42

die LAT umfasst alle adressen von: x.y.z.42 - x.y.z.50

wenn ich die LAT jedoch manuell erstellen will, schiebt er mir dort falsche einträge rein, wie z.b. "from: x.y.0.0 to x.y.255.255" --> dies ist ziemlich gefährlich bei mir, da diese adressen andersweitig genutzt und produktiv eingesetzt werden, also kann dies bestimmt nicht die lösung sein. ich editiere die lat dann immer von hand, trotzdem hab ich das gefühl, das etwas nicht stimmt.

wenn ich "incoming web requests" (properties auf isa-server) einen listener-eintrag adden will, zeigt er mir beim interface leider nur das interne interface an, das externe erscheint gar nicht auf der liste!=(

hat da jemand ne ahnung, was ich falsch mache oder was ich ändern muss?

mfg

rox

ist es überhaupt notwendig, das externe interface pingen zu können??

es beunruhigt mich einfach, ich könnte aber mit meiner arbeit auch einfach weiterfahren.

muss dies nicht zuerst gewährleistet sein, bevor ich weitermachen kann?

mfg

hi leute

 

hab nun den isa installiert und es drängen sich (selbst nach lesen der vielen tuts usw.) einige fragen auf!

 

hab die LAT erstellt, mit dem gewünschten range an internen ip's.

 

wenn ich nun von aussen die externe NIC pingen will, krieg ich keine antwort?

(aussen bedeutet hier einfach nicht in diesem range drinne, der range anen für sich ist ein teil unserer IP's)

muss ich da noch was machen, mit regeln oder so? hab mal gelesen, dass, falls die LAT falsch konfiguriert ist, sowieso nix geht. viel einstellungsmöglichkeiten hab ich dort aber gar nicht, kann ja lediglich "from...to" auswählen...

 

wenn ich einen client "hinter" die fw stellen will, muss ich eigentlich nur die ip einstellungen ändern und den default gateway auf die interne NIC der FW setzten, richtig?

 

bin froh über jede hilfestellung, die ihr mir geben könnt!

 

mfg

rox

nachtrag:

wenn der isa server installiert ist, kann ich das externe interface des ISA nicht anpingen. ist er deinstalliert, funzt alles normal....

mfg