OWA Publishing über ISA 2006

[Mag 11]

Hallo zusammen,

 

ich versuche gerade das OWA unseres neuen Exchange 2007 Servers über einen seperat installierten ISA 2006 Serrver in der DMZ zur Verfügung zustellen.

 

Ich habe mich mit der Einrichtung auch schon an eine Anleitung (Publishing Exchange 2007 OWA with ISA Server 2006) gehalten, allerdings will es nicht s recht klappen. Ich bekomme die Anmeldemaske für OWA und nach Eingeben von Name und PW steht da:

 

"Die Anmeldung bei ISA Server war nicht möglich. Überprüfen Sie, ob der Domänenname, der Benutzername und das Kennwort richtig sind, und versuchen Sie es erneut."

 

Hab hier im Forum und im Netz mal nichts zu meinem Problem gefunden. Wenn ich vom ISA Server die OWA Seite direkt anspreche, also mit dem intern Namen, funktioniert es. Es ist allles mit Zertifikaten abgesichert aus der hauseigenen CA udn die Ports 80 und 443 sind nach innen frei, wobei wir nur 443 machen udn 80 nachher geschlossen werden soll wenn alles klappt.

 

Der IsaBPA findet keine groben Schnitzer, er erwähnt nur, dass die Instalaltion mit einer Netzwerkkarte nicht für alle Features funktioniert. OWA sollte so aber funktionieren.

 

Hat da grad jemand noch eine Idee?

Wäre sehr dankbar :rolleyes:

[ChristianHemker 10]

Hallo,

 

vielleicht schaust du dir mal diesen Link hier an:

OWA mit LDAP

Was hindert dich eigentlich daran, den ISA mit 2 Netzwerkkarten zu betreiben?

[Mag 11]

Hallo und vielen Dank für die Antwort.

 

Das mit den 2 Netzwerkkarten habe ich heute Morgen geändert. Der ISA Server befindet sich in unserer DMZ und wäre daher sowieso immer nur in einem Subnetz, deshalb hatte ich die VM (ich glaube das hatte ich noch garnicht erwähnt, falls es wichtig ist) nur mit einer Netzkarte ausgestattet. Allerdings lässt es sich mit 2 viel schöner konfigurieren.

 

Also wie gesagt, ich habe gerade den Test mit 2 Karten begonnen und halte den Thread aktuell.

 

Muss ich ein Loch zu einem Domänencontroller bohren? Wenn ich mich vom ISA Server direkt auf die interne OWA verbinde, klappt es nämlich nur mit geöffnetem Port 443.

 

Die OWA läuft auch noch zusätzlich auf einem NLB, ich versuche nun im ersten Schritt auch nur mal die Verbindung zu einem der Client Access Server aufzubauen, falls es noch daran liegen sollte ... heijei ...

[Mag 11]

Hallo nochmal,

 

als Fortschritt kann ich vermelden, ich habe nun verstanden, dass ISA die Authentifizierung machen wollte und habe das nun mal so umgebaut, dass ISA die authentifizierung dem OWA überlasst.

 

Ich bin mit der 2 Netzwerkkarten Konfiguration aber nicht so richtig glücklich, da beide Interfaces im gleichen Netz hängen und nicht genau weiß ob Windows immer deas richtige Interface nimmt.

 

Ich kriegs auch irgendwie nicht mehr hin, dass der Port 443 für Anfragen offen ist, ich habe ne Regel dafür angelegt, sie übernommen, aber im Logsteht immer verweigert.

 

Wenn ich aus dem Log entnehme, dass Zugriff von Quelle xy nach Ziel ab , auf Port 443 verwegiert wurde, kann ich doch GENAU diese Quell und Zielnetze in eine Regel packen und die sollten dann frei sein oder?

 

So langsam verzweifel ich daran, ich hock schon ewig hier rum und teste ...

[ChristianHemker 10]

Wenn du es vernünftig machenwillst, hängst du den ISA in verschiedene Subnetze. Dann kannst du ihn auch als vernünftige Firewall einsetzen.

[Mag 11]

DAS habe ich mir auch gedacht, allerdings steht das mit unserer DMZ nicht zur Debatte, wir wollen ungern an unserer PIX vorbei den ISA Server walten lassen. Deshalb habe ich es nun wieder mit einer Netzwerkkarte aufgesetzt, in der DMZ mit je nur einer 443 freischaltung auf den owa.

und es geht zurzeit aber noch ohne authentifizierung des isa.

 

Morgen werde ich das noch testen und dann mal zusammenfassen.

 

Spricht was gegen die 1-Netzwerkkarte-Konfiguration wenn man das nicht wirklich als Firewall einsetzen will?

[ChristianHemker 10]

Morgen,

 

solange es funktioniert lass es so :)

An eurer PIX vorbei müsste ja gar nicht. Ich habe bei mir erst den DSL Router mit Firewall und dann den ISA Server.

[Mag 11]

Guten Morgen :)

An der PIX vorbei meinte ich auch nur, weil wir nur ein vlan in der dmz haben und ich dem ISA nicht gerne noch ein Bein im internen Netz geben würde. Aber seis drum.

 

Zusammenfassend kann ich sagen:

1. Test mit einer NWKarte

Dank deinem Link, habe ich die Wissenslücke geschlossen, dass der ISA Server selbst die Authentifizierung übernehmen wollte und das natürlich ohne Brücke zum AD nicht funktionieren kann -.-

 

2. Test mit 2 NWKarten

Hat mich wenig glücklich gemacht, da der ISA Server mit 2 IPs im gleichen Subnetz war. Ich hatte das Problem, dass der ISA mit der falschen IP Adresse nach innen wollte. Eine sollte von extern angesprochen werden und die 2. nach Innen weiter kommunizieren. Das war dann höchst wahrscheinlich :rolleyes: ein Konfigurationsproblem, aber ich hatte leider nicht noch länger Zeit das zu testen. Hatte noch DNS Timeuts und irgendwie wollte er keinen auf https reinlassen...

 

3. Test wieder mit einer NWKarte

Diesmal noch ohne Authentifizierung durch den ISA Server klappt es auf Anhieb nach der Anleitung die ich oben verlinkt hatte.

Ist die Frage, ob man das als großes Sicherheitsrisiko ansieht?

 

Grüße und danke für die Unterstützung

Mag :D

[ChristianHemker 10]

Hi,

 

ich persönlich sehe den ISA Server als vollwertige Firewall an. Daher kann er durchaus auch als einzige Abschirmung zwischen DMZ und Internet dienen.

Da viele Firmen aber Hardwarefirewalls einsetzen möchten, wird oft folgende Konfiguration genommen:

Intranet - ISA (im AD) - DMZ - Hardwarefirewall - Internet

 

Dabie hat der ISA Server natürlich zwei Netzwerkkarten in unterschiedlichen IP Bereichen.