grizzly999 11 Geschrieben 5. Januar 2004 Melden Teilen Geschrieben 5. Januar 2004 Er will nicht mal das Zertifikat zeigen? Da ist was faul. Der eingehende Abhörer ist auch auf das externe Interface konfiguriert (Eigenschaften des ISA-Servers) Dort auch zusätzlich die SSL-Abhörung aktivieren grizzly999 P.S: Auf dem ISA selber läuft hoffentlich kein IIS! Zitieren Link zu diesem Kommentar
roxor 10 Geschrieben 6. Januar 2004 Autor Melden Teilen Geschrieben 6. Januar 2004 hi ja, der eingehende Abhörer ist auf das externe Interface des ISA gelegt, SSL listeners sind enabled! nein, auf dem ISA läuft kein IIS, ist bei win2003 defaultmässig ja disabled. (aber habs soeben nochmals kontrolliert!) eben, das merkwürdige ist eben, dass ich überhaupt keine anzeichen dafür erhalte, dass der Client irgend eine kommunikation mit dem externen interface des ISA macht. krieg weder ein zertifikat zum akzeptieren noch sonst was...nach ner gewissen zeit erscheint das alt bekannte bild "this page cannot be..." blablabla is vielleicht doch was mit den zertifikaten faul? brauche ich diesen hosts-file eintrag überhaupt? soll ich diesen weglassen? mit meinem client greife ich von der ip x.y.185.51 auf den ISA zu...könnte das das problem sein? (denke nicht) hab mal direkt auf den exchange per owa zugegriffen, dort gibt er mir eine zertifikatsaufforderung, jedoch is da schon was ned ganz sauber: "The security certificate was issued by a company you have not chosen to trust. View the certificate to determine whether you want to trust the certifying authority. The security certificate date is valid. The name on the security certificate is invalid or does not match the name of the site. " der letzte satz bereitet mir ein wenig kopfzerbrechen... nun, ich habe im zertifikat den common name owa.meineDomain.ext gewählt, da ich jetzt aber per direktem exchange-name auf OWA zugreife, ist dieser wohl falsch, richtig? Wenn ich dann über owa.meineDomain.ext/exchange darauf zugreifen würde, wäre dies wohl korrekt oder? mfg rox Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 6. Januar 2004 Melden Teilen Geschrieben 6. Januar 2004 mit meinem client greife ich von der ip x.y.185.51 auf den ISA zu...könnte das das problem sein? (denke nicht) Du musst beim Testen von außen auf den ISA zugreifen, so wie es nachher laufen soll. Deine Tests können so nicht funktionieren. The name on the security certificate is invalid or does not match the name of the site. " Das Zertifikat muss auf den Namen lauten, wie der Server heißt (ohne das virtuelle Verzeichnis). Also wenn der Exchange so heißt: owa.meineDomain.ext , dann muss auch das Zertifikat auf den Namen lauten, denn mit diesem Server stellt der Client den Kontakt her, und der (der Server) muss sich dem Client gegenüber zertifizieren. Das Zertifikat muss auch dar nicht auf dem Exchange selber liegen, je nach dem, wie man die Routingregel auf dem ISA eingestellt hat. Wenn man dort sagt, HTTPS-Verkehr nach innen als HTTP Verkehr weiterleiten, braucht man das Zertifikat nur auf dem ISA, interner Zugriff auf den Exchange wäre wieder über Port 80 wie gehabt. Wichtig dabei ist, dass auf dem ISA das Zertifikat genaus so lautet, wie der Server, auf den der Client "angeblich" lautet. Das wird bei Verwendung von DynDNS-Namen für den Zugriff auf OWQ vom Internet wichtig: Beispiel: ExchangeServername: meinexchange.lan ISAServername: derisa.lan bei Dyndnsregistrierter Name: owa.meinedomain.dyndns.org Dann muss das Zertifikat auf den Namen owa.meinedomain.dyndns.org lauten, weil auf diesen Servernamen der Client aus dem Internet zugreift. Anm: Der ISA muss auch diesen Namen auflösen können, über einen HOSTS-Eintrag auf dem ISA, oder man richtet dem ISA Server auf seinem DNS eine Zone meinedomain.dyndns.org ein, und trägt dort den A-Record owa mit der internen IP des Exchange Servers ein. HTH grizzly999 Zitieren Link zu diesem Kommentar
roxor 10 Geschrieben 6. Januar 2004 Autor Melden Teilen Geschrieben 6. Januar 2004 du meine güte!! ich komme mir langsam so vor, als hät ich noch nie vor einem pc gesessen!! pff das prob war wohl genau, dass ich nicht "von aussen" her kam, sondern eben von x.y.185.51 zugegriffen habe. nun, soweit so gut, dann hab ich aber den sinn und zweck der LAT noch nicht ganz begriffen? mit der lat gebe ich doch an, was intern und was eben nicht intern ist! wenn ich dort jedoch nur den bereich von x.y.185.42 - 49 angegeben habe, wäre ja x.y.185.51 theoretisch nicht "intern"? oder hat da die netzunterteilung und subnetzmaske von 255.255.255.0 vorrang? dass es quasi im selben subnetz liegt und somit als lokal angesehen wird? oder wie habe ich das zu verstehen? jetzt gibts no nen kleines prob wegen principal name aber das find ich selbst raus! auf jedenfall fettes dankeschön an dich, hast mir echt weitergeholfen! mfg rox Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.