netzrate 10 Geschrieben 4. Oktober 2005 Melden Teilen Geschrieben 4. Oktober 2005 Hallo zusammen, mein Kollege hat mir vor seinem Urlaub eine nette Aufgabe übertragen, für die ich Ihm sehr "dankbar" bin (hoffentlich verbrennt er sich den hintern in der Sonne :D :cool: :p ) Nein, aber nun mal im ernst: Ein Kunde von uns möchte seine Ausendienstler gerne auf Exchange OWA zugreifen lassen. Dafür hat er eine feste IP Adresse im Netz, welche ich jetzt mal 212.212.212.212 nenne. Auf dieser Adresse sitzt eine Watchguard Firewall (Modell X1000) welche auf Port 80 alles an eine AS/400 weitergibt was da so reinkommt (da läuft ein Onlineshop drauf) Dann haben wir den nat http port 81 auf firewall umgeleitet auf 192.168.0.x port 80 (ISA Server) Hier noch ein kleiner auszug aus dem Call welcher mein Kollege eingetragen hat: der zugriff von innen funktioniert tadellos und performant, die ipsecuser könen ab sofort den owa nutzen mittels http://192.168.0.x/exchange/postfach -dieser zugriff geht auf den isa der eine owa veröffentlichungsregel hat auf 192.168.0.x -das ist der ex2krFE server ohne datenbanken -der zugriff direkt auf diesen server aus dem lan geht natürlich auch -die NAT regel in der firewall geht zunächst testweise auf den frontendserver, erst wenn das funktioniert soll diese wiederum über den isa geschleust werden So, lange rede, kurzer Sinn: Wir haben den ISA Server als Fehlerquelle ausgeschlossen. Wenn ich nun die 212.....:81 aufrufe ohne /exchange/postfachname komme ich auf die normale Webseite "iisstart", kein Problem. Gehe ich nun hin und gebe /exchange/postfachnamen an kommt das Fenster zur Anmeldung und ich melde mich mit Domänenname\Administrator an und gebe das PW dazu an. Dann kommt "Die Seite kann nicht angezeigt werden". Die Anmeldung hat aber anscheinend geklappt, weil der gegentest nämlich 3x falsches PW zu der Fehlermeldung führt "Fehler:Zugriff verweigert". Wo könnte der Fehler liegen? Die internen Zugriffe funktioieren einwandfrei!!!! Es handelt sich um einen Exchange Front-End Server 2003 mit SP1 und dahinter liegt ein Exchange2000 Server.... Wer weiss rat? :) Vielen Dank fürs lesen!! Gruß Michael Zitieren Link zu diesem Kommentar
Jojo123 10 Geschrieben 5. Oktober 2005 Melden Teilen Geschrieben 5. Oktober 2005 Hi, also ich weiß, dass man für OWA folgende Ports über die Firewall hinweg verfügbar machen muss: port 80 TCP port 443 TCP (SSL) Ich glaube den SSL Port musst du auch freischalten, wenn du OWA über HTTP aufrufst. Probiers mal aus, ich hoffe es klappt. :wink2: Grüße Jojo Zitieren Link zu diesem Kommentar
Dirk_privat 10 Geschrieben 5. Oktober 2005 Melden Teilen Geschrieben 5. Oktober 2005 Hi Michael, Port 443 aufmachen ist natürlich Quatsch wenn Du kein SSL verwendest. Vielleicht kann es sein, daß Dir ein hotfix fehlt: http://support.microsoft.com/?id=897716 Schau Dir mal diesen KB Artikel an, das könnte auf Dein Problem zutreffen. Das nach dreimaliger Anmeldung die Fehlerseite kommt, ist normal. Gruß Dirk Zitieren Link zu diesem Kommentar
netzrate 10 Geschrieben 5. Oktober 2005 Autor Melden Teilen Geschrieben 5. Oktober 2005 Hallo jojo, Port 81 wird ja auf Port 80 weitergeleitet, und SSL kommt erst noch :) Hallo Dirk, Danke für den Tipp, nur haben wir den ISA erst mal raus genommen so das man sofort auf dem Font-End Server landet ;) Benötigt OWA überhaupt den RPC? :) Gruß Michael Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. Oktober 2005 Melden Teilen Geschrieben 5. Oktober 2005 Hast Du schon mal in den Logmonitor der Watchguard geschaut, ob sie Teile der Anfrage stripped ? Wie wird der Zugriff nach innen gewährleistet, über einen benutzerdefinierten HTTP-Proxy oder über einen Filter ? Welche Software ist auf der Watchguard, WFS oder Fireware ? Den ISA kenne ich nicht, aber den hast Du ja zum Glück schon ausgeschlossen ... :D Zitieren Link zu diesem Kommentar
netzrate 10 Geschrieben 5. Oktober 2005 Autor Melden Teilen Geschrieben 5. Oktober 2005 Hast Du schon mal in den Logmonitor der Watchguard geschaut, ob sie Teile der Anfrage stripped ? Wie wird der Zugriff nach innen gewährleistet, über einen benutzerdefinierten HTTP-Proxy oder über einen Filter ? Welche Software ist auf der Watchguard, WFS oder Fireware ?Den ISA kenne ich nicht, aber den hast Du ja zum Glück schon ausgeschlossen ... :D Hey, danke für die Antwort. Also, mein Kollege hatte auf den Logmonitor der WG geschaut als ich drauf zugriff, sprich auf Port 81 reinkam und auf die interne Front-End IP umgebogen wurde (auf Port 80). Ob die Anfgragen gestripped wurden kann ich Dir nicht sagen, könnte ich aber versuchen nachzuvollziehen. Welche Software da im moment drauf ist kann ich auch nicht 100% sagen, bekomme ich aber raus. ISA kenne ich auch (noch) nicht ;) aber selbst als der dazwischen war ging es. Der ist aber nun erst mal raus. Das lustige ist ja das ich ohne Probleme auf die IIS-Start Seite komme, jedoch wie schon gesagt wenn ich die IPADRESSE\exchange\Mailboxname angebe kommt auch das Anmeldefenster von OWA wo ich dann den Benutzernamen angebe, in dem fall dann DOMÄNENNAME\Administrator und das Passwort und er ja dann auch erkennt das ich es bin und dann sagt "Die Seite kann nicht angezeigt werden"....gebe ich das Passwort bewust falsch an will er nochmal die Anmeldung bis dann beim dritten mal der Fehler "Zugriff verweigert". kommt > Logisch weil ja falsches PW. Mir kommt es so vor als wenn er will Ihm aber was fehlt. Gruß Michael Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. Oktober 2005 Melden Teilen Geschrieben 5. Oktober 2005 Vielleicht hilft Dir das auch weiter ... http://www.msexchange.org/tutorials/Exchange_2000_FrontEndBackEnd.html Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.