Selbst erstelltes Zertifikat funktioniert nicht über Domain-Grenzen hinaus?!

[Paul Graf 10]

Hallo ihr Spezialisten ;)

 

 

Mein erster Beitrag hier und ich hoffe ich bin im richtigen Forum...

Ich habe ein Problem mir der Anmeldung in einer Domäne, von ausserhalb und ich weiß nicht ob es ein allgemeines Windows Authentifizierungsproblem ist oder ob es mit den Zertifikaten zu tun hat. Aber hier mal eine genauere Beschreibung.

 

Unsere Umgebung:

 

2 PCs mit Windows Server 2003 mit IIS und ASP erweitert.

1. PC wurde zum Domaincontroller hochgestuft und hat eine subdomain in unserer Hauptdomäne innerhalb des Institutes erhalten. Beide IIS’ wurden auf SSL umgestelle mit einem selbst erstellten Zertifikat von uns und sie sind auf „integrierte Windows Authentifizierung eingestellt. Auf dem 1. PC wurde MS SharePoint Services 2.0 (WSS) mit Service Pack 2 installiert und eine SQL Datenbank mit Service Pack 4 auf der die Konfigurations- und die Inhaltsdatenbank des WSS lagert. Auf dem 2. PC wurde der MS Project Server 2003 (PWA) installiert, dessen Datenbank auf dem 1. PC verwaltet wird. Diese beiden Rechner wurden nun extern gestellt und bei dem 1. PC wurden die Ports 88 1433 und 1434 freigeschaltet. Innerhalb der Domain funktioniert das gesamte System fehlerfrei. Aber sobald man von außerhalb der Domäne direkt auf eine SharePoint Seite zugreift, die mit einem Projekt aus PWA verbunden ist, und dort Inhalte ändert, sollte WSS normalerweise nach einer Anmeldung am PWA fragen, damit er über diesen die PWA-Datenbank aktualisieren kann, bzw. Vorgänge, die den Inhalten zugeordnet werden könnten anzeigt. Anstatt des Logins kommt eine Fehlermeldung die besagt das WSS nicht auf PWA zugreifen kann, man die Verbindung überprüfen, den domänenübergreifenden Datenaustausch aktivieren und die beiden Seiten den vertrauenswürdigen Seiten hinzufügen sollte. Andersrum funktioniert die Verbindung aber von PWA aus zu WSS (getestet durch in SharePoint an bestimmte Nutzer zugewiesene Risiken, die ordnungsgemäß den entsprechenden Nutzern im PWA angezeigt werden).

Es stellt sich nun die Frage ob es damit zusammenhängt, das wir die Zertifikate selbst erstellt haben und sie von außerhalb der Domäne als „von einer nicht vertrauenswürdigen quelle“ gekennzeichnet werden und nur nach „prompt“ akzeptiert werden oder ob es ein generelles Problem mit der Authentifizierung aus dem Internet in eine Netzwerk-Domäne gibt. Ich kenne mich nicht wirklich mit den genauen internen Prozessen der Windows Authentifizierung aus und bin über jede Idee froh!

 

 

Danke im voraus!

 

Paul

[Pogoist 10]

Hmm, was sagen denn das Eventlog?

 

Was heißt extern? Ist eine Firewall dazwischen?

[Paul Graf 10]

Also, extern heisst, alles ausserhalb der domäne. egal ob ausserhalb unseres firmennetzes oder nicht.

Habe aber das Problem mittlerweile ausfindig gemacht. Da wir ja nur ein selbsterstelltes Zertifikat haben stand das Root Zertifikat auch nur bei den DomänenComputern in den Vertrauenswürdigen Stammzertifikaten. Bei allen anderen kam eben die übliche Meludung "Diese Zertifikat wurde von einem nicht als vertrauenswürdigem Anbieter erstellt blablabla..." Aber sobald man "Ja" anklickte ging es ja weiter, es sollte also eigentlich nur eine Warnung sein.

Microsoft hat aber nun wohl netterweise einen internen "Mechanismus" eingebaut, ohne es einem zu sagen, durch den die interne Kommunikation mit der Datenbank nicht mehr funktioniert wenn das Zertifikat nicht vertrauswürdig ist.

Ich habe also versuchshalber unseren Private Key aus der Domäne exportiert und ihn auf die entsprechenden Rechner übertragen und dort in die vertrauenswürdigen Stammzertifikate importiert. Siehe da, sowohl der interne Datenbankzugriff funktioniert als auch der Zugriff mit Project Prof. auf PWA.

Wäre nur schön wenn ich nicht den Private Key per mail an die Kunden senden müsste...

Vielleicht hat da noch jemand eine Ahnung?

 

Danke!!!

 

Paul

 

 

P.S.: Der eventlog sagt überhaupt nix aussagekräftiges das Problem betreffend!