Jump to content

ISA Härten

roman g.

Von roman g.
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

roman g. Proficient

roman g.   10

Geschrieben
Geschrieben

Tach auch

 

Ich möchte gerne meinen ISA-Server härten um es den bösen Leuten da draussen schwerer zu machen.

Nun hab ich eine Liste mit allen notwendigen Diensten gefunden. Ich frag mich jetzt, was wird konkret für OWA verwendet? Ist leider nicht in der Liste vorhanden. Ich hab fba aufm ISA laufen und möchte da natürlich nicht was ausschalten, was noch gebraucht wird. Wird überhaupt n Dienst gebraucht, Google will mir hier nicht so richtig helfen...

 

Die Dienstliste is hier nach etwas Scrollen zu finden

 

Vielen Dank

 

mfg

 

Roman

Link zu diesem Kommentar
roman g. Proficient

roman g.   10

Geschrieben
  • Autor
Geschrieben

Hallo :)

fba = Forms Based Authentification, also die Anmelde Maske kommt von ISA-Server. Auf dem Exchange Server ist diese deaktiviert. Exchange und ISA sind nicht die selben :D

Nun da die Anmeldemaske vom ISA aufgerufen wird und erst nach eingeben der Login daten, der Exchange miteinbezogen wird, frage ich mich ob der ISA da vielleicht irgendeinen zusätzlichen Dienst für das Login benötigt der nicht aufgeführt ist.

 

ich hoffe ich hab mich nun klar ausgedrückt :)

 

mfg

 

Roman

Link zu diesem Kommentar
roman g. Proficient

roman g.   10

Geschrieben
  • Autor
Geschrieben

Sou,

 

ich hab nun die Liste der benötigten Services übernommen. Liste gibts Hier nach etwas scrollen.

 

Alles was in der Liste ist startet Automatisch, alles andere hab ich deaktiviert. Nun zum resultat, die Login Maske wird zwar angezeigt, aber sobald ich mich einloggen will, kommt die Meldung Passwort falsch :suspect:

So, nun fragt sich welcher Dienst dafür verantwortlich ist :confused:

 

Das logging des ISA bringt die alt bekannt Meldung: 12210 An internet server API (ISAPI) filter has finished handling the request. und so weiter und sofort...

 

Was ich danach probieren werde ist das hier , klingt noch viel versprechend... aber zuerst muss das ganze wieder laufen... :D

 

 

 

 

mfg

 

Roman

Link zu diesem Kommentar
mirki Experienced

mirki   10

Geschrieben
Geschrieben

Hi,

 

da Du das Wort "Härten" benutzt gehe ich mal davon aus das Du aus der Linux ecke kommst, oder es von dort hast. :-)

 

Gehärtete Windows Server werden schneller weich geklopft als gehärtete Linux Server.

 

So nun zu Deinen Prob.

 

Wenn Du weisst, was Du brauchst und schaust welche Ports sonst noch so zusätzlich horchen, dann kannst Du schonmal im Ausschlussverfahren einiges wegmachen.

 

Aber was willst Du denn härten, da gibt es nichts zu härten. Der ISA wird ja laut MS schon hart ausgeliefert !!

 

mirki

Link zu diesem Kommentar
s.k. Rising Star

s.k.   11

Geschrieben
Geschrieben
mal eine Frage, wo hast du die FBA wie du es nennst denn her, wie hast du die Installiert ? Du hast die doch nicht einfach vom Exchange Server runterkopiert, oder ?
Das ist bereits im ISA2004 enthalten. Wenn ich mich Recht entsinne, wird man bei der Installation des ISA sogar gefragt, ob man dieses Feature mitinstallieren möchte. Bestätigt man dies, kann man später am Listener diese Authentifizierungsmethode auswählen.

 

Gruß

Steffen

Link zu diesem Kommentar
roman g. Proficient

roman g.   10

Geschrieben
  • Autor
Geschrieben

Hallo

 

Danke für die Antworten!

 

Soweit ich mich erinnere wird man nicht gefragt, ob dieses Feature installiert werden soll, wie beim OWA auf Exchange. es ist einfach drauf und man kanns verwenden oder nicht.

Im Listener kann man dann unter den verschiedenen Authentifizierungsmodi auswählen. Integreated, Basic, SSL, fba etc.

Beim konfigurieren der Mail-Server Veröffentlichungsregel kann man den Zweck angeben: z.B. OWA, OMA etc. ;)

 

@mirki

Naja es kann schon sein, das der ISA hart ausgeliefert wird. Aber der ISA läuft auf Windows Server 2003 und der is halt ned gehärtet.

 

mfg

 

Roman

Link zu diesem Kommentar
roman g. Proficient

roman g.   10

Geschrieben
  • Autor
Geschrieben

Hallo

Irgendwie war es unklug die Serviceliste durchzuarbeiten, ohne ein Backup des Testservers zu machen.

Durch das deaktivieren des COM+ Event System Service, funktioniert irgendwie nichts mehr... Er will einfach nicht mehr starten... mehrere Dienste sind von dem Abhängig... Googeln hat bis jetzt nichts gebracht...

 

The COM+ Event System service hung on starting.

In den Diensten seh ich nur Starting...

 

Bin ich n honk :shock:

Hab jetzt mal wieder alle Dienste gestartet, halt sowies vorher war, aber COM+ Event System Service will nicht anspringen...

 

Hat da jemand eine Lösungsidee?

Vielen Dank

 

Roman

Link zu diesem Kommentar
roman g. Proficient

roman g.   10

Geschrieben
  • Autor
Geschrieben

So, es funktioniert wieder!

Hab einfach alle Dienste auf Automatisch geschaltet(jetzt laufen praktisch alle) und neu gestartet. Dann hats auf einmal funktioniert! Hab ich schonmal probiert, aber da waren die Rechte noch nicht gesetzt. so jetzt lass ich mal das Sequrity Configuration Wizard drüber laufen um mal zu sehen, was am Schluss noch drinne ist. Bin mal gespannt...

 

mfg

 

Roman

 

ps. Sicherung is gemacht^^ :D

 

edit:

Hab das ganze jetzt mal im Schnelldurchgang laufen lassen, es funktioniert noch alles, hat mich fürs erste überzeugt. Mach es dann irgendwann mal nochmal genauer...

Link zu diesem Kommentar
roman g. Proficient

roman g.   10

Geschrieben
  • Autor
Geschrieben

Danke, dieses Tool werd ich früher oder später auch mal ausprobieren!

 

So, der ISA-Server ist gehärtet. Nun komm ich schon zum nächsten Problem.

Damit die User nicht immer https://owa.domain/exchange eingeben müssen, will ich automatisch auf /exchange weiterleiten und auf https umschalten. wenn ich das aufm Exchange als Standartseite einrichte, muss ich den Pfad /* aufm Isa freigeben, also nich nur exchange/*, public/* und exchweb/* sondern gleich alles...

Das ist nicht sinnvoll. Jetzt möchte ich das vom ISA weiterleiten, denn wenn man kein Zugriff hat, erscheint die Fehlermeldung:

 

Page can not be displayed...

 

...Technical Information (for support personnel) Error Code: 403 Forbidden. The server denied the specified Uniform Resource Locator (URL). Contact the server administrator. (12202)

 

Nun möchte ich gerne an Stelle dieser Fehlermeldung, die Weiterleitung laufen lassen. Nur find ich das entsprechende File nicht. Hat da jemand eine Idee? Wie ich das finde, bzw. eine Idee wie man das am besten macht?

 

Vielen Dank für die Hilfe

 

Roman

 

edit:

 

wenn ich nur die entsprechende Weiterleitungdatei auf dem Exchange freigebe, kommt trotzdem die bereits zitierte Meldung vom ISA...

 

edit2:

Bin fündig geworden, hier gibts nen passenden Artikel dazu. wieso kompiziert wenns so einfach geht^^ :D

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...