Morkaj 10 Geschrieben 5. Oktober 2006 Melden Teilen Geschrieben 5. Oktober 2006 Hallo zusammen, ich habe ein Problem mit der Einrichtung von RPC over HTTPS eines Exchange 2003 EE in Zusammenarbeit mit einem ISA 2004 EE. Ich habe mithilfe der Anleitungen Exchange RPC über HTTPS und MSXFAQ.DE - RPC over HTTP die notwendigen Schritte eingerichtet und bekam/bekomme von extern keine Verbindung über HTTPS. Im ISA Log kann ich sehen, dass die Verbindung mit dem internen Exchange Server hergestellt werden kann und dann mit einem Statuscode 64 als fehlgeschlagen beendet wird. Die üblichen Tests sehen so aus, dass ich intern die Seite "https://ServerNetbiosname/rpc/rpcproxy.dll" erreichen kann und nach Anmeldung ein Blank Screen mit SSL Symbol und passendem Zertifikat erhalte. Das klappt sowohl vom ISA selbst, als auch von den internen Clients. Wenn ich von Extern die Seite "https://externerServername/rpc/rpcproxy.dll" aufrufe bekomme ich nach Anmeldung den Fehler "Fehlercode 64: Host ist nicht verfügbar Hintergrund: Die Verbindung mit dem Webserver ging verloren. " mit aktivem SSL Symbol und dem korrekten Zertifikat. Ich habe auf dem Exchange Server auch eine interne CA installiert und damit die Zertifikate nach Anleitung eingerichtet. (ein internes für ISA->Exchange, ein externes für den Listener) Zum Test habe ich das ganze auch schon komplett ohne Zertifikate eingerichtet und erhalte über externen Aufruf auf die dann http Adresse exakt den gleichen Fehler. Weiterhin habe ich mit einem zweiten Echtsystem in komplett anderer Umgebung mit SBS2003 Premium versucht das ganze Einzurichten, mit dem gleichen Ergebnis! Ich mache also etwas falsch... nur was ? ;-) Ich habe schon Stunden investiert und finde den Fehler nicht. Diverse Newsgroups und Foren zeigten zwar, dass ich nicht allein bin, aber eine Lösung schien keiner zu haben. Die benötigten Reg Einträge sind vorhanden (auf dem SBS waren die sogar schon da), die Einträge in die Host Datei habe ich gemacht. SSL und Zertifikatsprobleme habe ich mit dem HTTP Test ausgeschlossen, auf beiden Systemen funktioniert der OWA reibungslos, auch mit SSL. Weil ich dachte das Problem könnte dadurch verursacht werden, dass der OWA und das RPC over HTTPs den gleichen Listener benutzen habe ich den OWA testweise deaktiviert. Ich habe die Authentifizierung auf Standard und Weiterleitung der Basisauthentifizierung aktiviert.... Mir fällt nichts mehr ein... :( Hat noch jemand eine Idee ? Danke Gruß Morkaj Zitieren Link zu diesem Kommentar
juepi 10 Geschrieben 14. Juni 2007 Melden Teilen Geschrieben 14. Juni 2007 Hallo Morkaj, Habe mit ISA2006 Standard edition exakt das selbe Problem. Hat irgend jemand eine Lösung dafür? Bin nach der Anleitung von Thomas Shinder (ISA Firewall Publishing OWA and RPC/HTTP with a Single IP Address: Part 4 - Single Exchange Server with Separate DC Scenario/LDAP Authentication) vorgegangen. Hätte alles sauber mit VMs neu installiert, jedoch gleiches Verhalten wie von Morkaj beschrieben :( lg, Jürgen Zitieren Link zu diesem Kommentar
Morkaj 10 Geschrieben 14. Juni 2007 Autor Melden Teilen Geschrieben 14. Juni 2007 Hallo Jürgen, versuche mal folgendes: Exchange System Manager - auf Serverebene die Eigenschaften aufrufen und unter dem Reiter RPC-HTTP die Einstellung auf "RPC-HTTP-Back-End-Server" setzen. Danach auf jeden Fall den Server neu starten! Bei mir hat das das Problem behoben. Good luck! Gruß Morkaj Zitieren Link zu diesem Kommentar
juepi 10 Geschrieben 18. Juni 2007 Melden Teilen Geschrieben 18. Juni 2007 Hallo! @Morkaj: danke für die Rückmeldung! Diese Einstellung hat zwar gepasst, war aber bei mir trotzdem ein Fall von RTFM, weil ich nicht alle nötigen reg-keys gesetzt hatte! Für alle die vielleicht auch mal in dieses Problem laufen hier eine Zusammenfassung der wirklich wichtigen sachen: Am exchange server folgende reg-keys editieren: HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\RpcProxy\ValidPorts muss enthalten: ExchangeServer:6001-6002;ExchangeServerFQDN:6001-6002;ExchangeServer:6004;ExchangeServerFQDN:6004; Danach wird ein reboot fällig! Falls der Exchange server gleichzeitig GC ist, auch folgenden reg-key prüfen (bzw. anlegen): (WICHTIG: ist der Exchange server DC, dann UNBEDINGT den Exch auch zum GC machen!) 1. In the console tree, locate the following registry key: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters 2. Click Edit, click New, and then select Multi String Value. 3. Create a multi-string value with the name NSPI interface protocol sequences. 4. Right-click the NSPI interface protocol sequences multi-string value, and then click Modify. 5. In the Value data field, enter ncacn_http:6004. Hat in meinem Fall schon existiert und war richtig eingetragen. WICHTIG: alle GC's in der domain die der/die Exchange server verwenden müssen Windows 2003 server sein! Clients müssen zumindest Office2003 und Windows XP SP2 sein! IIS settings am exchange: 2. In Internet Information Services (IIS) Manager, in the console tree, expand the server you want, then expand Web Sites. 3. Expand Default Web Site, right-click the RPCvirtual directory, and then click Properties. 4. In the RPC Virtual Directory Properties page, on the Directory Security tab, in the Authentication and access control pane, click Edit. 5. In the Authentication Methods window, verify that the check box next to Enable anonymous access is cleared. Note: RPC over HTTP does not allow anonymous access by default, despite what the user interface shows. 6. In the Authentication Methods window, under Authenticated access, select the check box next to Basic authentication (password is sent in clear text) and click OK.In the Authentication Methods window, under Authenticated access, you can also select the check box next to Integrated Windows authentication (NTLM). However, it is recommended that you use Basic authentication over NTLM because of two reasons. First, RPC over HTTP currently supports only NTLM – it doesn’t support Kerberos. Second, if there is an HTTP Proxy or a firewall between the RPC over HTTP client and the RPC Proxy, which inserts via the pragma in the HTTP header, NTLM authentication will not work. For more information see, RPC over HTTP Deployment Recommendations. 7. To save your settings, click Apply, and then click OK. Das wars eigentlich, hat dann bei mir sowohl intern als auch über ISA (mit basic auth nach hinten zum exch) auf anhieb funktioniert! Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 18. Juni 2007 Melden Teilen Geschrieben 18. Juni 2007 Wäre nett, wenn Du auch die Quelle angibst, wo Du die Info her hast. Diese Registry-Hackerei sollte allerdings nicht nötig sein, wenn Exchange 2003 SP1ff. eingesetzt wird, und in den Eigenschaften des Exchange Servers / der Ex.-Server die entsprechenden Kontrollkästchen auf dem Tab "RPC-HTTP" gesetzt werden. Christoph Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.