expertenaustausch > microsoft.* > microsoft.german.isaserver

Andreas Altermann (14.01.2006, 18:39)
Hallo NG'ler

ist die Nutzung eines Zertifikates möglich z.B. OWA oder ActiveSync, wenn
man nur
feste öffentl. IPs hat, aber keinen Domänennamen ?

Meine bisherigen Test endeten immer mit dem erwartetem Fehler 500
Zielprinzipialname falsch.
Können hier trotzdem SplitDNS und/oder Host-Datei weiterhelfen ?
Jörg Vosse (14.01.2006, 19:24)
Hi Andreas,

> ist die Nutzung eines Zertifikates möglich z.B. OWA oder ActiveSync, wenn
> man nur
> feste öffentl. IPs hat, aber keinen Domänennamen ?


Das musst Du näher beschreiben. Ohne DNS nach außen (Internet), oder habt
Ihr kein DNS intern?

Man kann z.B. ein Zertifikat erstellen, das als CN-Name einfach die IP hat
(hab ich schonmal probiert). Das klappt.

> Meine bisherigen Test endeten immer mit dem erwartetem Fehler 500
> Zielprinzipialname falsch.
> Können hier trotzdem SplitDNS und/oder Host-Datei weiterhelfen ?


Wenn Du keinen DNS-Eintrag bei ISP vornehmen willst, geht das nur mit HOST
auf dem Client, denn dieser ruft ja die Seite auf.

Warum willst Du keinen DNS-Eintrag erstellen?

Gruß
Jörg
Andreas Altermann (14.01.2006, 19:51)
Hallo Jörg,

>> ist die Nutzung eines Zertifikates möglich z.B. OWA oder ActiveSync, wenn
>> man nur feste öffentl. IPs hat, aber keinen Domänennamen ?

> Das musst Du näher beschreiben. Ohne DNS nach außen (Internet), oder habt
> Ihr kein DNS intern? Intern haben wir DNS, Extern zu unserem Netz nur IP


> Man kann z.B. ein Zertifikat erstellen, das als CN-Name einfach die IP hat
> (hab ich schonmal probiert). Das klappt. Gut, dann halt eine eigene CA


>> Meine bisherigen Test endeten immer mit dem erwartetem Fehler 500
>> Zielprinzipialname falsch.
>> Können hier trotzdem SplitDNS und/oder Host-Datei weiterhelfen ?


> Wenn Du keinen DNS-Eintrag bei ISP vornehmen willst, geht das nur mit HOST
> auf dem Client, denn dieser ruft ja die Seite auf.

Du meinst auf dem Client in der Host IP x.y.z.a owa.meinefirma.tld
eintragen, obwohl
owa.meinefirma.tld extern nicht aufgelöst werden kann ?
Was soll das bringen, da der ISA weiterhin den Zugriff mit Fehler 500
verweigert.
Hilft doch nur dem User statt einer IP einen Namen einzutragen, nicht den
Fehler 500
zu beheben.

> Warum willst Du keinen DNS-Eintrag erstellen?


Ich schon, aber Kunde nicht :-((

Szenario:
Internet->ISA->SBS ohne CA nur SelfsignCertificate

Gruß
Andreas
Jörg Vosse (14.01.2006, 21:06)
Hi Andreas,

> Intern haben wir DNS, Extern zu unserem Netz nur IP


Gut dann kann der ISA den internen Namen auflösen.
Der ISA muss den internen Namen auflösen können (DNS oder per Host-Datei auf
dem ISA). Der Name den der ISA auflöst, muss dem internen Zertifikatsnamen
(CN-Name) entsprechen.

> Gut, dann halt eine eigene CA


Kannst Du machen.

> Du meinst auf dem Client in der Host IP x.y.z.a owa.meinefirma.tld
> eintragen, obwohl
> owa.meinefirma.tld extern nicht aufgelöst werden kann ?


Ja, damit bekommt der Client keinen Fehler 500 mehr, da der Client den Naemn
in die IP auflösen kann. Der ISA bekommt das Zertifikat für den externen
Zugriff. Dieser Name des Zertifikates (CN-Name) muss dem Namen entsprechend,
den der Client aufruft (zB. owa.firma.de)

> Ich schon, aber Kunde nicht :-((


Wer soll das verstehen. Gibts einen Grund dafür? Ist doch völliger quatsch.
Da ist ein Gespräch notwendig, denn so verfährt man nunmal imm Internen
nicht.

> Szenario:
> Internet->ISA->SBS ohne CA nur SelfsignCertificate


Benutzt Du eigentlich SSL-Tunneling oder SSL-Bridging am ISA?

Der ISA muss intern den Namen sauber auflösen können zum OWA. Er muss
weiterhin der CA vertrauen.

Vom ISA selbst schon getestet? Läuft es da?

Gruß
Jörg
Andreas Altermann (14.01.2006, 21:49)
Ohla Jörg,

> Gut dann kann der ISA den internen Namen auflösen.
> Der ISA muss den internen Namen auflösen können (DNS oder per Host-Datei
> auf dem ISA). Der Name den der ISA auflöst, muss dem internen
> Zertifikatsnamen (CN-Name) entsprechen.
> Kannst Du machen.


Möchte es z.Zt. noch ohne probieren.

>> Du meinst auf dem Client in der Host IP x.y.z.a owa.meinefirma.tld
>> eintragen, obwohl owa.meinefirma.tld extern nicht aufgelöst werden kann ?

> Ja, damit bekommt der Client keinen Fehler 500 mehr, da der Client den
> Naemn in die IP auflösen kann. Der ISA bekommt das Zertifikat für den
> externen Zugriff. Dieser Name des Zertifikates (CN-Name) muss dem Namen
> entsprechend, den der Client aufruft (zB. owa.firma.de)

Ist mir schon klar, aber der Name aus der Host des Clients (Extern), wird ja
nicht von Extern
an den ISA weitergereicht, da eine Namesauflösung im Internet nicht möglich
ist.
Werde es mal testen.
Problem bleibt aber bei Clients wo die Hosts nicht konfiguriert werden kann,
zb. PDAs
oder PCs im Internetcafe, etc

Grundsätzlich bleibt meine Frage offen, Zertifikate nur mit IPs von überall
her nutzbar ?
ohne "Verbiegung" von Dateien usw. ??

>> Ich schon, aber Kunde nicht :-((

> Wer soll das verstehen. Gibts einen Grund dafür? Ist doch völliger
> quatsch. Da ist ein Gespräch notwendig, denn so verfährt man nunmal imm
> Internen nicht.


Nun ja, die Erklärung wäre 5 DIN A4 Seiten lang, irgendwann wirds ja
einen Domänennamen geben, jetzt halt noch nicht, aber die Features
eines SBS2003 sollten über SSL irgendwie nutzbar sein, gerade wo
noch ein vorgeschalteter ISA2004 läuft.

>> Szenario:
>> Internet->ISA->SBS ohne CA nur SelfsignCertificate

> Benutzt Du eigentlich SSL-Tunneling oder SSL-Bridging am ISA?


Man liebsten Bridging, aber Tunneling führt zur zeit auch nicht direkt zum
Erfolg.

> Der ISA muss intern den Namen sauber auflösen können zum OWA. Er muss
> weiterhin der CA vertrauen.
> Vom ISA selbst schon getestet? Läuft es da?


Si,Si, bei z.Zt. 7 lfd CA's im produktiven Umfeld und 8 ISAs weiß man
einwenig was man tut,
aber o.g. Szenario hatte ich irgend wie noch nicht. Sehe es aber etwas
sportlicher,
vielleicht doch noch eine Lösung zu finden, denn Nobody is perfect und ein
Tipp kann
Wunder bewirken.

Danke und Gruß
Andreas
Jörg Vosse (14.01.2006, 21:59)
Hi ANdreas,

also nochmal.

Ich habe das schon getestet. Selfsign Zertifikat von einer internen CA
ausgestellt. Name (CN) war gleich IP-Adresse. Webseite publiziert - läuft.

Du muss halt sehen. Tunneling oder Bridging und die Zertifikate entsprechend
vergeben.

Die Antwort auf die Frage aber lautet JA.

Gruß
Jörg
Andreas Altermann (14.01.2006, 22:28)
Hallo Jörg,

soweit sogut.
Ohne CA jetzt einmal

Was will mir die Meldung sagen

Technische Informationen (für Supportpersonal)

a.. Fehlercode 10054: Verbindung wurde vom Server zurückgesetzt.
b.. Hintergrund: Während der Server versuchte, Kontakt mit einem
Upstream(web)server herzustellen, wurde die Verbindung durch den
Upstreaminhaltsserver abgebrochen.
Gruß
Andreas
Jörg Vosse (15.01.2006, 01:11)
Hi ANdreas,

Upstreamserver ist ein weiterer Proxy der vor den ISA geschaltet werden
kann. Du kannst somit mehrere Proxy hintereinander schalten. Die Meldung
interpretiere ich so, das der 2. Proxy, der hinter den ISA geschaltet ist
nicht erreichbar ist und somit keine Verbindung aufgebaut werden kann.

Gruß
Jörg
Jens Baier (15.01.2006, 08:16)
Hi Andreas,

> ist die Nutzung eines Zertifikates möglich z.B. OWA oder ActiveSync, wenn
> man nur feste öffentl. IPs hat, aber keinen Domänennamen ?


ja, problemlos. Mit OWA habe ich das schon mehrfach machen muessen (auch in
Produktivumgebungen). Einfach statt des DNS Namen im Zertifikat die
IP-Adresse verwenden!

> Meine bisherigen Test endeten immer mit dem erwartetem Fehler 500
> Zielprinzipialname falsch.
> Können hier trotzdem SplitDNS und/oder Host-Datei weiterhelfen ?


ja, natuerlich. Einfach so wie immer das ganze, nur halt diesmal am ISA ein
Webserverzertifikat ausstellen, dass im CN die oeffentliche IP hat!

Gruss Jens
Andreas Altermann (15.01.2006, 15:54)
Hallo Jörg,

> Upstreamserver ist ein weiterer Proxy der vor den ISA geschaltet werden
> kann. Du kannst somit mehrere Proxy hintereinander schalten. Die Meldung
> interpretiere ich so, das der 2. Proxy, der hinter den ISA geschaltet ist
> nicht erreichbar ist und somit keine Verbindung aufgebaut werden kann.


Nein, ein zweiter Proxy ist nicht im Netz. Die Fehlermeldung erscheint beim
Zugriff vom ISA auf den Webserver, egal ob vom Isa selbst oder von
extern über den ISA.

Werde jetzt einmal von vorne anfangen, alte Zertifikate raus, neu auf IP
rein, usw.

Vielen Dank für Deine Hilfe und
Gruß
Andreas
Andreas Altermann (15.01.2006, 15:55)
Hallo Jens,

>> ist die Nutzung eines Zertifikates möglich z.B. OWA oder ActiveSync, wenn
>> man nur feste öffentl. IPs hat, aber keinen Domänennamen ?

> ja, problemlos. Mit OWA habe ich das schon mehrfach machen muessen (auch
> in
> Produktivumgebungen). Einfach statt des DNS Namen im Zertifikat die
> IP-Adresse verwenden! Na dann auf ein Neues.


>> Meine bisherigen Test endeten immer mit dem erwartetem Fehler 500
>> Zielprinzipialname falsch.
>> Können hier trotzdem SplitDNS und/oder Host-Datei weiterhelfen ?

> ja, natuerlich. Einfach so wie immer das ganze, nur halt diesmal am ISA
> ein
> Webserverzertifikat ausstellen, dass im CN die oeffentliche IP hat! Gut werde berichten


Danke und Gruß
Andreas
Jens Baier (15.01.2006, 16:22)
Hi Andreas,

>> ja, natuerlich. Einfach so wie immer das ganze, nur halt diesmal am
>> ISA ein
>> Webserverzertifikat ausstellen, dass im CN die oeffentliche IP hat!

> Gut werde berichten


ich warte!

Gruss Jens
Andreas Altermann (15.01.2006, 19:14)
Hi Jens,

so geschafft ! und merke: Jeder Boot tut gut.

Für die, die es interessiert hier mein kleines How to Do:

Umgebung: Standleitung mit 8er IP Netz an einem ISA2004, dahinter ein
SBS2003 Std.
Aktuell gepatcht. Interner Domänenname firma.net, Externer Domänenname noch
nicht vorhanden.
Alle Devices haben als GW den ISA, kein FWC installiert. Internet-Explorer
mit Proxy versehen.

1. Per Internetassistent am SBS ein Zertifikat beantragt auf
'owa.firma-hamburg.de'
(Anmerkung: soll der zukünftige externe Domänenname werden)

2. Am ISA eine FWR erstellt die Https von Intern, Lokaler Host nach Intern
(oder Server)
für alle Benutzer zulässt.

3. Zugriff auf owa intern und vom Isa geprüft (muß erst einmal
funktionieren)

4. Am DNS server (intern hier auch der SBS) eine zusätzl. Forward-Zone
mit 'firma-hamburg.de' angelegt und einen CNAME 'owa' auf 'server.firma.net'
angelegt

5. Per Nslookup auf allen Devices die Auflösung verifiziert

6. Mit dem Assistenten am ISA folgende Mailserver Veröffentlichungs-Regel
erstellt

Name: OWA
Webclientzugriff
hier nur OWA, High Bit gesetzt
SSL Bridging (2.te Option)
Webmailserver: owa.firma-hamburg.de
Anf. annehmen für Öffentl. Namen - hier die externe IP
Weblistener erstellt
Extern an o.g. externe IP gebunden
Nur SSL aktivriert und Zertifikat 'owa.firma-hamburg.de' gebunden (vorher
importiert)
Alle Benutzer
und fertiggestellt.
Vor Übername folgende Änderungen der Regel:
Von 'Beliebig' auf 'Extern' geändert
Bis: überprüft ob FQDN richtig ist (hier externer öffentl. Name)
Listener: auf OWA Form Based geändert und Optionen konfiguriert
Öffentl. Name überprüft ob externe IP drin ist
Pfade gecheckt.
Regel aktiviert.

und siehe da unter ist OWA erreichbar, und
das kleine Problem mit der Zertifikatsgültigkeit wird auch noch gelöst.

Leider weiß ich nicht wo mein anfängl. Problem war mit der Fehlermelung
Upstreamserver usw. Nach einem Boot des Servers (SBS) der schon
vier Monate online war lief alles wie am Schnürchen.

Danke an Alle die mir geduldigt geholfen haben

Gruß
Andreas Altermann
Jörg Vosse (15.01.2006, 19:27)
Hi Andreas,

> so geschafft ! und merke: Jeder Boot tut gut.


Schön!!

> 2. Am ISA eine FWR erstellt die Https von Intern, Lokaler Host nach Intern
> (oder Server)
> für alle Benutzer zulässt.


Für die veröffentlichung brauchst DU die aber nicht. Zum testen vom ISA ja,
da ber auch nur von Lokaler Host nach SERVER-IP.

> 4. Am DNS server (intern hier auch der SBS) eine zusätzl. Forward-Zone
> mit 'firma-hamburg.de' angelegt und einen CNAME 'owa' auf
> 'server.firma.net'
> angelegt


Gut, damit der Name aufgelöst werden kann.

[..]
> Upstreamserver usw. Nach einem Boot des Servers (SBS) der schon
> vier Monate online war lief alles wie am Schnürchen.
> Danke an Alle die mir geduldigt geholfen haben


Schön das es nun klappt.

Viele Grüße
Jörg
Jens Baier (15.01.2006, 19:29)
Hi Andreas,

> so geschafft ! und merke: Jeder Boot tut gut.


na Glueckwunsch. BTG kann ich nur bestaetigen. Wenn Du meine STRG + ALT
+ ENTF Taste am Notebook sehen wuerdest, wuesstest Du, welche Taste am
haeufigsten gedrueckt wird :-)

> 4. Am DNS server (intern hier auch der SBS) eine zusätzl.
> Forward-Zone
> mit 'firma-hamburg.de' angelegt und einen CNAME 'owa' auf
> 'server.firma.net'
> angelegt


geschickt gemacht. Sparst Du Dir den externen Listener zu aendern und
ein neues Zertifikat anzufordern, wenn es mal soweit mit dem Namen ist.

> Leider weiß ich nicht wo mein anfängl. Problem war mit der
> Fehlermelung
> Upstreamserver usw. Nach einem Boot des Servers (SBS) der schon
> vier Monate online war lief alles wie am Schnürchen.


Ab und an hilft ein Reboot wirklich. Die Fehlermeldung ist auch leider
sehr irrefuehrend. Ich denke das sich da intern was verdreht hat und
nach dem Reboot wieder sauber war.

Gruss Jens

Ähnliche Themen