RPC over HTTPS Problem / Exchange / Outlook

[exacta]

hi zusammen,


ich würde gerne RPC over HTTPS verwenden im Outlook.

Szenario: Exchange 2007 auf Server2008
rpc proxy ist installiert,
am internetrouter forward ports 25, 135, 443, 6001-6004 auf den exchange
https://www.blablawoswasi.com/exchange bzw /owa funktioniert,
zertifikat passt imho auch (nach der inst. am owa meckert er nimmer)
am outlook hab ich die connection over http und den proxy eingetragen.

soweit so gut.

wenn ich nun das outlook anstarte, fragts mich nach user+pw wie es sein soll, aber-

outlook /rpcdiag sagt mir,
- dass er zwar die verbindung zum mail.blabla.com, type: mail, connection via https macht, aber
- die conncetion zum directory (zu den 2 DCs) immer noch über tcp aufmacht, wobei er hier eigentlich auch https nehmen sollte.

noch mehr hintergrund info : der exchange ist ein eigeständiger server, sonst rennt dort nix, zusätzlich gibts noch 2 DCs nebst einigen anderen trümmern, die aber eigentlich nix zur sache tun.

zusätzliche regkeys am exchange:
KEY=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\RpcP roxy
VALUENAME=ValidPorts
mail:6001-6002;mail.xxyyzz.co.at:6001-6002;xxyyzz.co.at:6001-6002;mail:6004;mail.xxyyzz.co.at:6004;xxyyzz.co.at :6004


nun meine frage: hab ich die ports richtig weitergeleitet am router? der mail scheint ja zu passen, aber welche ports muss ich für das "directory" weiterleiten? sollten das nicht die 6001-6004 sein? und wenn ja, auf den exchange oder auf einen der DCs?

der port 80 wird am router auf den webserver weitergeleitet, sollte aber egal sein nachdem die kommunikation mit dem exchange ja sowieso nur über https laufen sollte. ist diese annahme korrekt?


wäre toll wenn mir da jemand weiterhelfen und mich "aufklären" könnte was ich tun soll.
danke!

lg,
ein mittlerweile schon "schassaugater" exacta

[LouCypher]

RPC over https braucht eine EINZIGE port weiterleitung und zwar 443, thats it. Ansonsten vielleicht noch 25 wennst keinen smarthost hast aber sicher nicht mehr.

ob: https://blabla/rpc funzt wär interessant, kommt ein loginfenster (leere seite nach dem login ist ok)?

Zum testen musst auf jeden fall von extern zugreifen von innen bringts dir nichts weil wenn https nicht funzt verbindet er normal.

[exacta]

hi,

habe immer von intern + von extern getestet. extern geht gar nix (oder besser gesagt, https zu mail, aber --- zu directory), intern macht outlook via rpc eine mischkulanz aus https (mail.xxyyzz.co.at) + tcp (directory zu den 2 DCs) und outlook zeigt mir die mails wie "normal"

https://mail.xxyyzz.co.at/rpc fragt mich nach einem login, danach kommt nur eine leere seite.

https://mail.xxyyzz.co.at/owa fragt nach login, danach kommt der webclient

443 ist direkt auf den exchange forgewarded.
im iis ist für rpc die basic + windows auth. enabled.

what's next?

[ingomar]

iirc nur basic authentication, keine "+ windows"

kann es am zertifikat liegen ? importier das mal ins trusted root certificate store...

[LouCypher]

nochmal nur zur klarstellung, irgendwie versteh ich das ganze so das der rpc proxy, iis und exchange am selben server sind. Deine fw konfig und der registry eintrag deuten auf 2 server hin.

Ausserdem setz mal einen dns eintrag mit: autodiscover.blalbla.com sont funzt das offline adressbuch nicht.

[exacta]

also, die topologie sieht so aus:

rpc proxy, exchange und zwangsläufig der iis (an :443 gebunden)(mit /owa, /rpc usw.) sind am selben server. (mail.xxyyzz.co.at)


Es gibt noch einen anderen Server, wo div. Webdienste laufen, der ist gebunden an :80 (internet.xxyyzz.co.at)


die forwards am router sind genauso: alles was auf :443 daherkommt geht weiter auf den exchange/rpcproxy/iis:443. Alles auf :80 geht auf den dezitierten webserver.


autodiscover:
*sicherheitshalber-blöd-frag*:muss der dns eintrag auf die interne oder externe ip vom mail.xxyyzz.co.at verweisen? reicht ein A eintrag oder brauch ich da einen SRV eintrag?

[exacta]

Zitat:

Zitat von ingomar

iirc nur basic authentication, keine "+ windows"

kann es am zertifikat liegen ? importier das mal ins trusted root certificate store...

iirc? ich nehme an du meinst den /rpc. gut, habs umgestellt auf "nur basic", sonst nix mehr. ändert aber nix.

zertifikat? am server oder am client?

thx so far

[LouCypher]

du solltest am provider dns dort wo eure domäne liegt die externe server ip mit dem namen mit dem du zuegreifen willst und autodiscover anlegen. Weiters solltest du am interen dns das gleiche tun hier allerdings die interne ip verwenden. (Dient aber nur zur optimierung, hat mit deinen momentanen porblemen nichts zu tun)

Dann musst du eine zertifikatanfrage generieren die ALLE aliase enthält unter denen die user auf den server zugreifen.

Das zertifikat lässt du dann von eurer CA erstellen und importierst es in den exchangeserver

Im IIS setzt du die authentifizierung der RPC Seite auf "windows-authentifzierung" und aktiverst und erweitert die "Kernelmodus-authentifzierung"

das wars eigentlich.

So sieht ein request aus:

Zitat:

New-ExchangeCertificate -SubjectName "DC=domainname, DC=com, O=Company Name, CN=blabla.domain.com" -DomainName dc01, dc01.domain.local, autodiscover.data-way.com -GenerateRequest:$True -path c:\cert.req -privatekeyExportable:$true

unter -DomainName trägst alle namen ein unter denen auf den exchange zugegriffen wird.

Damit generierst bei eurer CA dann ein zertifikat und importierst dieses im exchange mit:

Import-ExchangeCertificate -path c:\firma.p7p | Enable-ExchangeCertificate -Services IMAP, POP, UM, IIS, SMTP

Hier eine anleitung:
http://www.sslshopper.com/article-ho...ange-2007.html