SBS 2008 über ISA 2006 veröffentlichen

15/03/2009 - 18:32 von Quax | Report spam
Hallo NG,

ich habe zwei Server: einen SBS 2008 (sbs.intern.local) und einen ISA 2006
mit SP1 (isa.intern.local).
Dem SBS habe ich erklàrt, dass die Internetdomàne "mydomain.com" ist und er
hat daraufhin ein Zertifikat für "remote.mydomain.com" erstellt und an den
IIS gebunden.
Ich habe das Zertifikat samt privatem Schlüssel exportiert, auf dem
ISA-Server importiert und an den Listener gebunden.

Wenn ich jetzt aus dem Internet OWA aufrufe mit
https://remote.mydomain.com/owa kommt die Anmeldeseite und nach
erfolgreicher Anmeldung der Fehler:

a.. Fehlercode: 500 Interner Serverfehler. Der Zielprinzipalname ist falsch.
(-2146893022)

Das Zertifikat ist aber explizit für "remote.mydomain.com". Die ISA-Regel
gilt für diesen Namen und nichts anderes. Ich habe in der Regel als
öffentlichen Namen "remote.mydomain.com" angegeben und als Ziel
"sbs.internal.local". Das Bridging steht auf SSL.

Ich kapier das einfach nicht.

Hat jemand den SBS 2008 erfolgreich mit ISA 2006 veröffentlicht?

Bin für jeden Tipp dankbar,

Quax.
 

Lesen sie die antworten

#1 Tobias Redelberger [MVP - SBS]
16/03/2009 - 08:40 | Warnen spam
Hi Quax (der Bruchpilot)

Dem SBS habe ich erklàrt, dass die Internetdomàne "mydomain.com" ist und
er hat daraufhin ein Zertifikat für "remote.mydomain.com" erstellt und an
den IIS gebunden.
Ich habe das Zertifikat samt privatem Schlüssel exportiert, auf dem
ISA-Server importiert und an den Listener gebunden.

Wenn ich jetzt aus dem Internet OWA aufrufe mit
https://remote.mydomain.com/owa kommt die Anmeldeseite und nach
erfolgreicher Anmeldung der Fehler:

a.. Fehlercode: 500 Interner Serverfehler. Der Zielprinzipalname ist
falsch. (-2146893022)

Das Zertifikat ist aber explizit für "remote.mydomain.com". Die ISA-Regel
gilt für diesen Namen und nichts anderes. Ich habe in der Regel als
öffentlichen Namen "remote.mydomain.com" angegeben und als Ziel
"sbs.internal.local". Das Bridging steht auf SSL.



Denk doch noch mal kurz und scharf nach:

Mit welchen (richtigen) Namen (FQDN) verbindest Du Dich mittels Browser/SSL
an die ISA und mit welchen (fehlerhaften) Namen (FQDN) leitest (bridging) Du
den verschlüsselten Verkehr zum Zielendpunkt, worauf dort das SSL-Zertifikat
des IIS zum entschlüsseln welchen Namen (FQDN) erwartet?

Wenn Du Dir die Frage richtig beantwortest, darfst Du Dir dann auch ein
Bonbon nehmen ;)

Tobias Redelberger
StarNET Services (HomeOffice)
Schoenbornstr. 57
D-97440 Werneck
Tel: +49 (9722) 4835
Mobil: +49 (163) 84 74 421
Email:
Web: http://www.starnet-services.net

Ähnliche fragen