Joerg´s IT-Tech Blog

Microsoft Technologien und über den Tellerrand hinaus, Aber vorher das TESTEN nicht vergessen!

ISA 2006 Projekt: Exchange 2007 OWA, WPAD Server 2008 DNS, ADSL Wählverbindung

Posted by JoergS - 29. Juli 2009

Hi,

diese Woche war ich für 1 Tagesprojekt, einen Tag in Mainz zu Gast. Angereist bin ich Montag Abend mit der Bahn und war in dem kleinen Hotel Hechenberg untergebracht:
Hotel_Hechenberg_Mainz01  Hotel_Hechenberg_Mainz02

Bei einem kleinen Unternehmen, welches eine SecureGuard ISA 2006 Appliance 120 einsetzen wollte, hatte ich dann am Dienstag mein Projekt.

Der ISA sollte für alle internen Clients & Server als Proxy dienen, 2 Interne Netze voneinander trennen (als LAN Router) und natürlich war eine Hauptanforderung die Veröffentlichung von Exchange 2007 OWA, Outlook Anywhere & Active Sync.

Die Infrastruktur war ansonsten sehr modern. 2 VMware Host mit je

  • 2 Windows Server 2008 Domänen Controller (Server-Core) VM´s mit DNS
  • 1 Exchange 2007 Server in einer 2008 VM mit Hub-Transport, Client Access (CAS) und Mailbox-Rolle
  • 1 weitere 2008 VM mit Root CA, WSUS und dem Anti-Viren Update Server
  • 2 Linux VMs (1 Backup-Server und der Mail-Relay)

Der Exchange empfängt keine Mails von außen (dazu später mehr!), sondern bekommt diese über eine Linux VM per SMTP zugestellt, welcher die Mails per POP3/SMTP vom und zum Provider empfängt und liefert.

Der ISA 2006 sollte ADSL angebunden werden, eine Feste IP (also quasi DHCP Reserved) hatte der Provider dem Kunden auch schon zugeteilt. Also musste ich eine Wählverbindung in Server 2003 erstellen, mit den Zugangsdaten vom Provider, ist klar. ACHTUNG! In der ISA Management Console muss man die Dial-in Preferences einstellen. Als Benutzer MÜSSEN hier auch die Provider Zugangsdaten als User/Passwort eintragen werden und NICHT ein lokaler/AD User! Sondern funktioniert keine automatische Verbindung des ISA ins Internet, sondern man muss dann immer selbst die Wählverbindung wählen.

Das 1. Problem war über einen Test Client ins Internet zu gelangen. Normalerweise richtet man in der ISA Mgmt Console nur den Proxy auf dem Internal Netzwerk ein und legt einen Alias (CNAME) namens „WPAD“ im DNS an. Am Client stellt man dann seinen Browser nur noch „Automatische Suche nach dem Konfigurationsscript“. Das funktionierte aber nicht auf Anhieb. Mit der festen konfigurierten Proxy Einstellung klappte der Internet Zugriff über den Proxy aber und an den ISA Firewall Access Rules konnte es auch nicht liegen, da wir diese am Anfang zum Test auf „All User“, also Anomymen Zugriff ins Internet erlaubt hatten, ohne Authentifizierung am Proxy. Dann fiel es uns wie …. naja, lassen wir das. Der Kunde setzte einen Windows Server 2008 als DNS Server ein! Hier ist standartmäßig die Global Query Blocklist aktiv und in dieser steht auch ein Eintrag für „WPAD“!!! Dazu muss man wie in Dieter Rauscher´s Anleitung vorgehen und diese Blocklist deaktivieren! In einer CMD/PowerShell „dnscmd /config /enableglobalqueryblocklist 0“ auführen!

Jetzt zum 2. Problem, bei der Erstellung der Web Publishing Rules von Exchange 2007 OWA, Outlook Anywhere & Active Sync. Die Rules hatte ich vorbildlich nach der Anleitungen aus dem ISA Sever 2006 Buch und von Marc Grote erstellt (OWA, Outlook Anywhere RPC over HTTPS, OWA Redirect). Beim Test der 1 Rule für OWA erhielten wir dann im Internet Explorer die Fehlermeldung:

Error Code: 408. The operation timed out. The remote server did not respond within the set time allowed. The server might be unavailable at this time. Try again later or contact the server administrator. (12002)

Nach langem Suchen und der Umstellung, dass der Verkehr nicht mehr vom Original Client sondern vom ISA kommt, haben wir dann festgestellt, das mit dem Routing was nicht stimmen konnte. Also der Exchange Server kein SecureNAT-Client war. So fanden wir dann heraus, dass der Exchange KEIN Standartgateway (!) eingetragen hatte.

Nach dieser Änderung funktionierte auch der OWA Zugriff, ebenso wie Outlook Anywhere und Active Sync. Ebenso haben wir auch im “Bis/To” Tab wieder umgestellt, dass die Anforderungen wieder vom Original Client kommen.

[UPDATE:] Wie ich mit dem Kunden festgestellt habe, bootet die SecureGuard Appliance nie mehr mit Grafik Output am VGA Port, wenn dieser einmal entfernt wurde und dann per RDP gebootet wurde. SecureGuard stellt auf Anfrage aber gerne einen Hotfix zur Verfügung, der den Grafiktreiber neu installiert und neu initialisiert![/UPDATE]

Hier noch ein paar Impressionen:

ISA2006 ADSL Einwahl feste IP anzeigen

Na dann, Viel Spass beim selber Testen!
CU

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

 
%d Bloggern gefällt das: