RPC over Https

    Hi,
    habe das Certifikat gespeichert und auf dem Client eingebunden.
    Leider geht es immer noch nicht. Auf dem Client bekomme ich im Outlook ein Anmeldefenster wodrin aber kein Passwort funktionert.

    Hi,


    habe den Thread hier mal durchgelesen und habe folgende Fragen:


    1. Wie sieht das Konstrukt für den Zugriff aus?! Ist der Server direkt über das Internet erreichbar. Was für Sicherheitsmassnahmen und Firewalls gibt es?! Ich frrage deshalb, da das immer ein heikeles Sicherheitsthema ist....!


    2. Wie willst du die Zertifikate einstellen?! Ich denke ein öffizielles Zertifikat auf dem Server macht Sinn, da Du dann die Zertifikatsfehler am Client nicht mehr bekommst und du auch das Zertifikat nicht an den Clients einbinden musst. Ist allerdings eine Frage des aufwandes...! Wenn du nur ein paar User hast, die den RPC over HTTP verwenden wollen, reicht ein internes Root Zertifikat deiner Domäne.


    3. Die Einbindung kann auch einfacher erfolgen indem du auf die Seite http://deinserver/certsrv gehst und dir dort das Zertifikat vom Server ausstellen lässt, welches dann auch automatisch in den Client eingebunden werden kann. Funktioniert aber nur, wenn dir die Root CA korrekt installiert hast.


    4. Du kannst noch folgendes am Client probieren. Starte die Outlook.exe mit dem Schalter /rpcdiag. Damit erhälst du ein weiteres Fenster, wo du sehen kannst, wie die Verbindung zum Server aufgebaut wird.


    5. Die Fehlermeldung mit dem https://exchangeserver/rpc sollte eigentlich eine 401.3 sein, dann ist alles korrekt. Deiner Fehlermeldung nach stimmt irgendwas mit der Verschlüsselung nicht (Zitat: Nicht autorisiert: Der Zugriff wurde verweigert, weil die Serverkonfiguration eine andere Authentifizierungsmethode verlangt.)


    Ich hoffe, du kannst die Info´s gebrauchen!!!



    Gruss



    Ulli

    Operative Hektik ersetzt geistige Windstille!

    Hi,
    Ausgangssituation ist diese:
    Windows sbs 2003 RC2 standart Installation auf einem Rechner mit 2 Netzwerkkarten.


    Wärend der Installationsroutine konnte ich das Zertifikat ausstellen und auch externen Outlook Zugriff aktivieren.


    1 Netzwerkkarte ist angeschlossen an einem DSL Modem
    2 Netzwerkkarte ist für das interne Netzwerk


    1 Netzwerkkarte hat eine dynamische Ip die per dyndns aufgelöst wird.


    Firewall wurde bisher nicht viel gemacht, erstmal muss das rcp over https laufen.


    Zertifikat ist auf den Dyndnsnamen ausgestellt und funktioniert auch beim weboutlook. Das sollte so reichen weil nur 3 Clients über rpc angebunden werden.


    http://deinserver/certsrv da passiert nichts auf meinem server.



    zu.4 teste ich heute abend.



    https://meinserver.de/rpc


    Da bekomme ich im moment eine Passwortabfrage wo kein Anmeldename und PW funktioniert.



    ###


    An sich habe ich nur die Standartinstallation ausgeführt und nichts gross abweichendes eingestellt, sollte das rcp normalerweise sofort funktionieren auf dem sbs 2003?

    Wenn ich hier:
    https://meinserver.de/rpc


    im Browser eine passwort/user Abfrage bekomme ist das doch an sich ok oder?


    Wieso funktioniert da aber kein user/pw?


    Wo kann ich hier das PW & den Benutzer einstellen, eigentlich sollte das doch der normale Benutzeranmeldename sein der auch im Weboutlook funktioniert oder?



    Fehlermeldung:


    Sie haben nicht die erforderliche Berechtigung, um die Seite anzuzeigen
    Sie verfügen aufgrund der Zugriffsteuerungsliste (Access Control List oder ACL), die für diese Ressource auf dem Webserver konfiguriert ist, nicht über die Berechtigung, dieses Verzeichnis oder diese Seite anzuzeigen.

    Hi,


    wenn du die URL https://meinserver.de/rpc eintippst kommt ein Anmeldedialog.


    Dieser zeigt aber auf die im IIS hinterlegte rpc.dll. welche für die Funktion selber zuständig ist bzw. diese Anfrage dann an den Server weiter gibt.


    Das bedeutet, dass die Fehlermeldung eigentlich ok ist, solange du einen 401.3 Fehler bekommst. Da ist für mich immer der Hinweis, dass es läuft (trotz dass es ein Fehler ist ;-)).


    Weiterhin ist die Planung zur Sicherheit sehr, sehr gefährlich, da du den Server quasi direkt ins Internet stellst, wo du sehr vielen Angriffen ausgeliefert bist. Ich will hier nicht den Teufel an die Wand malen, aber es kann sicherlich sein, dass bei dir die Funktion des Server dann nicht lange verfügbar ist!!



    Soweit erstmal!!!



    Gruss


    Ulli

    Operative Hektik ersetzt geistige Windstille!

    Hi,
    ja mit der Sicherheit ist klar erstmal muss es aber überhaupt einmal funktionieren :).


    tipp ich:
    https://meinedomain.de/rpc/rpcproxy.dll


    im ie ein bekomme ich auch ein Anmeldefenster wodrin mein user/pw funktioniert und mich auf eine leere Seite weiterleitet. Das sollte doch ok sein oder?


    Eigentlich sollte Serverseitig nun alles passen oder?



    Fehlermeldung ist ein:
    HTTP Error 401.3 - Unauthorized: Access is denied due to an ACL set on the requested resource. (HTTP-Fehler 401.3 - Nicht autorisiert: Der Zugriff wurde wegen einer für die angeforderte Ressource festgelegten ACL verweigert.)
    Internetinformationsdienste (Internet Information Services oder IIS)

    • Offizieller Beitrag

    Hallo,


    kann da Ulli nur Recht geben!


    Wenn du ohne Router direkt mit dem Server ins Internet gehst,
    ist es das gleiche, als wenn du deine Haustür offen lässt,
    wenn du zur Arbeit gehst.


    Firewall etc. setzt man erst ein, dann Regelt man den Rest.


    Was nutz es dir, wenn es ohne geht, du setzt dann was ein, und fängst wieder von vorne an?


    :oops:

    Im Moment ist der Server nur ein Testserver, da gibt es nicht viel zu holen...


    Den Router mit Firewall davor wird installiert wenn die Kiste dann wirklich eingesetzt wird.


    In diesem Thread sollte es vorangig darum gehen warum sich Outlook nicht verbinden will.

    Ok.....aber die Fehlermeldung ist richtig!! Das bedeutet, der Server läuft soweit schon mal allerdings solltest du bitte https://meinserver.de/rpc eingeben, also ohne die rpc.dll...!
    Wenn du dann den Fehelr bekommst ist alles richtig (boah, was für eine Aussage)....!


    Du müsstest dann den Client entsprechend einrichten! Vielleicht hast du ja vom Client ein paar Screenshots, wie du das konfiguriert hast...auch der /rpcdiag sollte dir da weiterhelfen!


    Gruss


    Ulli

    Operative Hektik ersetzt geistige Windstille!