[PROB] ISA server 2006 et OWA

ISA server 2006 et OWA [PROB] - Logiciels d'entreprise - Systèmes & Réseaux Pro

Marsh Posté le 06-05-2009 à 17:03:30    

Salut à tous  :hello:  
 
j'ai un soucis avec ce mlfdkgùmdkjgùsmkj de Isa server 2006 ...
 
j'explique :
 
je cherche à faire du OWA via un Isa server en mode 1 carte réseau donc (Hote local + reseau interne + externe)
 
cet isa server est sur une DMZ et doit venir discuter avec un serveur de messagerie exchange 2003 dans le lan.
 
Le système de publication de site web pour exchange fonctionne car quand je test la regle, il voit bien mon serveur exchange et les répertoires associés.
 
Par contre quand je fais une demande du wan vers mon IP publique (NAT vers mon adresse IP DMZ), Isa server ne veut pas utiliser ma publicatoin web et donc ma demande se retrouve bloqué....
 
J'arrive pas à comprendre pourquoi isa server ne prend pas ma publication OWA... ça a déja fonctionné puis connaissant microsoft, j'ai eteinds puis redemarré la machine... forcement, ça n'a plus fonctionner depuis :o
 
si quelqu'un a une petite idée !!!  :jap:


Message édité par djalex le 07-05-2009 à 16:39:18

---------------
------------------------------------------
Reply

Marsh Posté le 06-05-2009 à 17:03:30   

Reply

Marsh Posté le 06-05-2009 à 17:15:17    

Tu fais comment tu nates ton réseau hors dmz et ton fw nate l'isa ?

 

le truc c'est qu'avec une seul patte c'est un peu bidon ....

 

y a des schéma tout fait de FW reverse proxy via l'isa naté sur ton serveur exchange enfin iis en son certificat


Message édité par MickeyNox le 06-05-2009 à 17:16:53
Reply

Marsh Posté le 06-05-2009 à 17:31:05    

salut
 
le probleme est que j'ai déja un FW type checkpoint donc isa server ne me sert que pour du reverse proxy ...
 
alors sinon pour tes questions :
 
on va faire un petit schéma :
 
 
Exchange ---- FW --- ISA server
                      |
                   internet
 
 
voici les IPs fictives bien entendu
 
Exchange : 172.16.5.12
FW patte interne : 172.16.1.254
FW patte DMZ : 192.168.20.254
Isa server : 192.168.20.2
FW patte WAN : 193.252.19.4
 
ce que je fais c'est du nat statique entre ma patte FW wan vers mon serveur isa server pour que l'adresse IP wan soit utilisable.
 
bien evidemment le http est autorisé entre isa server et ip wan mais aussi avec serveur exchange en lan


---------------
------------------------------------------
Reply

Marsh Posté le 06-05-2009 à 18:23:53    

Les logs ISA disent quoi pour les requetes owa que tu fais depuis l'exterieur ?

Reply

Marsh Posté le 06-05-2009 à 18:58:19    

il ne voit pas la requete owa et part directement en acces refusé (la dernière règle en clair..)
 


---------------
------------------------------------------
Reply

Marsh Posté le 06-05-2009 à 19:00:33    

C'est que la demande qui arrive ne doit pas correspondre exactement a ta regle de publication : ecoute pas sur la bonne IP, url différente, sous-dossier par autorisé, pb de certificat...

Reply

Marsh Posté le 06-05-2009 à 19:00:48    

Donc ,
 
2 choix,  
 
soit ma règle OWA ne fonctionne pas (pourtant tester avec le bouton "Tester la règle" et tou fonctionne.
 
Soit mon port découte listener OWA ne fonctionne pas !!!!  


---------------
------------------------------------------
Reply

Marsh Posté le 06-05-2009 à 19:01:20    

El Pollo Diablo a écrit :

C'est que la demande qui arrive ne doit pas correspondre exactement a ta regle de publication : ecoute pas sur la bonne IP, url différente, sous-dossier par autorisé, pb de certificat...


 
 
Pour ne pas me prendre la tete avec les certificats au début, je passe en http tout court :o


---------------
------------------------------------------
Reply

Marsh Posté le 06-05-2009 à 19:03:15    

Je suis pas sur que ce soit spécialement une bonne idée, au dela de la sécu du https, avec les certificats au moins ce genre de publication ne permet pas l'a-peu-pres.


Message édité par El Pollo Diablo le 06-05-2009 à 19:06:26
Reply

Marsh Posté le 06-05-2009 à 19:04:38    

je suis daccord mais au moins j'enleve dabord un probleme sans le https...
 
si déja ça ne fonctionne pas avec le http :o
 


---------------
------------------------------------------
Reply

Marsh Posté le 06-05-2009 à 19:04:38   

Reply

Marsh Posté le 06-05-2009 à 19:05:24    

enfin bon jcontinuerai demain :d


---------------
------------------------------------------
Reply

Marsh Posté le 06-05-2009 à 23:21:42    

Est ce que OWA marche à partir de ton LAN ?
Tu as quoi comme message d'erreur quand tu essaies depuis l'externe ?x
As-tu essayer de l'attaquer via l'ip plutôt que le fqdn ?
Tu as combien de serveur Exchange ? Théoriquement 2 mini ?


---------------
We must fight, injustice system ; have no right, injustice system
Reply

Marsh Posté le 07-05-2009 à 00:51:20    

Ouais je regarderai le web listener, la tab From, celui qui dit les rep à translater

Reply

Marsh Posté le 07-05-2009 à 11:30:53    

Jules418 a écrit :

Est ce que OWA marche à partir de ton LAN ?
Tu as quoi comme message d'erreur quand tu essaies depuis l'externe ?x
As-tu essayer de l'attaquer via l'ip plutôt que le fqdn ?
Tu as combien de serveur Exchange ? Théoriquement 2 mini ?


 
 
oui il fonctionne nikel :d
 
le site via le wan est attaqué déja par l'adresse IP du style http://193.252.19.4/exchange
un seul serveur exchange .... :o
 
 
 


---------------
------------------------------------------
Reply

Marsh Posté le 07-05-2009 à 11:31:47    

Je@nb a écrit :

Ouais je regarderai le web listener, la tab From, celui qui dit les rep à translater


 
 
ouaip j'ai déja commencé à regarder au niveau du port d'écoute mais il n'y a pas grand chose..
 
je vais mettre des photos d'écran :o


---------------
------------------------------------------
Reply

Marsh Posté le 07-05-2009 à 12:20:12    

djalex a écrit :


 
 
oui il fonctionne nikel :d
 
le site via le wan est attaqué déja par l'adresse IP du style http://193.252.19.4/exchange
un seul serveur exchange .... :o
 
 
 


Déjà je serais toi je mettrais un frontal dans la DMZ... bien sur faut le budget...
j'ai bien l'impression que c'est une histoire de port, as-tu essayer de te monter un iis vite fait sur ton lan et voir si tu y accèdes depuis l'extérieur ?
C'est dès que tu tapes l'adresse que tu te fais jeter ? C'est le message d'erreur sous IE ?


---------------
We must fight, injustice system ; have no right, injustice system
Reply

Marsh Posté le 07-05-2009 à 12:21:38    

allez zou :
 
pour le port d'écoute web : http://dl.free.fr/pz5zfQ4l9
 
pour la regle OWA : http://dl.free.fr/jAqFQsf3g
 
Merci à vous :jap:


---------------
------------------------------------------
Reply

Marsh Posté le 07-05-2009 à 12:23:30    

Jules418 a écrit :


Déjà je serais toi je mettrais un frontal dans la DMZ... bien sur faut le budget...
j'ai bien l'impression que c'est une histoire de port, as-tu essayer de te monter un iis vite fait sur ton lan et voir si tu y accèdes depuis l'extérieur ?
C'est dès que tu tapes l'adresse que tu te fais jeter ? C'est le message d'erreur sous IE ?


 
 
 :non:  si je mets ISA serveur en DMZ, c'est justement pour ne pas attaquer mon lan en direct du wan :o
 
Message d'erreur IE comme quoi il ne voit rien du tout .. il ne peut pas afficher la page web, forcement Isa server bloque la demande


---------------
------------------------------------------
Reply

Marsh Posté le 07-05-2009 à 12:28:51    

djalex a écrit :

allez zou :
 
pour le port d'écoute web : http://dl.free.fr/pz5zfQ4l9
 
pour la regle OWA : http://dl.free.fr/jAqFQsf3g
 
Merci à vous :jap:


Je suis en train de regarder, déjà sur ton 2ème screen y'a ..local donc une coquille  :o  
 

djalex a écrit :


 
 
 :non:  si je mets ISA serveur en DMZ, c'est justement pour ne pas attaquer mon lan en direct du wan :o
 
Message d'erreur IE comme quoi il ne voit rien du tout .. il ne peut pas afficher la page web, forcement Isa server bloque la demande


Pour moi la bonne conf serait de ne pas passer par le proxy, mettre le frontal en dmz qui discute avec ton dorsal en lan... le tout sécurisé bien sur  ;)
 
 
Edith me dit que je croyais que ton ISA ne faisait pas firewall ??? tu as mis quoi comme règle de routage ?

Message cité 2 fois
Message édité par Jules418 le 07-05-2009 à 12:30:48

---------------
We must fight, injustice system ; have no right, injustice system
Reply

Marsh Posté le 07-05-2009 à 12:32:35    

Jules418 a écrit :


Je suis en train de regarder, déjà sur ton 2ème screen y'a ..local donc une coquille  :o  
 


 
sur quel fichier  :sweat:  
 

Jules418 a écrit :


Pour moi la bonne conf serait de ne pas passer par le proxy, mettre le frontal en dmz qui discute avec ton dorsal en lan... le tout sécurisé bien sur  ;)
 
 
Edith me dit que je croyais que ton ISA ne faisait pas firewall ??? tu as mis quoi comme règle de routage ?



---------------
------------------------------------------
Reply

Marsh Posté le 07-05-2009 à 12:33:31    

Jules418 a écrit :


Je suis en train de regarder, déjà sur ton 2ème screen y'a ..local donc une coquille  :o  
 


 

Jules418 a écrit :


Pour moi la bonne conf serait de ne pas passer par le proxy, mettre le frontal en dmz qui discute avec ton dorsal en lan... le tout sécurisé bien sur  ;)
 
 
Edith me dit que je croyais que ton ISA ne faisait pas firewall ??? tu as mis quoi comme règle de routage ?


 
Il ne fait pas Firewall .. je l'ai mis en mode 1 carte réseau ...  
 
ps: enfin je pense.. isa server et moi ça fait 3  
 
jsuis plutot checkpoint :o


---------------
------------------------------------------
Reply

Marsh Posté le 07-05-2009 à 12:33:59    

djalex a écrit :


 
sur quel fichier  :sweat:  
 


Dans règle firewall isa, 2ème screen c'est écrit exchange.dada..loc  :o


---------------
We must fight, injustice system ; have no right, injustice system
Reply

Marsh Posté le 07-05-2009 à 12:34:39    

ben voui .. il me demande le serveur lan :o
 
la redirection quoi !!!

Message cité 1 fois
Message édité par djalex le 07-05-2009 à 12:34:59

---------------
------------------------------------------
Reply

Marsh Posté le 07-05-2009 à 12:39:04    

djalex a écrit :

ben voui .. il me demande le serveur lan :o
 
la redirection quoi !!!


Y'a 2 points dans l'adresse du serveur ???????????????????
Il faut que tu créés un règle de routage (pas au niveau du firewall) pour toutes les demandes de l'extérieur vers owa


---------------
We must fight, injustice system ; have no right, injustice system
Reply

Marsh Posté le 07-05-2009 à 12:40:23    

Jules418 a écrit :


Y'a 2 points dans l'adresse du serveur ???????????????????
Il faut que tu créés un règle de routage (pas au niveau du firewall) pour toutes les demandes de l'extérieur vers owa


 
 
nan mais jules, tu crois pas que je mets les vrais adresses quand meme!!!
 
exchange.dada.loc est un exemple ... osef du .. :d
 
la regle de routage doit etre faite sur ISA server ???


---------------
------------------------------------------
Reply

Marsh Posté le 07-05-2009 à 12:42:03    

djalex a écrit :


 
 
nan mais jules, tu crois pas que je mets les vrais adresses quand meme!!!
 
exchange.dada.loc est un exemple ... osef du .. :d
 
la regle de routage doit etre faite sur ISA server ???


Me doutais bien mais on ne sait jamais...
Oui règle de routage sur le serveur ISA pour acheminer les requêtes externe vers owa, moi chui en 2000 en fait donc bon peut pas trop t'aider la dessus car ce n'est pas du tout la même interface, par contre google pourra peut être  :jap:


---------------
We must fight, injustice system ; have no right, injustice system
Reply

Marsh Posté le 07-05-2009 à 12:45:49    

Ca foire certainement dans l'onglet "A" de ta regle ISA :
- vire le /exchange de l'adresse du site
- ça peut marcher, mais c'est tres curieux de mettre le nom DNS en nom réel de l'ordinateur alors que tu mets l'IP dans l'adresse locale du site
- tu dis a ton isa de transmettre l'URL d'origine demandée par le client au IIS hebergeant OWA : t'es sur que le site ou est OWA sur ce IIS est configuré pour répondre aux demandes arrivant avec l'IP publique dans l'host header ?

Message cité 1 fois
Message édité par El Pollo Diablo le 07-05-2009 à 12:48:27
Reply

Marsh Posté le 07-05-2009 à 12:51:54    

El Pollo Diablo a écrit :

Ca foire certainement dans l'onglet "A" de ta regle ISA :
- vire le /exchange de l'adresse du site
Si je fais cela, le test de la règle ne fonctionne plus
- ça peut marcher, mais c'est tres curieux de mettre le nom DNS en nom réel de l'ordinateur alors que tu mets l'IP dans l'adresse locale du site
je peux faire l'inverse.. ça fait la meme chose
- tu dis a ton isa de transmettre l'URL d'origine demandée par le client au IIS hebergeant OWA : t'es sur que le site ou est OWA sur ce IIS est configuré pour répondre aux demandes arrivant avec l'IP publique dans l'host header ?


 
oui car cela a déja fonctionné... mais suite à un redémarrage de isa server, ça n'a plus fonctionné :o


Message édité par djalex le 07-05-2009 à 12:52:31

---------------
------------------------------------------
Reply

Marsh Posté le 07-05-2009 à 12:53:24    

Jules418 a écrit :


Me doutais bien mais on ne sait jamais...
Oui règle de routage sur le serveur ISA pour acheminer les requêtes externe vers owa, moi chui en 2000 en fait donc bon peut pas trop t'aider la dessus car ce n'est pas du tout la même interface, par contre google pourra peut être  :jap:


 
Le port découte plus la regle OWA sont justement là pour cela !!! non ???


---------------
------------------------------------------
Reply

Marsh Posté le 07-05-2009 à 13:02:52    

djalex a écrit :


 
Le port découte plus la regle OWA sont justement là pour cela !!! non ???


Je pense oui mais bon je te dis 2006 connais pas :/
Par contre au lieu de /exchange essaie de mettre /*


---------------
We must fight, injustice system ; have no right, injustice system
Reply

Marsh Posté le 07-05-2009 à 13:05:47    

effectivement j'y ai pensé mais je ne l'ai pas fait.. jvais faire le test :d


---------------
------------------------------------------
Reply

Marsh Posté le 07-05-2009 à 13:12:03    

bon ça fait la meme chose... saloperie d'isa server de merde :o


---------------
------------------------------------------
Reply

Marsh Posté le 07-05-2009 à 13:13:39    

Tu as redémarré les services après la modif ? car moi avec mon vieil ISA il faut les redémarrer après une modif de ce genre...


---------------
We must fight, injustice system ; have no right, injustice system
Reply

Marsh Posté le 07-05-2009 à 13:16:06    

[:gnub]
 
tu déconnes là :o


Message édité par djalex le 07-05-2009 à 13:16:37

---------------
------------------------------------------
Reply

Marsh Posté le 07-05-2009 à 13:17:43    

Bah non... imagine comment je galère avec ma bouze, sans parler des autorisations des sites  :pfff:


---------------
We must fight, injustice system ; have no right, injustice system
Reply

Marsh Posté le 07-05-2009 à 13:18:09    

ah !!!!
 
powned :o


---------------
------------------------------------------
Reply

Marsh Posté le 07-05-2009 à 13:20:41    

J'ai vu que dans l'onglet "nom public" tu avais mis l'ip de la patte wan de ton fw, essaie de mettre la patte de ta dmz, et je suppose que tu as une nat entre ta patte fw wan et fw dmz ?


Message édité par Jules418 le 07-05-2009 à 13:20:54

---------------
We must fight, injustice system ; have no right, injustice system
Reply

Marsh Posté le 07-05-2009 à 13:25:04    

ouaip je vais essayer mon colonel


---------------
------------------------------------------
Reply

Marsh Posté le 07-05-2009 à 13:29:57    

Bah vi car normalement ton ISA ne voit pas ta patte wan... donc ça peut pas marcher...


---------------
We must fight, injustice system ; have no right, injustice system
Reply

Marsh Posté le 07-05-2009 à 13:32:06    

Meme punition :o


---------------
------------------------------------------
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed