Salut à tous    
 
j'ai un soucis avec ce mlfdkgùmdkjgùsmkj de Isa server 2006 ...
 
j'explique :
 
je cherche à faire du OWA via un Isa server en mode 1 carte réseau donc (Hote local + reseau interne + externe)
 
cet isa server est sur une DMZ et doit venir discuter avec un serveur de messagerie exchange 2003 dans le lan.
 
Le système de publication de site web pour exchange fonctionne car quand je test la regle, il voit bien mon serveur exchange et les répertoires associés.
 
Par contre quand je fais une demande du wan vers mon IP publique (NAT vers mon adresse IP DMZ), Isa server ne veut pas utiliser ma publicatoin web et donc ma demande se retrouve bloqué....
 
J'arrive pas à comprendre pourquoi isa server ne prend pas ma publication OWA... ça a déja fonctionné puis connaissant microsoft, j'ai eteinds puis redemarré la machine... forcement, ça n'a plus fonctionner depuis
 
si quelqu'un a une petite idée !!!  

Tu fais comment tu nates ton réseau hors dmz et ton fw nate l'isa ?

le truc c'est qu'avec une seul patte c'est un peu bidon ....

y a des schéma tout fait de FW reverse proxy via l'isa naté sur ton serveur exchange enfin iis en son certificat

salut
 
le probleme est que j'ai déja un FW type checkpoint donc isa server ne me sert que pour du reverse proxy ...
 
alors sinon pour tes questions :
 
on va faire un petit schéma :
 
 
Exchange ---- FW --- ISA server
                      |
                   internet
 
 
voici les IPs fictives bien entendu
 
Exchange : 172.16.5.12
FW patte interne : 172.16.1.254
FW patte DMZ : 192.168.20.254
Isa server : 192.168.20.2
FW patte WAN : 193.252.19.4
 
ce que je fais c'est du nat statique entre ma patte FW wan vers mon serveur isa server pour que l'adresse IP wan soit utilisable.
 
bien evidemment le http est autorisé entre isa server et ip wan mais aussi avec serveur exchange en lan

Les logs ISA disent quoi pour les requetes owa que tu fais depuis l'exterieur ?

il ne voit pas la requete owa et part directement en acces refusé (la dernière règle en clair..)
 

C'est que la demande qui arrive ne doit pas correspondre exactement a ta regle de publication : ecoute pas sur la bonne IP, url différente, sous-dossier par autorisé, pb de certificat...

Donc ,
 
2 choix,  
 
soit ma règle OWA ne fonctionne pas (pourtant tester avec le bouton "Tester la règle" et tou fonctionne.
 
Soit mon port découte listener OWA ne fonctionne pas !!!!  

 
 
Pour ne pas me prendre la tete avec les certificats au début, je passe en http tout court

Je suis pas sur que ce soit spécialement une bonne idée, au dela de la sécu du https, avec les certificats au moins ce genre de publication ne permet pas l'a-peu-pres.

je suis daccord mais au moins j'enleve dabord un probleme sans le https...
 
si déja ça ne fonctionne pas avec le http
 

enfin bon jcontinuerai demain

Est ce que OWA marche à partir de ton LAN ?
Tu as quoi comme message d'erreur quand tu essaies depuis l'externe ?x
As-tu essayer de l'attaquer via l'ip plutôt que le fqdn ?
Tu as combien de serveur Exchange ? Théoriquement 2 mini ?

Ouais je regarderai le web listener, la tab From, celui qui dit les rep à translater

 
 
oui il fonctionne nikel
 
le site via le wan est attaqué déja par l'adresse IP du style http://193.252.19.4/exchange
un seul serveur exchange ....
 
 
 

 
 
ouaip j'ai déja commencé à regarder au niveau du port d'écoute mais il n'y a pas grand chose..
 
je vais mettre des photos d'écran

Déjà je serais toi je mettrais un frontal dans la DMZ... bien sur faut le budget...
j'ai bien l'impression que c'est une histoire de port, as-tu essayer de te monter un iis vite fait sur ton lan et voir si tu y accèdes depuis l'extérieur ?
C'est dès que tu tapes l'adresse que tu te fais jeter ? C'est le message d'erreur sous IE ?

allez zou :
 
pour le port d'écoute web : http://dl.free.fr/pz5zfQ4l9
 
pour la regle OWA : http://dl.free.fr/jAqFQsf3g
 
Merci à vous

 
 
   si je mets ISA serveur en DMZ, c'est justement pour ne pas attaquer mon lan en direct du wan
 
Message d'erreur IE comme quoi il ne voit rien du tout .. il ne peut pas afficher la page web, forcement Isa server bloque la demande

Je suis en train de regarder, déjà sur ton 2ème screen y'a ..local donc une coquille    
 

Pour moi la bonne conf serait de ne pas passer par le proxy, mettre le frontal en dmz qui discute avec ton dorsal en lan... le tout sécurisé bien sur  
 
 
Edith me dit que je croyais que ton ISA ne faisait pas firewall ??? tu as mis quoi comme règle de routage ?

 
sur quel fichier    
 

 
Il ne fait pas Firewall .. je l'ai mis en mode 1 carte réseau ...  
 
ps: enfin je pense.. isa server et moi ça fait 3  
 
jsuis plutot checkpoint

Dans règle firewall isa, 2ème screen c'est écrit exchange.dada..loc  

ben voui .. il me demande le serveur lan
 
la redirection quoi !!!

Y'a 2 points dans l'adresse du serveur ???????????????????
Il faut que tu créés un règle de routage (pas au niveau du firewall) pour toutes les demandes de l'extérieur vers owa

 
 
nan mais jules, tu crois pas que je mets les vrais adresses quand meme!!!
 
exchange.dada.loc est un exemple ... osef du ..
 
la regle de routage doit etre faite sur ISA server ???

Me doutais bien mais on ne sait jamais...
Oui règle de routage sur le serveur ISA pour acheminer les requêtes externe vers owa, moi chui en 2000 en fait donc bon peut pas trop t'aider la dessus car ce n'est pas du tout la même interface, par contre google pourra peut être  

Ca foire certainement dans l'onglet "A" de ta regle ISA :
- vire le /exchange de l'adresse du site
- ça peut marcher, mais c'est tres curieux de mettre le nom DNS en nom réel de l'ordinateur alors que tu mets l'IP dans l'adresse locale du site
- tu dis a ton isa de transmettre l'URL d'origine demandée par le client au IIS hebergeant OWA : t'es sur que le site ou est OWA sur ce IIS est configuré pour répondre aux demandes arrivant avec l'IP publique dans l'host header ?

 
oui car cela a déja fonctionné... mais suite à un redémarrage de isa server, ça n'a plus fonctionné

 
Le port découte plus la regle OWA sont justement là pour cela !!! non ???

Je pense oui mais bon je te dis 2006 connais pas
Par contre au lieu de /exchange essaie de mettre /*

effectivement j'y ai pensé mais je ne l'ai pas fait.. jvais faire le test

bon ça fait la meme chose... saloperie d'isa server de merde

Tu as redémarré les services après la modif ? car moi avec mon vieil ISA il faut les redémarrer après une modif de ce genre...

 
tu déconnes là

Bah non... imagine comment je galère avec ma bouze, sans parler des autorisations des sites  

ah !!!!
 
powned

J'ai vu que dans l'onglet "nom public" tu avais mis l'ip de la patte wan de ton fw, essaie de mettre la patte de ta dmz, et je suppose que tu as une nat entre ta patte fw wan et fw dmz ?

ouaip je vais essayer mon colonel

Bah vi car normalement ton ISA ne voit pas ta patte wan... donc ça peut pas marcher...

Meme punition