externer Zugriff - Zugriff verweigert

Tom Scheuermann Als Antwort am 8 Feb. 2011 20:22

Hi Ben !

Wenn Du Deine Site einfach nur nach extern freigeben willst musst Du nicht unbedingt die Webanwendung erweitern (also eine zweite IIS Website einrichten). Das brauchst Du eigentlich nur wenn Du zwei unterschiedliche Authentifizierungsverfahren verwenden willst (z.B. intern Windows und extern Formularbasiert).

Für Deinen beschriebenen Fall sollte es genügen wenn Du dem SharePoint die externe Adresse beibringst (Stichwort "AAM, Alternate Access Mappings"). Entsprechendes findest Du in der Zentraladministration unter "Alternative Zugriffszuordnungen": Du wählst eine Webanwendung aus und fügst die vollständige Externe Adresse als "Internetadresse" hinzu, dann müsste es laufen. Im Prinzip geht es ja nur darum dem SharePoint beizubringen welche URL er beim Rendern von HTML in einen href eines Ankers schreiben soll....

Wenn Du die erweiterte Webanwendung trotzdem beibehalten willst stellt sich die Frage welches Authentifizierungsverfahren Du gewählt hast.
Im Falle von "Kerberos" musst die URL der zweiten Website ebenfalls als Service Principal Name registrieren (mit "Start -> Ausführen -> cmd und dann setspn.exe -?). Ich vermute mal das Dein IIS die Anmeldedaten die der Browser übermittelt nicht "entschlüsseln" kann ....

Grüße

Tom

Benjamin Helbig Als Antwort am 8 Feb. 2011 21:46

Hi Tom,

danke für deine Antwort. Die info war schonmal viel Wert. Aber die Alternate Access Mappings habe ich bereits eingerichte.t Hab in meiner Web App meine externe URI für die Zone Internet eingetragen.

Ich vermute allerdings dasselbe wie du, dass der IIS mit den Anmeldedaten nichts anfangen kann. Was ich nicht verstehe ist, wo ich das einstellen kann. Als Authentication Provider ist sowohl für die Zone Default als auch für die Zone Internet, Windows ausgewählt. Für die WebApplication sind ebenfalls beide Authenticatio Provider, also DEfault und Internet ausgewählt.

Ich kapier es nicht. Vor allem, was ich gar nicht verstehe, ich bekomm beim ersten Aufruf der Seite von extern die Loginabfrage. Nachdem ich mein Kennwort und mein Username eingegeben habe werde ich direkt auf Zugriff verweigert weitergeleitet. Wenn der IIS die Anmeldedaten nicht verifizieren könnte, dann bekomme ich normalerweise 3 mal die Möglichkeit User und PW einzugeben und nicht nur 1mal. Also scheint die Authentifizierung zu klappen.

Hast du noch eine Idee?

Lg

Ben

Wolfgang Heiser Als Antwort am 22 Feb. 2011 13:59

Hi Ben,

ich stehe vor derselben Geschichte wie du und komme nicht vorran.

In den AAM´s hab ich die öffentlich Adresse eingetragen, aber nach dem Authentifizierungsfenster lande ich bei 404.

Hast du schon was finden können?

vg

Wolfi

Benjamin Helbig Als Antwort am 25 Feb. 2011 21:47

Hi Wolfi,

naja, ich weiß zumindest woran es bei mir liegt :) Und zwar an der Port Umsetzung. Wenn ich den Sharepoint über das öffentliche DNS abfrage, also http://www.meinsharepoint.de werde ich auf http://111.111.111.111:0000 weitergeleitet. also quasi auf meine öffentliche IP und den Port auf dem der Sharepoint extern lauscht. Das der externe Port ein anderer als 80 ist, ist das Problem. Denn die Antwort die ich bekomme, bzw. die direkte Weiterleitung die dann passieren sollte ist, dass die default.aspx Site des Sharepoint geöffnet wird.

In der Browserzeile steht dann aber eben nicht http://111.111.111.111:0000/default.aspx so wie es sein sollte, sondern http://111.111.111.111/default.aspx . Und da läuft der normaler Webserver von Port 80. Das ist aber eine ganz andere Kiste und hier ist der Benutzer nicht erlaubt. Deshalb die 404. Ich hab noch keine Ahnung warum diese Adressumsetzung so läuft, bzw. wo das Problem ist. wenn ich direkt in den Browser die http://111.111.111.111:0000/default.aspx eingebe funzt alles.

Vielleicht hilft es dir ja.

Lg

Ben

Thomas Goelles Als Antwort am 3 März 2011 00:41

Hi!

Was mir auffällt:

Warum must du von Port 6082 auf 80 umsetzen auf deiner Firewall?

Ich nehme an du hast deine WebApp auf Port 6082, mit einer Erweiterung mit einem hostheader holst du sie ja sowieso auf Port 80. Dazu machst du ja den hostheader, damit der IIS die Aufrufe nicht anhand des Ports sondern am hostheader unterscheiden kann. So wie ich dein Setting jetzt verstanden habe, hast du http://HOSTHEADER:6082 auf http://SPS:80 gemapped. Das geht dann leider nicht.

Beschreib mal genau wie deine WebApp ausschaut bezüglich Erweiterung, hostheader und Port und welchen DNS Record du setzen hast lassen. 

Bsp:

http://sr-XXXX-2010:8888 ist unser Intranet. Ist intern so erreichbar. Diese WebApp wurde dann auf https://sps.solvion.net erweitert. Damit gibt es im IIS zwei WebApplications die auf den gleichen Content zeigen. Die eine geht über Rechnername:Port die andere über Hostname. Im DNS steht dann nur mehr hostheader zeigt auf die IP fertig. Ein Aufruf wird dann vom DNS an den Rechner weitergeleitet wo der IIS den https request, in unserem Fall 443, entgegennimmt und anhand des hostheaders der richtigen Application weitergibt. 

Bastelst du an einem Internet Auftritt? Weil du http angibst, solltest du aber ein Intranet deployen nimm bitte https!

Erik W Als Antwort am 6 Apr. 2011 09:06

Hi, das ist vielleicht total banal, aber daran bin ich gestolpert....

Wenn du im SP die anonyme authentifizierung aktivierst und/oder im IIS7 bei den Websites die Authentifizierung änderst, springt der Kerberos-haken bei der Authentifizierung raus. Wenn SP natürlich auf Kerberos eingestellt ist, wird jeglicher Zugriff verweigert.

Bei mir war folgendes die Lösung:

IIS-->die entsprechende Website-->Authentifizierung-->rechts gibts sowas wie erweitert-->den Haken setzen, wenn er raus sein sollte.

Das hat bei mir (im selben LAN) geholfen.