TLS Zertifikat auf Server 2016

  • Hallo zusammen,


    bei uns läuft FX12 seit einigen Jahren inklusive Sitecare auf einem Server 2008R2.


    Seit heute haben wir einen neuen Server (Server 2016 Essentials frisch installiert, anschließend den nicht benötigten IIS deinstalliert) und haben darauf ein frisches David FX12 installiert. Wir haben alles neu eingerichtet, um ein frisches System zu haben. Die Daten haben wir via Strongbox zurückgesichert.


    Soweit so gut.


    Nun nutzen wir auch Apple iOS Geräte (iPhone, iPad) und wollen diese per ActiveSync mit dem Server verbinden. Das klappt ohne SSL auch gut, wir nutzen hierfür aktuell den Port 81.

    Nun möchten wir die neue Funktion vom TLS Zertifikat nutzen, wo man sich im David ein Lets encrypt Zertifikat ausstellen lassen kann. Das erfordert bei der Einrichtung aber den offenen Port 80 für David, was man auch testen kann.

    PROBLEM: Der Port 80 ist durch Server 2016 belegt, netstat zeigt: PID4 belegt Port 80

    Ich habe den IIS schon deinstalliert, aber der Port ist weiterhin belegt.


    Der Port ist im Router für Tobit freigegeben, alles probiert, es klappt nicht.

    Ich habe dann in der Webbox.ini den Port 85 eingetragen und für HTTPS den Port 8443,
    da auch der 443 irgendwo vom frischen Server beansprucht wird.


    Was kann ich tun, damit Port 80 frei wird?

  • Ihre Hardware-Firewall muss den gewünschten Ports ein- und ausgehend auf die IP des David-Servers (=Windows Servers) durchlassen. Solange diese Port-Weiterleitung nicht explizit in der Firewall (meist identisch mit der Gateway-Hardware) eingetragen ist können darüber keine Daten fließen. Meist ist für jeden TCP-Port eine eigene Regel in der Firewall nötig.

    Während der Testphase sollte die Software-Firewall des Server-Betriebssystem komplett deaktiviert sein.

  • Hallo,


    wenn ich mich recht entsinne, muss der Tobit Server von aussen sowohl auf Port 80 als auch auf Port 443 erreichbar sein, wenn das Letsencrypt-Zertifikat erzeugt und verlängert werden muss; auf welchen Port der David Server intern lauscht, spielt keine Rolle - also ggf. eine asynchrone Portweiterleitung einrichten:

    Port extern 80 => intern 85 u. extern 443 => intern 443


    CU

    Barabas

  • Allerdings: Das aktuelle Rollout 297 ist problematisch! Ich erlebe Fälle, wo nach dessen Installation das bestehende selbst erstelle Zertifikat auf Smartphones nicht mehr akzeptiert wird. Folglich sind die Mails auf den Smartphones nicht mehr lesbar (iPhone).

    Abhilfe: Zurücksetzen der David Installation auf das vorherige Rollout. Danach lief bis jetzt alles wieder normal.

  • Leider funktioniert das so nicht, wie ich es gemacht habe. Das Deaktivieren von HTTP in der Registry macht zwar den Port 80 vom Server frei und ich kann diesen mit Tobit nutzen, das Lets encrypt Zertifikat einrichten usw., aber dann funktionieren andere Dinge am Server nicht mehr. Das fängt bei der Datenträgerverwaltung an und hört bei der Netzwerkkennung auf. Server 2016 benötigt das so...


    Nun habe ich das alles wieder aktiviert, der Server läuft rund und Port 80 ist natürlich wieder per PID4 vom Server belegt.


    Am sinnvollsten finde ich die Idee von barabas was ich nun mal eingerichtet habe, aber es klappt auch nicht.


    Beim Einrichten des Lets encrypt Zertifikats steht ja im Tobit-Admin, dass der Port 80 benutzt werden muss. Man kann dann auf "jetzt Testen" klicken und die Ports werden geprüft. Hier bekomme ich nun die Meldung "fehlgeschlagen" oder "falsches Modul".

    Ich habe nun, wie von barabas angeregt, folgendes gemacht, um der Prüfung den Port 80 nach aussen anzubieten:

    In der Webbox.ini habe ich folgende Einträge gemacht:
    Port = 8010

    HTTPSPORT=8443


    Im Router habe ich folgende Umleitungen eingerichtet:

    von aussen Port 80 --> 8010
    von aussen Port 443 --> 8443


    In der Firewall habe ich die Ports entsprechend als eingehende Regel eingetragen. (auch habe ich die Firewall
    mal testweise ganz abgeschaltet, gefolgt von einem Neustart des Servers)

    Alle David-Dienste neu gestartet und sicherheitshalber nochmal den ganzen Server.


    Der Monitor der webbox sagt "gebunden an Port 8010". Von aussen ist Tobit über den Port 80 -- > 8010 erreichbar.

    "jetzt testen" bei der Einrichtung des Lets encrypt Zertifikats meldet "Port 80: falsches Modul"


    Mit den oben genannten Einstellungen kann ich von aussen mit Port 80 auf den Server zugreifen:

    http://xxxx.tobit.net --> geht

    testweise den Port dazugetippt: http://xxxx.tobit.net:80 --> geht

    https://xxxx.tobit.net --> geht



    ios Geräte mit SSL --> geht


    Das Zertifikat wurde ja auch installiert, als ich HTTP in der Registry ausgeschaltet hatte. (was ja nun wieder an ist und die Ports sind umgeleitet)


    Ich frage mich nun, ob die automatische Zertifikat-Aktualisierung dann auch geht, weil das Problem unter "jetzt testen" eine Fehlermeldung beim Port 80 ausgibt. (falsches Modul) (siehe Bild im Anhang):





    Hat jemand eine Idee, wie ich das lösen kann. Wie bekomme ich das hin, dass die "falsches Modul" Fehlermeldung verschwindet?


    Viele Grüße, Matthias



    Was kann ich tun, damit das funktioniert???


    Vielen Dank und viele Grüße,


    Matthias

  • Schätze das wirst Du so nicht wegbekommen, da das Tool zum testen die Webbox auf Port 80 erwartet!

    Aber das sollte dennoch kein Problem sein. Versuche einfach nochmal das bereits erfolgreich installierte

    Zertifikat für diese Domain zu bestellen (Neues Zertifikat anfordern). Dann wirst Du sehen, ob das erneuern

    auch funktionieren wird.

    Soweit ich das gesehen habe, wird vor der Bestellung des Zertifikates die Verbindung zur Webbox geprüft.

    Schlägt das fehl, wird es Dir sofort angezeigt.

  • Das Deaktivieren von HTTP in der Registry macht zwar den Port 80 vom Server frei und ich kann diesen mit Tobit nutzen, das Lets encrypt Zertifikat einrichten usw., aber dann funktionieren andere Dinge am Server nicht mehr. Das fängt bei der Datenträgerverwaltung an und hört bei der Netzwerkkennung auf. Server 2016 benötigt das so...

    Nee, das hängt denke ich eher am Essentials. Mit Windows Server 2016 Standard hatte ich derartige Probleme bisher nicht. Schade in diesem Zusammenhang, dass es für kleine Netze keinen Foundation mehr gibt; beim Essentials kriegt man wie früher beim SBS seitens MS immer alle möglichen Funktionen mit reingewürgt.


    Ergänzend zu den anderen Vorschlägen: Was passiert denn, wenn du den IIS wieder installierst, dessen Standard-Webseite aber auf einen anderen Port konfigurierst? Ist dann 80 immer noch belegt?

  • Oh ja, sorry, hatte ich überlesen.


    Das einzige was ich mir in der Richtung mal notiert hatte war, dass auch ein ggf. installierter SQL Reporting Service den Port 80 blocken kann. Über den "Reporting Services Configuration Manager" lässt sich das ändern, man muss aber darauf achten, auch die URL im Report Manager (über "Advanced") entsprechend anzupassen.

  • Hallo nordtech, vielen Dank!!!


    Du hast mich auf den richtigen Lösungsansatz gebracht, es war zwar nicht der "Reporting Services Configuration Manager" aber es war der "Branch Cache" Ich habe diesen Dienst deaktiviert und der Port 80 sowie der 443 sind frei.


    Die David TLS Prüfung meldet OK.


    Jetzt schaue ich mal, wo man dem BranchCache evt. einen anderen Port zuweisen kann, bzw. ob ich etwas vermisse, wenn der deaktiviert bleibt.


    Merke: :-)
    Bei einem neu installierten Server 2016 Essentials folgendes tun, um Port 80 für Tobit zu bekommen:

    - Defaultwebsite im IIS auf Port 8080 setzen
    - Den Dienst BranchCache deaktivieren (bzw. anderen Port zuweisen)


    Hier noch eine Liste, welche Dinge Port 80 standardmässig beim Server belegen könnten:



    Known Windows Services That Listen on Port 80




    From Services Manager (run: services.msc), stop and disable these Windows Services which are known to bind to port 80.

    Double click Service, and change ‘Startup Type’ to ‘Disabled’…

    1. SQL Server Reporting Services (ReportServer)
    2. Web Deployment Agent Service (MsDepSvc)
    3. BranchCache (PeerDistSvc)
    4. Sync Share Service (SyncShareSvc)
    5. World Wide Web Publishing Service (W3SVC)
    6. Internet Information Server (WAS, IISADMIN)