none
SBS2003 e certificato per OWA

    Domanda

  • Ciao a tutti.

    Ho un piccolo problema con un installazione sbs2003.

    Il certificato autocreato dallla procedura guidata connessione ad internet e' errato e vorrei ricrearlo.

    Quando rifaccio la procedura il server comunica la creazione del certificato ma il certificato e' sempre lo stesso.

    Il nuovo certificato mi server per configurare outlook su https.

    Come faccio a ricreare in modo corretto il certificato?

    Per spiegarmi meglio, la prima volta che ho creato il certificato ho scritto serverlocale.dominio.it ma il dominio non e' pubblico.

    E quindi, dopo aver letto i vostri interventi precedenti, non ho trovato la soluzione per ricreare il certificato in modo corretto.

    Un grazie anticipato a tutti quelli che mi potranno aiutare.

    domenica 7 novembre 2010 18:20

Risposte

  • Su quei client, nel file hosts, puoi impostare IP = nome ovvero

    xxx.xxx.xxx.xxx = serverlocale.dominio.it

    A quel punto quelle macchine risolveranno il nome del certificato sull'indirizzo che tu vuoi, senza dare errori.

    Attenzione perchè si tratta di una impostazione statica, quindi quei PC risolveranno SEMPRE serverlocale.dominio.it con xxx.xxx.xxx.xxx

    Il file hosts lo trovi in C:\Windows\System32\drivers\etc\

    Da editare con notepad o similare


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 8 novembre 2010 09:55
  • Allora volevo fare un riassunto sulla problematica affrontata.

    Primo problema: Certificato per un server con indirizzo privato e intestazione del tipo "serveraziendale.dominio.it".

       La soluzione al problema e' stata quella di modificare il file hosts per indicare al Browser l'utilizzabilità del certificato. FUNZIONA!

    Secondo Problema: IIS Sito web predefinito Protezione.

       Ho protetto tutto il contenuto di "Sito web predefinito con i parametri standard quindi, "PERMESSO" Gruppo server ed indirizzo    127.0.0.1.

       In questo modo da internet tutto e' protetto.

       Ho rimosso i filtri sugli IP solo per il servizio "RPC" necessario al collegamento di outlook exchange su protocollo HTTPS.

       Ho rimosso i filtri su "MICROSOFT-SERVER-ACTIVE-SYNC" necessario al funzionamento della funzione Push Mail per IPHONE.

     

    Fatto varie prove tutto il resto e' protetto e funziona.

    Vorrei ringraziare tutti per le risposte e, ho letto che qualcuno ringrazia per il FeedBack come faccio??

    Grazie a tutti.

    martedì 9 novembre 2010 14:06

Tutte le risposte

  • tu hai anche un dominio internet che si chiama dominio.it ?

    oppure solo il tuo dominio windows si chiama dominio.it ?

    chi deve accedere ad OWA dall'esterno utilizza solo clients di dominio o anche pc pubblici qualsiasi ?


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 8 novembre 2010 07:34
    Moderatore
  • Ho un dominio internet che si chiama dominio.it ma non e' legato al server e per evitare problemi con il dominio Internet che viene gestito da terzi, volevo poter puntare al server exchange con indirizzo tipo https://xxx.xxx.xxx.xxx

    Questo mi serve solo per configurare Outlook su alcuni portatili tramite il protocollo HTTPS.

    Adesso avendo nella crezione guidata connessione ad internet inserito "serverlocale.dominio.it" , outlook non recupera la posta di exchange comunicandomi un incoerenza con il certificato "il certificato presentato dal sito web contiene errori".

    Infatti io punto all'indirizzo https://xxx.xxx.xxx.xxx, ed il certificato invece contiene "serverlocale.dominio.it".

    Grazie per la risposta EDOARDO.

     

    lunedì 8 novembre 2010 09:42
  • Su quei client, nel file hosts, puoi impostare IP = nome ovvero

    xxx.xxx.xxx.xxx = serverlocale.dominio.it

    A quel punto quelle macchine risolveranno il nome del certificato sull'indirizzo che tu vuoi, senza dare errori.

    Attenzione perchè si tratta di una impostazione statica, quindi quei PC risolveranno SEMPRE serverlocale.dominio.it con xxx.xxx.xxx.xxx

    Il file hosts lo trovi in C:\Windows\System32\drivers\etc\

    Da editare con notepad o similare


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 8 novembre 2010 09:55
  • Ho fatto quanto detto da FABRIZIO e ho ottenuto un primo risultato, non mi viene segnalato nessun errore ma non riesco a scaricare la posta outlook exchange su protocollo https.

    Per collegare la casella mi sono connesso in vpn e me l'ha collegata.

    Successivamente ho disconnesso la vpn ed ho configurato i parametri avanzati di outlook.

    All'apertura outlook mi chiede nome utente e password della casella associata ma non si schioda di lì.

    Grazie.

    lunedì 8 novembre 2010 11:06
  • scusa ma non mi è chiaro.

    per usare Micorosft Outlook  come client di Exchange devi per forza usare l'rpc il che implica che, se il client proviene da internet, deve per forza usare una connessione vpn.

    cosa diversa è se pubblichi Outlook Web Access nel qual caso non usi Outlook ma semplicemente il browser per accedere all'interfaccia web esposta da Exchange.

    mi spieghi cosa vuoi fare tu ?

    ps: per bypassare il problema del certificato potevi anche richiedere un certificato che abbia come common name proprio l'indirizzo ip ma questo lo puoi fare se disponi di una tua Certification Authority.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 8 novembre 2010 11:12
    Moderatore
  • Quando ti colleghi in Otulook Anywhere (o RPC over HTTPS) l'unica interfaccia con cui devi parlare è il server "OWA".

    Se cerchi di aprire la posta da questo client (quelli con il file hosts modificato, per capirci) via OWA, utilizzando serverlocale.dominio.it, ti funziona ?


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 8 novembre 2010 11:16
  • Errore HTTP 403.6 - Operazione non consentita: l'indirizzo IP del client è stato rifiutato.Internet Information Services (IIS)

    Questo e' il messaggio che ricevo.

    Devo modificare i permessi su IIS??

    Ciaoe grazie.

     

    lunedì 8 novembre 2010 11:21
  • Più che i permessi, devi controllare i limiti che hai impostato sugli IP accettati....

    http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/128d26dd-decb-42f9-8efb-30724d1a2f29.mspx?mfr=true


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 8 novembre 2010 11:26
  • Errore HTTP 403.6 - Operazione non consentita: l'indirizzo IP del client è stato rifiutato.Internet Information Services (IIS)

    Questo e' il messaggio che ricevo.

    Devo modificare i permessi su IIS??

    ma tu hai firewallato il tuo IIS che pubblica OWA definendo dei range di ip consentiti e gli altri esclusi ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 8 novembre 2010 11:28
    Moderatore
  • Risposta per EDOARDO.

    Un mio cliente mi ha chiesto l'utilizzo di un iphone come client EXCHANGE.

    Ho configurato l'iphone con indirizzo ip pubblico nome utente e password della sua casella exchange, ed ha sincronizzato la posta senza alcun problema.

    Una ditta collegata a questo cliente ha configurato i portatili outlook senza collegare la vpn, ma tramite HTTPS.

    Adesso anche il mio cliente vuole questo tipo di configurazione.

    Ho spiegato che collegando la vpn ottiene lo stesso risultato ma lui vuole saltare questo passaggio.

    Per iphone, nessun problema (anche se a mio avissio e' strano avendo il problema del certificato...)

    Per quanto riguarda outlook sembra possibile utilizzando il protocollo HTTPS come tunnel dei dati + autenticazione.

    Grazie per la risposta!

    lunedì 8 novembre 2010 11:34
  • Rispondo ad entrambi.

    La configurazione di IIS e' standard, quella risultante da installazione SBS2003 + procedura guidata connessione ad internet.

    Non ho fatto nulla ma, leggendo i vostri articoli precedenti ho visto che IIS permette l'indirizzo del server e l' indirizzo 127.0.0.1.

    Non saprei cosa consentire e quindi come modificare questi permessi non impostati da me ma autoconfigurati.

    Se il client si connette tramite https quale indirizzo mi devo attendere???

    Grazie per le risposte.

    lunedì 8 novembre 2010 11:38
  • Risposta per EDOARDO.

    Un mio cliente mi ha chiesto l'utilizzo di un iphone come client EXCHANGE.

    Ho configurato l'iphone con indirizzo ip pubblico nome utente e password della sua casella exchange, ed ha sincronizzato la posta senza alcun problema.

    Una ditta collegata a questo cliente ha configurato i portatili outlook senza collegare la vpn, ma tramite HTTPS.

    Adesso anche il mio cliente vuole questo tipo di configurazione.

    Ho spiegato che collegando la vpn ottiene lo stesso risultato ma lui vuole saltare questo passaggio.

    Per iphone, nessun problema (anche se a mio avissio e' strano avendo il problema del certificato...)

    Per quanto riguarda outlook sembra possibile utilizzando il protocollo HTTPS come tunnel dei dati + autenticazione.

    Grazie per la risposta!


    io, per avere una situazione pulita, installerei una CA, creerei un certificato col nome che mi serve, passerei sull'iphone il root certificate della CA e solo a questo punto il certificato del web server sarà trustato sull'iphone e tutto dovrebbe andare liscio.

    ps: sto thread mi cade a fagiolo visto che vado a prenderrmi l'iphone oggi pomeriggio ;-)


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 8 novembre 2010 12:09
    Moderatore
  • @ZM-2000 : se i tuoi utenti si connettono da Internet, devi accettare (almeno sulla porta 443) qualsiasi indirizzio di origine

    @Edoardo : come, non ti prendi un Windows 7 Mobile ?

    P.S. su Iphone RPC over HTTPS va bene, già visto / provato :-)


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 8 novembre 2010 12:14
  • Per FABRIZIO.

    @ZM-2000 : se i tuoi utenti si connettono da Internet, devi accettare (almeno sulla porta 443) qualsiasi indirizzio di origine.

    La porta sul firewall e' aperta.

    Per quanto riguarda IIS mi sembra non ci sia la possibilità di stabilire nulla.

    O rimuovo i permessi iposti di default, oppure non posso ipostare criteri di sorta.

    Mi sembra di aver letto che i palmari utilizzino il permesso 127.0.0.1 quando si collegano alla push mail.

    Per quanto riguarda outlook su https non so, forse dovro rimuovere tutte le limitazioni dal servisio.

    Secondo voi qual'e' il servizio da aprire?

    RPC

    RPCWIThCERT

    REMOTE

    Boh.

    GRAZIE a TUTTI.

    (Probabilmente provero' anche con l'installazione di una Autorità di Certificazione interna per vedere cosa succede.)

    lunedì 8 novembre 2010 12:28
  • Mi sembra di aver letto che i palmari utilizzino il permesso 127.0.0.1 quando si collegano alla push mail.

    Stai PArlando di OMA.

    In questo caso ti serve la porta 80 oppure (MOLTO MEGLIO) la 443

    http://www.petri.co.il/configure_oma.htm

    E devono essere raggiungibili da Internet.

    Se il tuo firewall "maschera" gli indirizzi interni puoi allargare i filtri per far entrare solo l'ip del firewall, altrimenti any verso 443.

    Per i certificati, se usi quelli fatti da una tua C.A. , considera che le macchina non aziendali riceveranno l'errore di certificato non valido & non potranno usare RPC over HTTPS.


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 8 novembre 2010 12:41
  • @Edoardo : come, non ti prendi un Windows 7 Mobile ?

    perchè voglio diventare MVP di Apple :-PPPP

    ROTFL


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 8 novembre 2010 12:50
    Moderatore
  • perchè voglio diventare MVP di Apple :-PPPP

    No, ti voglio Apple Certified Technical Coordinator

    Anche i nomi delle certificazioni sono "stilosi" :-P


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 8 novembre 2010 13:12

  • <ZM-2000> ha scritto nel messaggio news:28f37663-cbc2-4d0b-ba02-f6dc655e8500@communitybridge.codeplex.com...

    Errore HTTP 403.6 - Operazione non consentita: l'indirizzo IP del client è stato rifiutato.Internet Information Services (IIS)

    Questo e' il messaggio che ricevo.

    Devo modificare i permessi su IIS??

    Si. Io ci ho sbattuto la testa la scorsa settimana, proprio su SBS2003.
    Vai nella gestione IIS - Siti Web - Sito Web predefinito
    Quindi vai su RPC (e/o su RPC with Cert se usi SSL)
    Pulsante DX - Proprietà - Protezione directory - Modifica controllo autenticazione e accesso
    Spunta "Autenticazione integrata di Windows"


    Skywalker Senior
    http://www.christianbisti.net/
    http://www.flickr.com/photos/skywalkersenior/

    lunedì 8 novembre 2010 15:54
  • Ho rimosso la limitazioni sugli ip nell'intera struttura di "sito web predefinito".

    Ho fatto la prova e con questa impostazione tutto funziona a meraviglia ma...

    Adesso tutti i servizi sono senza limitazioni.

    Come devo fare per rimettere le limitazioni di default????

    Spero ci sia un modo perchè senno'......

    Grazie.

    Non ho ancora capito qual'e' il servizio che viene utilizzato dall'IPHONE.

    Ho provato a ricreare la limitazione prendendo spunto da un'altro server che amministro ma.. secondo me ci sono alcune incongruenze.

    L'altro sito e' una pura installazione sbs2003 completa ma ha alcuni sevizi esposti in IIS e non so se sia corretto.

    C'e' la possibilita' di avere una lista per la corretta configurazione???

    GRAZIE A TUTTI!

    lunedì 8 novembre 2010 16:39
  • Puoi usare le IPSEC Policy per limitare l'accesso su IIS (ad esempio) solo alla porta 80 e 443

    http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/904d3234-18e1-45b3-b7c0-73e6586ea159.mspx?mfr=true

     


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 8 novembre 2010 17:09
  • Ho rimosso la limitazioni sugli ip nell'intera struttura di "sito web predefinito".

    Ho fatto la prova e con questa impostazione tutto funziona a meraviglia ma...

    Adesso tutti i servizi sono senza limitazioni.

    Come devo fare per rimettere le limitazioni di default????

    se rimetti le limitazioni sui range di indirizzi ip quell'iphone non si connetterà di nuovo perchè prende un ip dinamico da dhcp. devi lasciare libera la limitazione sugli ip.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 9 novembre 2010 10:58
    Moderatore
  • Allora volevo fare un riassunto sulla problematica affrontata.

    Primo problema: Certificato per un server con indirizzo privato e intestazione del tipo "serveraziendale.dominio.it".

       La soluzione al problema e' stata quella di modificare il file hosts per indicare al Browser l'utilizzabilità del certificato. FUNZIONA!

    Secondo Problema: IIS Sito web predefinito Protezione.

       Ho protetto tutto il contenuto di "Sito web predefinito con i parametri standard quindi, "PERMESSO" Gruppo server ed indirizzo    127.0.0.1.

       In questo modo da internet tutto e' protetto.

       Ho rimosso i filtri sugli IP solo per il servizio "RPC" necessario al collegamento di outlook exchange su protocollo HTTPS.

       Ho rimosso i filtri su "MICROSOFT-SERVER-ACTIVE-SYNC" necessario al funzionamento della funzione Push Mail per IPHONE.

     

    Fatto varie prove tutto il resto e' protetto e funziona.

    Vorrei ringraziare tutti per le risposte e, ho letto che qualcuno ringrazia per il FeedBack come faccio??

    Grazie a tutti.

    martedì 9 novembre 2010 14:06
  • Hai già dato il tuo feedback con questa risposta.

    Grazie


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    martedì 9 novembre 2010 14:08
  • Salve!

     

    Scusate riapro questo vecchio post, ma ho un problema simile, anche se relativo solo al collegamento di un iPhone e un Android che devono visualizzare la posta aziendale.

    Io ho un server SBS2003 quindi con Exchange 2003.

    Il problema è che in configurazione della posta exchange mi viene segnala l'errore "impossibile aprire la connessione al server". Eppure i dati inseriti sono corretti.

    Dal browser di Android posso collegarmi con OWA, anche se ogni volta mi viene segnalato l'errore di certificato (a proposito, come si fa a fargli installare il certificato definitivamente? Ho solo l'opzione "Continua".).

    Preso atto che OWA funziona, ma è scomodo, vorrei usare il client di posta previsto dai due telefoni.

    Cosa devo impostare in Exchanhe o ISA o che altro in modo da poter consultare la posta?

     

    Grazie

    Ciao

    Eugenio

     

     

     

     

    giovedì 24 febbraio 2011 11:37
  • Per configurare correttamente la connessione verso un Exchange sull'iPhone devi usare l'iPhone Configuration Utility che trovi qui http://support.apple.com/kb/DL926 mediante la quale puoi importare i certificati digitali corretti che ti servono sia per trustare la Certification Authority sia il certificato del web server vero e proprio oltre a fare tante altre cosucce utili.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    giovedì 24 febbraio 2011 12:04
    Moderatore