none
SBS 2008 + Exchange 2007 problem s anywhere

    Dotaz

  • Zdravím všechny, pži nasazení Exchange ve firmě jsem narazil na drobný rpoblém a nevím kde je příčina. Exchange funguje jak má až na klienta kterého chci připojit vzdáleně k exchange s užitím SSL. 

    na webu www.testexchangeconnectivity.com jsem otestoval konektivitu a ta hlásí problém ohledně certifikatu. Ten jsem generoval a obsahuje i vsechny pouzivane alternativni nazvy nize prikladam výpis.

    Testing RPC/HTTP connectivity.
      The RPC/HTTP test failed.
     
    Test Steps
     
    Attempting to resolve the host name kerio.kodis.cz in DNS.
      The host name resolved successfully.
     
    Additional Details
    Testing TCP port 443 on host kerio.kodis.cz to ensure it's listening and open.
      The port was opened successfully.
    Testing the SSL certificate to make sure it's valid.
      The SSL certificate failed one or more certificate validation checks.
     
    Test Steps
     
    ExRCA is attempting to obtain the SSL certificate from remote server kerio.kodis.cz on port 443.
      ExRCA successfully obtained the remote SSL certificate.
     
    Additional Details
    Validating the certificate name.
      The certificate name was validated successfully.
     
    Additional Details
    Certificate trust is being validated.
      Certificate trust validation failed.
     
    Test Steps
     
    ExRCA is attempting to build certificate chains for certificate E=daniel.kaps@kodis.cz, CN=mail.kodis.cz, OU=IT, O=Koordinator ODIS s.r.o., L=Ostrava, S=Ostrava, C=CZ.
      A certificate chain couldn't be constructed for the certificate.
     
    Additional Details
      The certificate chain couldn't be built. You may be missing required intermediate certificates.

    Prosím o pomoc s řešením. Díky

    středa 23. listopadu 2011 13:00

Odpovědi

  • Na tom počítači spusť MMC konzolu (Start - spustit - mmc)

    Zmáčkni Ctrl+M a přidej Snap-In certifikáty, přičemž ho musíš přidat pod účtem počítače.

    Jakmile to budeš mít hotové, tak se podívej, jestli má počítač uložený certifikát té certifikační autority v Důvěryhodné kořenové certifikační autority.

    Víc toho nevymyslíme:)

    středa 23. listopadu 2011 21:50
  • IMHO to bude stejne jako problemy s Remote Desktop Gateway.

    Jednak musi byt certifikat duveryhodny pro LOKALNI pocitac - jak pise J.Janata - spustit MMC certifikaty pro lokalni pocitac a CA root certifikat umistit mezi duveryhodne.

    Druhak musi byt umoznena kontrola CRL - bud  pomoci OCSP, nebo standardne umistenim CRL na verejne uloziste, ktere je napsane v SSL certifikatu.

    Je mozne, ze bude stacit to prvni.

    pátek 25. listopadu 2011 8:59

Všechny reakce

  • Ahoj,

    jaká certifikační autorita vydala ten certifikát? Pokud uživatelé nemají certifikát certifikaní autority, který vydala ten certifikát na svém PC, tak se jim bude zobrazovat error vždy. Řešením je používat certifikát od Thawte, Verisign, který je pro tyto účely asi nejvhodnější.

    středa 23. listopadu 2011 13:08
  • Ahoj, certifikat vydala certifikační autorita na serveru. Mám to jen na odzkoušení. Napadlo mne přidat serverovou certifikační autoritu do duveryhodných ale do outlooku se ani nepřihlásím a nejsme si jistý zda je právě problém jen v této věci. 
    středa 23. listopadu 2011 13:14
  • Ještě jednou ahoj, tak mám nové poznatky a jak jsi psal je chyba opravdu že outlook nechce akceptovat certifikat podpsaný CA doménovým serverem. Zkusil jsem se k exchange připojit z domu kde mám MAC a office 2011 pro MAC tam se mne při připojení zeptal zda chci duvěřovat certifikatu který nemůže ověřit po potvrzení vše funguje bez potíží. Čili otázka zní jde nějak Outlooku 2007 a 2011 přiřadit aby duvěřoval mé certifikační autoritě. Tak jako ve webovém prohlížeči? Např OWA takhle funguje bez potíží.
    středa 23. listopadu 2011 14:22
  • No může to být způsobeno tím, že ten Outlook si chce ověřit, že ten certifikát náhodou nebyl odvolaný. A to se pak na tom serveru musí nastavit OCSP respondér.

    Ještě levnější možností, než GoDaddy je StartSSL. Podporují sice SAN, ale není tam možné přidat lokální názvy. Jen více domén. Takže by jsi musel mít doménu s koncovkou cz atd, ale to zase není možné vytvořit na SBSku..

    Třeba takový Digicert to umožňuje bez problémů.

     

    A co napíše za hlášku? Já to tak používám bez problémů..

    Máš nastavený outlook pro použití funkce Outlook Anywhere? Musí to být povolené jak na Exchange tak v Outlooku.

    • Označen jako odpověď Danek_OV středa 23. listopadu 2011 20:23
    • Zrušeno označení jako odpověď Danek_OV středa 23. listopadu 2011 20:23
    středa 23. listopadu 2011 19:43
  • No při navázání spojení akorát outlook oznámí že spojení ze serverem nebylo navázáno.

    topologie je taková:

    server v lokální síti: server.firma.local

    externi DNS remote.firma.cz

    na serveru jsem si vytvořil SAN certifikat pro domeny server.firma.local, remote.firma.cz a server. Do prohlizece externim klientum nainstaloval duveryhodnou autoritu serveru. outlooky v doméně, OWA i RWW funguje bez potíží bez chyb certifikatu, včetně IMAP na SSH. nasatvení anywhere na serveru tak i na vzdáleném klientu mám (vynucení ssl připojení v proxy nasatvení, basic auth) i na serveru. Ale k připojení nedojde. Vyzkoušel jsem připojení k exchange na SSL z MAC outlooku 2011 kde s ezobrazila varovná stránka o neduveryhodném certifikátu ten jsem potvrdil a okamžitě bylo připojení k exchange navázáno. Z toho vyplívá že outlook odmítá příjmout ani neupozorní self-signed certifikat.

    Píšeš že tobě to tak funguje a to i na self-signed certifikatu? řekni mi jak :-D

     

     

    středa 23. listopadu 2011 20:31
  • Mám certifikační autoritu a ta vydává certifikáty. Přímo self signed to není, ale myslím, že mluvíme o tom samém. 

    Zabezpečení přihlašování do sítě mám Negonatiate.

    Na záložce připojení v nastavení Exchange účtu mám Připojit pomocí místní sítě (LAN) a pak mám zaškrtnuto Připojit k schránce...pomocí HTTP

    V proxy mám nastaveno:

    remote.domena.cz

    Zaškrtnuto SSL to podtím nemám zaškrtnuté.

     

    Pak mám ještě zaškrtnuté V pomalých sítích

    no a na závěr mám nastavené ověření NTLM

    středa 23. listopadu 2011 20:36
  • Natsavení máme shodné, zkoušel jsem i kombinace basic auth, NTLM atd a vše se stejným výsledkem. Když jsem SSL připojení k exchange zkoušel v lokální síti tak vše fungovalo jak má... Takže tam pořád vidím jako největšího škodníka ten neověřený certifikát a závislost outlooku.
    středa 23. listopadu 2011 20:48
  • Ještě můžeš zkusit spustit test konektivity - vedle hodin je ikona Outlooku - drž Ctrl+Alt a klikni na ní pravým tlačítkem a spusť automatické vyhledání. Jestli to něco najde...

    Jinak nevím, jestli ten log, co jsi sem postoval je pravý, protože na žádném z odkazů neběží exchange...

    středa 23. listopadu 2011 20:53
  • Nenašel nic.. No na exchange jsou povolené jen porty 443 pro anywhere,RWW  25 SMTP, a 993 IMAPSSL.

    Jak jsem již psal záhada je že  IMAP a SMTP jede, po schválení certifikatu mi je exchange na MACU. Jen ten win outlook ani za boha :-D už mi dochází fantazie a začínám být přesvědčen že to je opravdu tím certifikatem. Nebo by snad měly být povoleny jiné porty na FW?

    středa 23. listopadu 2011 21:17
  • nn, 443 by mělo stačit.

    Můžeš si vytvořit certifikát od StartSSL a vyzkoušet, jestli to s ním pojede. Pokud jo, tak je chyba v certifikátu.

    PS: je to fakt ten Self-Signed nebo je to certifikát vydaný autoritou na SBSku?

    středa 23. listopadu 2011 21:20
  • je to certifikat vydaný autoritou na SBS. no s tím startSSL nepochodím jelikož lokální adresa serveru je server.firma.local a veřejná je server.firma.cz takže tam mi zase bude hlásit chybu

     

    Certificate trust validation failed. to si myslím že asi mluví samo za sebe :-D

    • Upravený Danek_OV středa 23. listopadu 2011 21:23
    středa 23. listopadu 2011 21:22
  • povolil jsem vydávání SAN v SBS pak v MMC certifikaty vygeneroval novou žádost. do ktere jsem přidal další DNS názvy.

    A v certifikační aoutoritě jsem ho shválil a uložil.

    v IIS přidal nový serverový certifikat a vše šlape... krom anywhere :-D


    středa 23. listopadu 2011 21:32
  • tady opravdu nic nevyřešíme je to na 99% tím certifikátem. Pokud neexistuje zpusob jak dostat certifikační autoritu SBSka do duveryhodných vydavatelu v outlooku tak s tím nepohnu dokud nebude certifikat. Hold to se trochu nevydařilo :-)

    Z macu na officech 2011 to funguje úplně krásně :-)

    středa 23. listopadu 2011 21:47
  • Na tom počítači spusť MMC konzolu (Start - spustit - mmc)

    Zmáčkni Ctrl+M a přidej Snap-In certifikáty, přičemž ho musíš přidat pod účtem počítače.

    Jakmile to budeš mít hotové, tak se podívej, jestli má počítač uložený certifikát té certifikační autority v Důvěryhodné kořenové certifikační autority.

    Víc toho nevymyslíme:)

    středa 23. listopadu 2011 21:50
  • IMHO to bude stejne jako problemy s Remote Desktop Gateway.

    Jednak musi byt certifikat duveryhodny pro LOKALNI pocitac - jak pise J.Janata - spustit MMC certifikaty pro lokalni pocitac a CA root certifikat umistit mezi duveryhodne.

    Druhak musi byt umoznena kontrola CRL - bud  pomoci OCSP, nebo standardne umistenim CRL na verejne uloziste, ktere je napsane v SSL certifikatu.

    Je mozne, ze bude stacit to prvni.

    pátek 25. listopadu 2011 8:59
  • Pokud tedy dobře chápu tak problém by mohl být zřejmě zde:

    (Přístup k informacím úřadu)

    [1]Distribuční místo CRL

         Název distribučního místa:

              Jméno a příjmení:

                   URL=ldap:///CN=kodis-SERVER-CA,CN=SERVER,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=kodis,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint

                   URL=http://server.kodis.local/CertEnroll/kodis-SERVER-CA.crl

     

    kde "URL=http://server.kodis.local/CertEnroll/kodis-SERVER-CA.crl" odkazuje na lokální umístění pro počítače v lokální síti. Proto mi v lokalu vše funguje jak má.

    jelikož jsem se tímto okruhem nikdy moc nezabýval potřeboval bych trochu poradit jakým způsobem docílit aby zde byla veřejná adresa a případně to bude chtít i prostup na straně servu a portu 80 čili IIS?

    Předem moc díky

    Certifikat jsem přidal do duveryhodnych autorit, odzkoušeno to je jelikož stejný SSL na RWW i OWA funguje bez upozornění na stejném certifikátu.

    Když jsme se k anywhere připojoval přes VPN taky vše bez potíží. 

    • Upravený Danek_OV pátek 25. listopadu 2011 11:10
    pátek 25. listopadu 2011 11:07