none
Exchange SBS 2011 standard problem s CA

    Dotaz

  • Dobry den,

    uz asi 3 tydny se trapim s vlastni CA nacetl jsem spousty litratury, ale uz doopravdy nevim co delat.

    Mam nastaveny exchange na ktery se mi dokazou pripojit lidi s iphone, tez se tam dokazi pripojit lidi s outlook for mac 2011. Bohuzel lide s operacnim systemem Windows 7, kteri maji klienta outlook 2010, tak se nedokazi pomoci outlook anywhere pripojit.

    Certifikat serveru jsem ze serveru vyexportoval a nasledne rozdistribuoval do vsech stanic ( 2 pocitacu, ktere nejsou v domene). Importoval jsem ho do korenovych certifikaku -> To doufam, ze je spravne.

    Nasledne jsem si v Exchange consoli vygeneroval zadost o certifikat, kterou jsem si na serverom CA "ztvrdil" s sablonou pro webovy server.

    Detaily certifikatu: Vystavitel: <Nazev_serveru-CA>, Vystaveno pro : <mail.***.cz>, dale pak v podrobnostech je v alternativni nazvu dany DNS nazev pro: mail.***.cz, ***.local, atd.  , algoritmus podpisu sha1RSA, nazec sablony Webovy server...

    Kdyz tento certifikat vyexportuju ze serveru do klientskych pocitacu, abych se spojil se sluzbou outlook anywhere, tak se mi outlook 2010 nedokaze pripojit na server ( myslim si, ze je to kvuli neuspesnemu navazani sifrovaneho kanalu, jinak me uz nic jineho nenapada) --> nakonec po dlouhe dobe ( 15 -20s )nabihani se me to zepta na prihlasovaci udaje, ktere kdyz zadam, tak mi to nakonec napise, ze outlook schranka je off-line.

    RPC mi na serveru bezi to uz jsem zkousel.

    28. ledna 2014 11:05

Odpovědi

  • Panove tak dekuji za podporu, nicmene to bylo v te "nejtrapnejsi" veci a to tedy v jednom zakliknuti. Lide z te firmy na me tlacili, abych jim zprovoznil aspon outlooky ( nechal jsem jim pristup pres OWA), takze jsem se rozhodl spustit IMAP a bokem na virtualu rozjet image serveru. Nicmene pri zprovoznovani IMAPu, tak jsem zjistil, ze ma byt v Server Configuration -> Receive connectors, zaskrtnuto v Authentication  zakladni overovani cimz jsem sice zprovoznil IMAP... Nicmene v tu chvili jsem si uvedomil, ze na outlook anywhere se dalo nastavit zakladni overovani nebo overovnai NTLM a ejhle vse funguje :D
    30. ledna 2014 22:07

Všechny reakce

  • Jeste bych dodal, ze OWA mi funguje a mam ji overenou v prohlizeci jako duveryhodne, ale ten outlook anywhere se nechce rozebhnout
    28. ledna 2014 13:57
  • - Zkusil bych nastavit ten Outlook účet,aby se připojoval pouze přes HTTP (jestli je to opravdu tim certifikatem)

    - Kdyz jsem ja kopiroval certifikat sve CA na PC mimo domenu, pridaval jsem je rucne do "duveryhodne certifikacni autority" ne do korenovych certifikatu - nevim,nema to treba vliv? 

    -Mas spravne nastavene IIS?  Chtelo by to asi nejake logy.. :) 

    29. ledna 2014 4:18
  • IIS mam "doufam" nastavene spravne, na port 443 jsem pro SSL nastavil ten muj certifikat, tak doufam, ze to jsem ucinil spravne.

    Logy vyselektuje a postnu :)

    Pripojeni pres http nebude mozne, ne ? Na serveru mam vyzadovano zakladni overeni a to mi v outlooku vyzaduje https, ale mozna pisu blbosti jsem povolanim sitar a 4 tydny zpet jsem o exchange jeste nic nevedel, tak neznam vsechny moznosti a navic do Internetu se mi moc neche posilat heslo v plain-textu.

    Uz jsme zkousel i odchytat komunikaci pomoci wireshark a desifrovat ji pomoci certifikatu a tam jsem narazil na jeden error, ale nedaval mi moc smysl. Tu je: 503 RPC Error: 6ba

    29. ledna 2014 9:46
  • certifikát se nastavuje v SBS konzoli. pokud to děláš jinde spousta věcí se nenastaví tak jak má a jak s tím SBS počítá. je tam na to průvodce, nastaví to celé sám a je to otázka pár kliknutí. podívej se na to a zkus to přes průvodce.

    dále co bych ti doporučil je spíše použít certifikát od důvěryhodné externí certifikační autority, zadarmo můžeš mít certifikáty od StartSSL CA. viz moje návody

    http://www.michalzobec.cz/startssl-ssltls-certifikat-nejen-pro-exchange-server-zdarma-2130

    http://www.michalzobec.cz/jak-nainstalovat-certifikaty-startssl-do-microsoft-windows-phone-7-5-2320

    pokud jsou ty stroje v síti, SBS si ty certifikáty distribuuje sám. do strojů mimo síť SBS serveru musíš strkat do kontejnetu důvěryhodné certifikační autority.


    Michal Zobec | IT Consultant, Lightning Group Company | Michal Zobec Blog | Virtuální PC Blog | Můj profil na LinkedIn
    V případě, že se vám zdají moje příspěvky užitečné, označte je prosím.
    Pokud vám moje příspěvky poskytly řešení vašeho problému, označte je jako odpovědi.

    30. ledna 2014 5:09
  • Panove tak dekuji za podporu, nicmene to bylo v te "nejtrapnejsi" veci a to tedy v jednom zakliknuti. Lide z te firmy na me tlacili, abych jim zprovoznil aspon outlooky ( nechal jsem jim pristup pres OWA), takze jsem se rozhodl spustit IMAP a bokem na virtualu rozjet image serveru. Nicmene pri zprovoznovani IMAPu, tak jsem zjistil, ze ma byt v Server Configuration -> Receive connectors, zaskrtnuto v Authentication  zakladni overovani cimz jsem sice zprovoznil IMAP... Nicmene v tu chvili jsem si uvedomil, ze na outlook anywhere se dalo nastavit zakladni overovani nebo overovnai NTLM a ejhle vse funguje :D
    30. ledna 2014 22:07