none
Habilitar Outlook Anywhere para subdominio alterno Exchange 2010 SP1 RRS feed

  • Pregunta

  • Infraestructura actual:

    1 Servidor MB/CAS/HUB MB01 Exchange 2010 SP1

    1 Servidor MB/CAS/HUB MB02 Exchange 2010 SP1

    Ambos miembros del DAG con 1 sola BD en el grupo la cual incluye un mailbox de pruebas, esta base de datos tiene como CAS Server el MB02.

    Anteriormente teníamos solo 1 servidor MB/CAS/HUB  (MB01) y 1 CAS/HUB únicamente (MB02), recientemente este ultimo se le agrego el rol MB y se creo un DAG con una sola base de datos.

    Cuando solo teníamos 1 MB server MB01 usabamos un certificado para todos los servicios (OWA, Active Sync, ECP y OBA) y las URL's externas para el Outlook Anywhere apuntaban a mail.midominio.com y otro certificado para CAS y HUB en el servidor secundario MB02 sin URL's externas.

    Ahora que tenemos el DAG tenemos 1 base de datos activa en el servidor MB02 y un solo mailbox en esta base de datos. Se creo un subdominio mail2.midominio.com para los servicios externos de este servidor, habilite el Outlook Anywhere en este nuevo servidor apuntando a este nuevo subdominio pero ahora en mi Outlook me dice que hay un error en el proxy ya que el certificado no es valido para el nombre mail2.midominio.com, este servidor solo esta configurado como CAS Server de la base de datos que esta en el DAG, sin embargo el problema se extendió a todos los usuarios (incluso de las bases de datos que no están en ese CAS Server) al tratarse de conectar desde un red externa, el problema se corrigió fácilmente ya que al cambiar el proxy en outlook manualmente a mail.midominio.com, volvió a funcionar sin problema.

    La pregunta es si es correcto que los dos servidores tengan habilitado el Outlook Anywhere y si es correcto que apunten a diferentes subdominios, ademas entiendo que necesito crear un certificado nuevo que incluya en los SAN's el nuevo subdominio mail2.midominio.com pero esto implicaría revocar el certificado actual?

    Nota: los servicios como OWA, ECP y OBA apuntados a las URL's mail2.midominio.com funcionan correctamente, incluso el active sync funciona en mi celular al escribir este subdominio.

    Espero me puedan orientar un poco en mi duda.

    Saludos

    viernes, 5 de diciembre de 2014 23:46

Respuestas

  • Que tal gera,

    ¿Estas generando el certificado mediante tu CA internal?. Desde la consola de EMC de Exchange simplemente crea un nuevo request (.req) con los namespaces y despues continuas el proceso de generar el certificado (.cer) desde tu entidad certificadora. No olvides asignar los servicios (IIS,SMTP) a tu certificado. Posterior a esto podras eliminar el certificado viejo (revocarlo)

    Por ultimo no olvides actualizar el certificado en tu firewall si es que tienes alguna publicacion (ISA, Forefront) y validar que en DNS tengas un registro A que apunte al subdominio

    Saludos


    Saludos cordiales | Systems Integration Advisor | MCITP-MCSA-MCT-MVP


    • Editado Geovany Acevedo martes, 9 de diciembre de 2014 18:34 typo
    • Marcado como respuesta gera2010 martes, 9 de diciembre de 2014 20:18
    martes, 9 de diciembre de 2014 18:33
  • Hola Gera2010,

    Te recomiendo que navegues a la pagina de: https://testconnectivity.microsoft.com (ExRCA ) y realizes pruebas de Outlook Anywhere

    Referente a tu error del certificado de seguridad del servidor proxy. Por favor lee este articulo de Technet donde atacan este problema: https://support.microsoft.com/kb/923575?wa=wsignin1.0

    En el cual dan 3 posibles soluciones:

    Method 1: Examine the certificate

    Method 2: Install the trusted root certificate

    Method 3: Disable the third-party add-in or the third-party browser add-in

    Saludos


    Saludos cordiales | Systems Integration Advisor | MCITP-MCSA-MCT-MVP

    • Propuesto como respuesta Moderador M martes, 9 de diciembre de 2014 16:03
    • Marcado como respuesta gera2010 martes, 9 de diciembre de 2014 20:18
    martes, 9 de diciembre de 2014 4:20

Todas las respuestas

  • Hola Gera2010,

    Te recomiendo que navegues a la pagina de: https://testconnectivity.microsoft.com (ExRCA ) y realizes pruebas de Outlook Anywhere

    Referente a tu error del certificado de seguridad del servidor proxy. Por favor lee este articulo de Technet donde atacan este problema: https://support.microsoft.com/kb/923575?wa=wsignin1.0

    En el cual dan 3 posibles soluciones:

    Method 1: Examine the certificate

    Method 2: Install the trusted root certificate

    Method 3: Disable the third-party add-in or the third-party browser add-in

    Saludos


    Saludos cordiales | Systems Integration Advisor | MCITP-MCSA-MCT-MVP

    • Propuesto como respuesta Moderador M martes, 9 de diciembre de 2014 16:03
    • Marcado como respuesta gera2010 martes, 9 de diciembre de 2014 20:18
    martes, 9 de diciembre de 2014 4:20
  • Gracias por tus comentarios Geovany, ya he revisado ese articulo que mencionas y en efecto el detalle es que en mi certificado actual no aparece el subdominio mail2.midominio.com, de hecho al conectarme al RPC me marca un error que dice: "No se ha verificado la identidad de este sitio web, el certificado del servidor no coincide con la URL.

    Definitivamente es mi certificado, el detalle es que tengo un certificado de cuando solamente era CAS-HUB mi servidor, ahora que es MB y lo uso para el DAG y ademas todos los servicios de OWA, Active Sync, OAB y ECP las URL's externas las configure con el mail2.midominio.com, estos servicios si funcionan, sin embargo al habilitar Outlook Anywhere los usuarios que se conectan desde redes externas empezaron a experimentar este detalle, si deshabilito el Outlook Anywhere en el servidor secundario el error desaparece y el Outlook automáticamente utiliza mail.midominio.com como servidor proxy.

    Entiendo que necesito renovar el certificado y agregar a los SAN's el subdominio mail2.midominio.com, sin embargo al hacer el archivo .req en mi servidor y tratar de crear el archivo .cer en mi directorio activo, no me deja continuar, sabes si tengo que revocar el certificado actual para poder agregar este subdominio a los Subject alternative names?

    Saludos


    Regards, Gerardo

    martes, 9 de diciembre de 2014 18:27
  • Que tal gera,

    ¿Estas generando el certificado mediante tu CA internal?. Desde la consola de EMC de Exchange simplemente crea un nuevo request (.req) con los namespaces y despues continuas el proceso de generar el certificado (.cer) desde tu entidad certificadora. No olvides asignar los servicios (IIS,SMTP) a tu certificado. Posterior a esto podras eliminar el certificado viejo (revocarlo)

    Por ultimo no olvides actualizar el certificado en tu firewall si es que tienes alguna publicacion (ISA, Forefront) y validar que en DNS tengas un registro A que apunte al subdominio

    Saludos


    Saludos cordiales | Systems Integration Advisor | MCITP-MCSA-MCT-MVP


    • Editado Geovany Acevedo martes, 9 de diciembre de 2014 18:34 typo
    • Marcado como respuesta gera2010 martes, 9 de diciembre de 2014 20:18
    martes, 9 de diciembre de 2014 18:33
  • Gracias Geovany, es precisamente lo que me faltaba, solo para cerrar el tema, esta fue la guía exacta que seguí para crear el archivo .req en mi servidor y solicitar el certificado en mi entidad certificador: http://exchangeserverpro.com/how-to-issue-a-san-certificate-to-exchange-server-2010-from-a-private-certificate-authority/

    Saludos y gracias por el apoyo.


    Regards, Gerardo

    martes, 9 de diciembre de 2014 20:20
  • Gracias Geovany, es precisamente lo que me faltaba, solo para cerrar el tema, esta fue la guía exacta que seguí para crear el archivo .req en mi servidor y solicitar el certificado en mi entidad certificador: http://exchangeserverpro.com/how-to-issue-a-san-certificate-to-exchange-server-2010-from-a-private-certificate-authority/

    Saludos y gracias por el apoyo.


    Regards, Gerardo

    Hola Gera,

    ¡Genial!, me da gusto que haya quedado resuelto el problema. Aunque muchos de los blogs y foros son buenos, te recomiendo siempre utilizar documentacion oficial de MS (blogs, technet), ya que es mas facil que se olvide documentar un paso en otros articulos.

    Saludos amigo


    Saludos cordiales | Systems Integration Advisor | MCITP-MCSA-MCT-MVP

    martes, 9 de diciembre de 2014 20:26