none
duda certificado para OWA, Autodiscovery y Anywhere RRS feed

  • Pregunta

  • Hola,

    en la empresa tenemos configurado el certificado miempresamail.com para el acceso al OWA,IMAP; POP..es decir para todo usamos el mismo certifiacdo.

     
    la configuracion dns es la siguiente:

    configuración de OWA:miempresamail.com apunta a una direccion publica(80.x.x.x)
    configuración en outlook: apunta a una ip privada (del cluster)


    el problema es que con esta configuración funciona bien el OWA pero deja de funcionar el cliente Outlook porque como miempresamail.com apunta a ip publica pero en cambio los clientes Outlook apuntan a una ip privada el certificado da error y no se abre Ouitlook correctamente.


    Es aconsejable pedir un nuevo certificado para el autodiscovery?

    También queremos configurar la función de "Oulook Anywhere " no se si ya no serviria el mismo certifiacdo del owa, del autodiscovery o el autofirmado de Exchange o aparte es necesario otro.

    gracias
    miércoles, 28 de octubre de 2009 9:45

Respuestas

  • Hola,
    por el certificado puedes usar el mismo, pero yo aun no entiendo unas cosas..

    1) exactamente el nombre del certificado publico es hecho solo de dos nombres? ejemplo impresa.es o de tres como mail.impresa.es ?
    2) porque has escrito el comando Set-ClientAccessServer usando una maquina hub?
    3) puedes ejecutar este comando y escribir aqui el risultato? Get-ClientAccessServer | fl


    Mitch
    Microsoft Exchange MVP | MCSE | MCITP | MCT
    http://blogs.dotnethell.it/mitch
    http://www.windowserver.it

    jueves, 29 de octubre de 2009 20:24
    Moderador

Todas las respuestas

  • Buenas,
    este certificado miempresamail.com de donde llega? Es autofirmado? Llega desde una CA interior? Lo has comprado ?
    Cuando dices que "configuración en outlook: apunta a una ip privada (del cluster)" que significa?
    En el outlook que has puesto como direccion? miempresamail.com? la IP del servidor?
    Cual es tu tipologia de cluster?
    Si quieres utilizar tambien el servicio de autodiscovery, es aconsejado utilizar un certificado SAN.
    Si no aqui hay otra forma para utilizar dos certificados diferentes:
    http://msexchangeteam.com/archive/2007/04/30/438249.aspx

    Saludos.

    Mitch
    Microsoft Exchange MVP | MCSE | MCITP | MCT
    http://blogs.dotnethell.it/mitch
    http://www.windowserver.it

    miércoles, 28 de octubre de 2009 13:35
    Moderador

  • nuestra topologia es:
    (nombre-equipo-cluster.empresa.com ) dentro hay 2 nodos:
                                        maquina-fisica.empresa.com   (w2003 con CCR)
                                        maquina-virtual.empresa.com (w2003 con CCR)


    el certificado "miempresamail.com" es un certificado comprado a Verisign que es el que hemos utilizado para sustituir el autofirmado de Exchange.
    Actualmente lo tenemos importado par atodos los servicios de Exchange (en la raiz)


    configuración de Outlook
    cuando configuro una cuenta en Outlook, automaticamente (por autodiscovery) coge los siguientes valores:

    servidor de Exchange: nombre-equipo-cluster.empresa.com


    Configuración registros DNS
    nombre-equipo-cluster.empresa.com : resuelve una ip interna  (192.x.x.x)
    miempresamail.com                         : resuelve una ip externa (80.x.x.x)



    Nosotros queremos tener acceso a OWA por el exterior (ip publica) y correo Outlook por el interior (ip interna), aparte tambien queremos la configuración Anywere..todo esto nos crea una confusión de los certificados que realmente son necesarios.



    miércoles, 28 de octubre de 2009 14:47
  • Bueno, creo que OWA y Outlook Anywhere no tienen problema, correcto?
    El problema esta solo en el Outlook con MAPI, correcto?
    El mensaje de error que sale, que dice exactamente?
    Dice que busca un certificado para autodiscover.empresa.com ?
    Mitch
    Microsoft Exchange MVP | MCSE | MCITP | MCT
    http://blogs.dotnethell.it/mitch
    http://www.windowserver.it
    miércoles, 28 de octubre de 2009 16:49
    Moderador
  • El OWA no tiene problema,funciona correctamente.

    Dudas
    - El Anywhere todavia no lo he probado y tengo la duda de si para Anywhere se necesita un certificado aparte o puede ser el mismo que el del OWA.
    - Con el correo interno también tengo la duda de si se debe utilizar un certificado aparte, sirve el autofirmado de Exchange o el mismo del OWA...
     

    el problema actual
    Cuando abro el Outlook el mensaje que me salta es :

    la tipica ventana con el titulo "Conectar a miempresamail.com" (es decir el certificado de Verisign), es como si este certificado no fuera el correcto para el Outlook (o el autodiscovery).. de hecho el nombre del certificado no coincide con el nombre del servidor interno de exchange ya que como he comentado la configuración de Outlook apunt a la ip interna del cluster NO a miempresamail.com

    he encontrado un caso parecido:


    http://social.technet.microsoft.com/forums/es-ES/exchangees/thread/8bb26c08-df78-4d0c-839f-418deda78fd2/


    El certificado lo importé asi:

    Import-ExchangeCertificate -Path c:\Certificado\miempresamail.p7b |Enable-ExchangeCertificate -Services IMAP,POP,UM,IIS,SMTP



    El certificado lo instalé asi:
    (quizás el primero no le deberia haber instalado o deberia haber instalado uno distinto como el autofirmado)

    Set-ClientAccessServer -Identity maquina-HUB-Transport -AutodiscoverServiceInternalUri https://miempresamail.com/autodiscover/autodiscover.xml



    Set-WebServicesVirtualDirectory -Identity "maquina-HUB-Transport\EWS (sitio web predeterminado)" -InternalUrl https://miempresamail.com/ews/exchange.asmx


    Set-OABVirtualDirectory -Identity "maquina-HUB-Transport\oab (sitio web predeterminado)" -InternalUrl https://miempresamail.com/oab



    Set-UMVirtualDirectory -Identity "maquina-HUB-Transport\unifiedmessaging (sitio web predeterminado)" -InternalUrl https://miempresamail.com/unifiedmessaging/service.asmx



    • Editado SistemasEx jueves, 29 de octubre de 2009 9:07 certifiacdo instalado
    jueves, 29 de octubre de 2009 8:28
  • Hola,
    por el certificado puedes usar el mismo, pero yo aun no entiendo unas cosas..

    1) exactamente el nombre del certificado publico es hecho solo de dos nombres? ejemplo impresa.es o de tres como mail.impresa.es ?
    2) porque has escrito el comando Set-ClientAccessServer usando una maquina hub?
    3) puedes ejecutar este comando y escribir aqui el risultato? Get-ClientAccessServer | fl


    Mitch
    Microsoft Exchange MVP | MCSE | MCITP | MCT
    http://blogs.dotnethell.it/mitch
    http://www.windowserver.it

    jueves, 29 de octubre de 2009 20:24
    Moderador