locked
problème ActiveSync sur serveurs Exchange distants RRS feed

  • Discussion générale

  • Bonjour,

    je souhaiterais votre aide concernant un problème de publication ActiveSync sur Exchange 2010.
    Voici le détail de l'infra :

    - 1 domaine ActiveDirectory
    - 1 organisation Exchange
    - 1 site Principal avec tous les serveurs Principaux (DC, CAS)
    - plusieurs agences distantes avec serveurs Mailbox et DC pour utilisateurs locaux


    Sur le site principal, nous avons un cluster de 2 serveurs CAS ainsi que les Domain Controller principaux qui sont également Global Catalog.
    Nous y avons également déployé un serveru TMG 2010 SP2.
    Celui-ci est connecté à:
    - cluster CAS
    - serveurs DC/GC principaux

    Les utilisateurs du site Principal peuvent synchroniser leurs emails sur leurs mobiles.
    Les utilisateurs des sites distants ne peuvent pas synchroniser: sur le TMG nous recevons l'erreur "401 unauthorized".

    Nous avons également publié OWA sur le même TMG avec le même Listener: tous les utilisateurs (sites Primaires et Distants) peuvent se connecter sans problème.

    Selon vous quel serait le problème ?

    Merci d'avance pour votre aide !!
    vendredi 25 janvier 2013 10:53

Toutes les réponses

  • Est ce que les réseaux des vos sites distant sont bien déclaré comme réseau interne au niveau de votre TMG ?

    Car si ce n'est pas le cas, il ne va pas autoriser le traffic vers vos site distant et donc vos serveur Mailbox sur les sites distants.



    Cordialement Denis ECHE, Ingénieur Système-Réseaux. Mon Blog Si ma réponse vous a été utile, ou a permis la résolution de votre problème; merci de Voter ou de la marquer comme Utile.

    vendredi 25 janvier 2013 14:48
  • Bonjour,

    merci pour votre réponse.

    J'ai ajouté l'IP des serveurs distants dans le réseau "Internal" de TMG.

    De plus, j'ai demandé à faire ouvrir les flux suivants de TMG vers les serveurs distants : LDAP et HTTPS, est-ce bien correct ?

    J'attend que les flux soient ouverts désormais.

    Cependant, j'ai du mal à comprendre pourquoi nous aurions un blocage réseau pour ActiveSync alors que OWA  fonctionne bien avec n'importe quel utilisateur  ?

    • Modifié A_fredo vendredi 25 janvier 2013 15:22
    vendredi 25 janvier 2013 15:05
  • Effectivement je n'avais pas pris en compte ce point dans ma reflexion...

    A ce moment là il va falloir essayer de faire un peu d'analyse de log au niveau de TMG et voir pourquoi il bloque.

    Un autre outils qui peut remonter une source de l'erreur et l'outil de test de connectivité exchange : https://www.testexchangeconnectivity.com/

    Essayez ça donnera peut être un erreur plus parlante.


    Cordialement Denis ECHE, Ingénieur Système-Réseaux. Mon Blog Si ma réponse vous a été utile, ou a permis la résolution de votre problème; merci de Voter ou de la marquer comme Utile.

    vendredi 25 janvier 2013 15:35
  • Est ce que vous avez essayer de forcer l'utilisation d'active sync sur un client outlook. Avec un utilisateur connecté sur le réseau du site central  pour lequel la boite est hebergée sur un site distant. On sait jamais ça peut remonter peut être une erreur à ce niveau.


    Cordialement Denis ECHE, Ingénieur Système-Réseaux. Mon Blog Si ma réponse vous a été utile, ou a permis la résolution de votre problème; merci de Voter ou de la marquer comme Utile.

    vendredi 25 janvier 2013 18:17
  • bonjour,

    je n'ai pas la main pour créer un utilisateur de test et ensuite utiliser le site de que vous m'avez recommandé.

    je pense donc que j'aurais les informations seulement lundi.

    Concernant votre 2ème proposition, je ne savais pas qu'outlook utilise ActiveSync, j'étais resté à MAPI et RPC/HTTPS. Il y a une manipulation spéciale à faire sur le client Outlook ?

    vendredi 25 janvier 2013 18:23
  • Excusez moi c'est une erreur de ma part (j'ai fait un mix entre Activesync et HTTP/RPC). En fait il faudrait essayer avec un smartphone connecté sur le réseau du site central et avec un utilisateur. Comme ça, ça permet de valider que le pb est bien au niveau de TMG et pas sur un pb au niveau d'Exchange.
    Si vous avez déjà un compte que vous connaissez vous pouvez l'utiliser. Le site que je vous ai donné est un site microsoft et ne conserve pas les mots de passe.


    Cordialement Denis ECHE, Ingénieur Système-Réseaux. Mon Blog Si ma réponse vous a été utile, ou a permis la résolution de votre problème; merci de Voter ou de la marquer comme Utile.

    vendredi 25 janvier 2013 20:21
  • Bonjour, nous n'avons pas de connexion Wifi pour ce genre de test car tous nos utilisateurs utilisent une connexion 3G.

    Voici le résultat du test avec le site web. Hormis une erreur de certificat qui est normale car pas de certif signé, je ne vois absolument rien d'anormal : "http://hpics.li/513c416"
    • Modifié A_fredo lundi 28 janvier 2013 12:47
    lundi 28 janvier 2013 12:35
  • Est ce que c'est un test effectué avec un utilisateur du site central ou des sites secondaire ?

    Si c'est du site central est ce que vous pouvez faire le test avec un utilisateur du site secondaire ?


    Cordialement Denis ECHE, Ingénieur Système-Réseaux. Mon Blog Si ma réponse vous a été utile, ou a permis la résolution de votre problème; merci de Voter ou de la marquer comme Utile.

    lundi 28 janvier 2013 13:09
  • C'est un test effectué avec un utilisateur d'un site distant qui obtiens le message suivant sur son mobile: "Impossiblede relever le courrier. La connexion au serveur a échoué"

    J'obtiens toutefois le même résultat avec un utilisateur du site central qui accède bien à ActiveSync.

    lundi 28 janvier 2013 16:10
  • Ok.
    Vu la descriptif du problème je soupçonnerai plus un problème au niveau de la conf exchange que sur la partie TMG. Est ce que les utilisateur des sites distants ont bien la possibilité de faire de l'active sync ?

    Je vois qu'il y a des politique de sécurité qui sont paramétrable sur exchange 2010, est ce que vous pourriez vérifier un peu votre paramétrage à ce niveau là.


    Cordialement Denis ECHE, Ingénieur Système-Réseaux. Mon Blog Si ma réponse vous a été utile, ou a permis la résolution de votre problème; merci de Voter ou de la marquer comme Utile.

    lundi 28 janvier 2013 16:56
  • bonsoir,

    nous avons exécuté la commande de test ActiveSync sur un serveur Mailbox distant : "http://hpics.li/411a233"
    C'est notamment le serveur hébergeant mon utilisateur de test.
    Voici également les paramètres de la politique EAS : "http://hpics.li/499384e"
    Cette politique semble avoir les paramètres par défaut ?
    • Modifié A_fredo lundi 28 janvier 2013 17:32
    lundi 28 janvier 2013 17:29
  • Bonjour,

    comment fonctionne la connexion par OWA?

    Y a t-il la moindre alerte ? certificat ou autre? Sauf authentification mal configurée, dès que OWA fonctionne, tout le reste devrait fonctionner.

    Si les assistants TMG de publication Exchange ont été utilisés, il y aura une règle par protocole utilisé...

    On peut tester la connectivité de chaque règle (Bouton Test...).

    Y a t-il des serveurs Exchange, et des CAS sur chaque site? ont-ils été configurés comme sites Windows différents ?

    Si oui, il faut configurer différemment, les serveurs CAS du site principal (recevant les connexions Webs), et les serveurs CAS des autres sites.

    => Pouvez-vous nous indiquer cela plus précisément?

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013 (75 MCPs). https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://www.faqexchange.info

    mercredi 30 janvier 2013 14:28
  • Bonjour,

    Pour vous répondre point par point :

    1. OWA fonctionne très bien, quel que soit l'utilisateur, et avec le même Listener (authentification LDAP) que Exchange ActiveSync.
    Nous avons en effet un Warning sur le certificat non signé mais ça n'empêche pas le service de fonctionner.

    2. Oui les assistants TMG ont été utilisés pour publier OWA et EAS.

    3. Chaque règle a été testée et est parfaitement fonctionnelle via le bouton "Tester".

    4. Il y a sur le site principal 2 CAS/HUB et 2 MAILBOX pour les utilisateurs du site principal.

    5. Dans chaque agence distante, il y a un serveur qui fait : DC/GC/CAS/HUB/MAILBOX. Pour la question du "site Windows" je n'en ai aucune idée. Je reprend l'infra mais il me manque encore pas mal d'éléments. Où est-ce que je peux vérifier cela ? Le problème viendrait des sites Windows ?? Pourtant OWA fonctionne à merveille.

    6. Les DC/GC de chaque agence sont une réplique des DC/GC du site principal, donc un utilisateur peut s'authentifier sur n'importe quel serveur.

    Pour l'instant J'ai réussi à faire fonctionner l'infra en publiant de cette manière mais c'est pas très propre :

    - 1 règle de publication OWA pour tous les serveurs de toutes les agences - DNS : owa.domain.com

    - 1 règle de publication des CAS du sites principal - DNS : mail.domain.com

    - 1 règle de publication du CAS pour chaque agence distante - DNS : mail_XX.domain.com

    - 1 seul et même Listener pour toutes ces règles de publication, en authentification LDAP

    Merci pour votre aide

    • Modifié A_fredo mercredi 30 janvier 2013 18:57
    mercredi 30 janvier 2013 18:51
  • Hello,

    De manière globale, peux-tu regarder ce document http://www.alexgiraud.net/TMG%20Docs/pub-exch.pdf

    Il y a de nombreuses notions sur la publication d'Exchange avec TMG, cela devrait t'aider d'autant que tu as tous les screenshots.

    Ensuite, si cela ne t'inspire pas ... Fait une trace (journalisation) lors d'une tentative de synchronisation EAS et colle le résultat.

    Alex


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.

    mercredi 30 janvier 2013 21:40
  • Bonjour,

    Pour vous répondre point par point :

    1. OWA fonctionne très bien, quel que soit l'utilisateur, et avec le même Listener (authentification LDAP) que Exchange ActiveSync.
    Nous avons en effet un Warning sur le certificat non signé mais ça n'empêche pas le service de fonctionner.

    Bonjour,

    En voyant ce point cité plus haut j'aurais deux questions :

    • Le warning concerne le certificat des serveurs Exchange ou de WebListener TMG ?
    • Si le certificat utilisé pour la publication sur TMG n'est pas public, vos mobiles dont disposent les utilisateurs des sites distants reconnaissent ils le certificat utilisé sur le Web listener EAS ?


    • Modifié MarOKNard jeudi 31 janvier 2013 10:16
    jeudi 31 janvier 2013 10:03
  • Bonjour,

    Alexandre >> merci pour le document mais je n'ai malheureusement rien trouvé qui puisse m'aider car j'ai bien ce type de configuration, qui pour moi reste dans les standards.

    MarOKNard >> Pour le warning, il concerne le fait que le certificat n'est pas signé et nous demande, comme tout certificat non signé, si on veut tout de même l'accepter. Après acceptation tout roule !

    jeudi 31 janvier 2013 16:13
  • Bonjour,

    c'est sur ce dernier point, qu'il y a erreur !

    Tant qu'il y aura une alerte sur le certificat (quelle que soit l'erreur), il y aura un problème pour ActiveSync et pour Outlook Anywhere !

    => En effet, l'alerte que tu as ne sera pas traitée par ActiveSync et par OutlookAnywhere. Cela n'ira donc pas plus loin.

    Seuls les iPhones, à condition que tout soit correctement configuré par ailleurs, poseront la question sur l'acceptation du certificat.

    Néanmoins, même pour les iPhones, tant que la jonction entre TMG et le serveur Exchange pose problème, cela ne fonctionnera pas non plus.

    => Facile à tester: Essaye d'accéder à OWA à partir du serveur TMG. S'il y a le moindre warning sur le certificat ou problème d'accès, alors cela ne pourra pas non plus fonctionner à partir d'Internet.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013 (75 MCPs). https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://www.faqexchange.info

    jeudi 31 janvier 2013 17:05
  • Je précise que le certificat n'est pas signé par une autorité autre que celle de l'entreprise, ce n'est pas un certificat auto-signé.

    A l'heure actuelle, des utilisateurs de sites distants arrivent même à synchroniser leur messagerie via ActiveSync en mettant l'IP publique dans l'adresse du serveur dans leurs mobiles (à but de test, nous n'avons pas mis de restrictions sur le nom public dans les règles TMG).

    Seuls les Windows Phone ont dû être traités différemment en leur injectant le certificat racine de l'entreprise avant de pouvoir synchroniser la messagerie.

    Au final, le certificat ne gêne pas ou je n'ai pas tout compris ?!

    jeudi 31 janvier 2013 18:38
  • En fait, d'après tes réponses tu as finalement "traité" ce point pour vos téléphones :

    • Comme dis par Thierry DEMAN-BARCELÒ, les iPhone peuvent valider l'exception du certificat
    • Les Windows Phone (ou Symbian et Android également il me semble) doivent nécessairement reconnaitre l'autorité qui a émis le certificat (en leur installant le certificat de l'AC comme tu as indiqué avoir fait)

    La solution semble donc être ailleurs. Je te conseillerais de nous mettre en premier lieu les résultats donnés par https://www.testexchangeconnectivity.com/ comme indiqué plus haut par DenisEche, en effectuant un test dans les même conditions que les cas qui échouent et un test dans les cas qui fonctionnement (pour identifier une éventuelle première différence)

    Peut être que pour que nous puissions voir plus claire (nombre de règles, services associés, etc.) il serait utile de synthétiser les informations de cette manière :

    Service

    Rule name

    Public DNS

    Authentication type & délégation

    Serveurs Backend

    Ex :OWA

    Ex: PUB_OWA

    Owa.contoso.Com

    FBA et delegation basic

    CAS Exchange 1 & 2 (Site central)

    Etc.

     

     

     

     

     

     

     

     

     

    PS: Penses à cacher les véritables noms ou IP dans les résultats que tu nous donneras (au cas où..)

    EDIT : Désolé, le tableau semble mal s’afficher en le copiant dans le corps du message




    • Modifié MarOKNard vendredi 1 février 2013 17:04
    vendredi 1 février 2013 17:02
  • Bonjour,

    le résultat du site "test.." est le même quel que soit l'utilisateur : qu'il soit capable de synchroniser ou qu'il se fasse jeter.

    Voici le résultat du test : ttp://www.casimages.com/img.php?i=130201065132351551.png

    Voici également ce qui a été configuré sur le TMG : ttp://www.casimages.com/img.php?i=130201065806616012.png


    Les utilisateur se faisant vraiment très pressant et ayant vu qu'avec cette manip ils avaient leurs emails, soit nous trouvons la solution, soit je serais obligé de laisser cette configuration ...

    Merci encore pour votre aide et bon week-end !


    • Modifié A_fredo vendredi 1 février 2013 17:59
    vendredi 1 février 2013 17:58
  • bonjour,

    Pourquoi y a t-il une règle par agence ? c'est totalement inutile....

    les CAS centraux vont assurer les requêtes des autres sites... si les CAS des autres sites sont  bien configurés!!!

    A+


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013 (75 MCPs). https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://www.faqexchange.info

    dimanche 3 février 2013 11:26
  • bonjour,

    pour vous répondre Thierry, c'est le problème que j'expose via ce thread.

    Publier chaque CAS d'agence est la seule solution que j'ai trouvé pour le moment.

    Je ne vois pas où vérifier les configurations des CAS agences/site primaire pour ActiveSync, sachant que pour OWA cela fonctionne impec.

    lundi 4 février 2013 09:26
  • Personne n'aurait de piste pour simplifier mon architecture ?
    mercredi 6 février 2013 13:59
  • Bonjour,

    A mon avis, le plus simple serait de faire intervenir un consultant pour vous accompagner dans votre architecture, ou de contacter le support Microsoft dans le cadre de vos contrats de support.

    Certains problèmes peuvent être résolus via un forum, d'autres non.

    Merci de votre compréhension,
    Alexandre


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.

    vendredi 15 février 2013 18:30