none
Exchange Anywhere chiarimenti RRS feed

  • Domanda

  • Ciao a Tutti,

    devo accedere dall'esterno al dominio dove c'è installato Exchange 2010 sp2 tramite outlook 2007. 
    Ho letto i thread per la configurazione, ma ancora ho problemi e soprattutto molti dubbi.

    - L' errore sotto accade perchè il certificato è stato autoprodotto (ho seguito le istruzioni del link   blogs.sysadmin.it/peppacci)? se lo rilasciava un'autorita autorizzata esterna non segnale l'errore? A parte il discorso sicurezza, ma la modalità Anywhere funziona anche senza certificati?

    -Perchè indica certificato corretto e poi da l'errore?sembrerebbe che ripeta interrogazioni, l'esito  a volte è OK altre volte no.

    - E' necessario aggiugere un record chiamato Autodiscover nel maintainer che punti sul server di Exchange?
       
       Grazie a tutti

    <style type="text/css"></style>
    Sto testando la connettività RPC/HTTP.

    Il test di RPC su HTTP non è stato superato.

    Analizzatore connettività di Microsoft sta tentando di testare il servizio di individuazione automatica per user@miodominio.it.

    Sto tentando di contattare il servizio di individuazione automatica con ciascun metodo disponibile.
    Non sono riuscito a contattare il servizio di individuazione automatica con nessun metodo.
    Sto tentando di testare il possibile URL del servizio di individuazione automatica https://miodominio.it/AutoDiscover/AutoDiscover.xml
    Il test di questo potenziale URL del servizio di individuazione automatica non è stato superato.
    Passi del test
    Sto tentando di risolvere il nome host miodominio.it in DNS.
    Sono riuscito a risolvere il nome dell'host.
    Sto testando la porta TCP 443 sull'host miodominio.it per controllare che sia aperta e in ascolto.
    La porta specificata è bloccata, non è in ascolto o non produce la risposta prevista.
    Sto tentando di testare il possibile URL del servizio di individuazione automatica https://autodiscover.miodominio.it/AutoDiscover/AutoDiscover.xml
    Il test di questo potenziale URL del servizio di individuazione automatica non è stato superato.
    Passi del test
    Sto tentando di risolvere il nome host autodiscover.miodominio.it in DNS.
    Sono riuscito a risolvere il nome dell'host.
    Sto testando la porta TCP 443 sull'host autodiscover.miodominio.it per controllare che sia aperta e in ascolto.
    La porta è stata aperta correttamente.
    Sto testando la validità del certificato SSL.
    Il certificato SSL non ha superato uno o più controlli di convalida.
    Passi del test
    Analizzatore connettività di Microsoft sta tentando di ottenere il certificato SSL dal server remoto autodiscover.miodominio.it sulla porta 443.
    Analizzatore connettività di Microsoft ha ottenuto il certificato SSL remoto.
    Altri dettagli
    Soggetto del certificato remoto: CN=webmail.miodominio.it, OU=Ced, O=Test, L=Roma, S=Rm, C=IT, Autorità emittente: CN=lab-SRV-WIN2008-CA, DC=lab, DC=local.
    Sto convalidando il nome del certificato.
    Ho convalidato il nome del certificato.
    Altri dettagli
    Ho trovato il nome host autodiscover.miodominio.it nella voce del nome alternativo dell'oggetto del certificato.
    Tempo trascorso: 1 ms.
    Sto convalidando l'attendibilità dei certificati.
    Non sono riuscito a convalidare l'attendibilità del certificato.
    Passi del test
    Analizzatore connettività di Microsoft sta tentando di generare catene di certificati per il certificato CN=webmail.miodominio.it, OU=Ced, O=Test, L=Roma, S=Rm, C=IT.
    Non sono riuscito a costruire una catena di certificati per il certificato.
    Altri dettagli
    Non sono riuscito a generare la catena di certificati. Potrebbero mancare i certificati intermedi necessari.
    Tempo trascorso: 35 ms.
    sabato 22 febbraio 2014 16:10

Risposte

  • Spiegare in poche righe di post i concetti di base della Certification Authority è impossibile, ti consiglio la lettura di questo documento TechNet e documenti correlati:

    http://technet.microsoft.com/en-us/library/cc732368.aspx

    http://en.wikipedia.org/wiki/Transport_Layer_Security

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    lunedì 24 febbraio 2014 07:54
    Moderatore
  • Rispondo alle tue domande:

    1) Outlook Anywhere si basa su HTTPS, quindi necessita di certificati SSL per criptare il tunnel dentro il quale passa la comunicazione RPC, tra il client Outlook e il suo RPC Endpont. Se utilizzi un certificato emesso da una CA privata, è necessario che i client la riconoscano come "trusted". Se si tratta di pc in dominio e la CA è di tipo Enterprise, sarà automaticamente trustata, mentre per i pc fuori dominio oppure nel caso di CA non enterprise, sarà necessario distribuire il certificato della Root CA a questi client. Nel caso di certificato privato, il test da ExRCA fallirà sempre.

    2) ExRCA passa alcuni test del certificato, in particolare quello dei nomi, perchè il certificato contiene i nomi che si aspetta, poi fallisce quando esegue il controllo di "attendibilità, visto che il certificato è stato emesso da una CA che lui non considera affidabile, giustamente.

    3) Il record autodiscover è necessario per fare in modo che Outlook possa reperire le informazioni corrette per auto-configurarsi, serve ad Outlook per localizzare gli EWS (Exchange Web Services), per reperire le info di free/busy e per altre funzioni importanti del client, però non è necessario per il funzionamento di Outlook Anywhere, tu potresti configurare il client Outlook manualmente e tutto funzionerebbe correttamente, ovviamente senza autodiscover non andrebbero le altre cose che ti ho elencato.

    Spero di averti tolto qualche dubbio :-)

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    sabato 22 febbraio 2014 20:40
    Moderatore

Tutte le risposte

  • Rispondo alle tue domande:

    1) Outlook Anywhere si basa su HTTPS, quindi necessita di certificati SSL per criptare il tunnel dentro il quale passa la comunicazione RPC, tra il client Outlook e il suo RPC Endpont. Se utilizzi un certificato emesso da una CA privata, è necessario che i client la riconoscano come "trusted". Se si tratta di pc in dominio e la CA è di tipo Enterprise, sarà automaticamente trustata, mentre per i pc fuori dominio oppure nel caso di CA non enterprise, sarà necessario distribuire il certificato della Root CA a questi client. Nel caso di certificato privato, il test da ExRCA fallirà sempre.

    2) ExRCA passa alcuni test del certificato, in particolare quello dei nomi, perchè il certificato contiene i nomi che si aspetta, poi fallisce quando esegue il controllo di "attendibilità, visto che il certificato è stato emesso da una CA che lui non considera affidabile, giustamente.

    3) Il record autodiscover è necessario per fare in modo che Outlook possa reperire le informazioni corrette per auto-configurarsi, serve ad Outlook per localizzare gli EWS (Exchange Web Services), per reperire le info di free/busy e per altre funzioni importanti del client, però non è necessario per il funzionamento di Outlook Anywhere, tu potresti configurare il client Outlook manualmente e tutto funzionerebbe correttamente, ovviamente senza autodiscover non andrebbero le altre cose che ti ho elencato.

    Spero di averti tolto qualche dubbio :-)

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    sabato 22 febbraio 2014 20:40
    Moderatore
  • Ciao,
    si,si adesso il discorso è molto più chiaro.
    Scusami provo a chiederti altre info (:, premesso che la Lan è un dominio composta da un dc win2008 con ruolo ca, un server win2008 con installato Exchange 2010 e client win7:

    1. da dove si vede se il ca è enterprise o standalone e trusted? I certificati devone essere due? Nello snap-in dei certificati ho due ca rilasciati per la solita macchina, emessi uno per il  nomepc.dominioprivato.local e l'altro per nomepc.dominiopubblico.it. 
      Due ca, perchè uno serve all'account della lan privata e l'altro per l'autenticazione dall'esterno?                                                                                                                                            I ca sono all'interno delle cartelle Personale, Autorità di certificazione radice Attendibile, Autorità di certificazione intermedie.
      I Ca sono stati installati automaticamenI sull'account computer del dominio perchè enterprise? se il client   (un portatile)  esce dalla rete interna non ha problemi per la modalità anywhere  (ha di già ca enterprise)? se sul client o  Exchange elimino i ca nelle suddette cartelle, i client non accedono più a owa?

    2- Ok, gli errori del test non hanno effetti bloccanti sulla mia configurazione.

    3- Ok

    Grazie mille

    domenica 23 febbraio 2014 09:33
  • Spiegare in poche righe di post i concetti di base della Certification Authority è impossibile, ti consiglio la lettura di questo documento TechNet e documenti correlati:

    http://technet.microsoft.com/en-us/library/cc732368.aspx

    http://en.wikipedia.org/wiki/Transport_Layer_Security

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    lunedì 24 febbraio 2014 07:54
    Moderatore
  • Ok, ho trovato delle risposte ad alcune domande. Bene: - ca sono due per permettere l'autorizzazione ai client interni ed esterni. - I ca devono essere installati nella cartella di certificazione radice dei client per dialogare con exchange. Invece, Non ho capito, ed a riguardo riproverò a fare qualche test: - se i ca vengono installati sui client del dominio con il setup di exchange. -se esiste un modo per capire il tipo di ca emesso (enterprise o standalone). Ho provato a togliere i 2 ca(emessi dal server) nella cartella radice dei client, ma anche senza ca i client accedono comunque ad owa. Prima di procedere con le verifiche e fare operazioni inutili gradirei ricevere qualche riscontro da parte vostra. Grazie a tutti
    lunedì 24 febbraio 2014 11:56
  • Non ho tanto capito il discorso delle CA che sono due.... e temo che ci sia ancora qualche concetto da chiarire :-)

    Prima di tutto diamo ad ogni cosa il nome corretto:

    CA = Certification Authority = Servizio che emetti i certificati, può essere privata o pubblica

    Certificato = Oggetto che viene emesso dalla CA, viene usato per stabilire l'encryption tra client e server

    Seconda cosa, l'argomento non è tra i più immediati, se non ti fai un po' di background con la teoria non ne esci, devi capire come funziona il tutto e quali sono i ruoli in gioco, per questo ti rimando ai link che ti ho riportato in precedenza.

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    lunedì 24 febbraio 2014 15:27
    Moderatore