none
Outlook Anywhere su Ex2010 + Server 2008 R2 (in Dominio 2008 su server separato) RRS feed

  • Domanda

  • Salve a tutti,
    dopo aver configurato exchange 2010 su windows server 2008 r2 come da procedura e tutti i servizi relativi quali Web Outlook ed activesync ho riscontrato un problema con Outlook Anywhere.

    Premetto che ho acquistato un certificato PositiveSSL correttamente installato, ma quando effettuo il test di exchange RPC over HTTP (per Outlook) mi viene restituito l'errore "Il tuo certificato potrebbe non essere attendibile su Windows se la funzionalità di aggiornamento dei certificati radice non è abilitata.

    Premetto che l'impostazione sul server per gli aggiornamenti automatici dei certificati radice che si trova in EDITOR CRITERI DI GRUPPO LOCALI --> CONFIGURAZIONE COMPUTER --> MODELLI AMMINISTRATIVI --> SISTEMA --> GESTIONI COMUNICAZIONI INTERNET --> IMPOSTAZIONI DI COMUNICAZIONI INTERNET --> DISATTIVA AGGIORNAMENTO AUTOMATICO CERTIFICATI RADICE è correttamente NON CONFIGURATA, ma comunque viene restituito l'errore sopra descritto.

    In tutto questo quando cerco di agganciare Outlook dall'esterno questo è l'errore che mi viene restituito dopo aver inserito le credenziali di dominio: "Impossibile aprire le cartelle di posta elettronica predefinite. Per poter sincronizzare le cartelle con il file di dati di outlook (.ost), è necessario connettersi al computer che esegue Microsoft Exchange con il profilo corrente".

    Le ho provate tutte.

    Qualche suggerimento?

    Grazie anticipatamente!

    lunedì 3 febbraio 2014 20:04

Risposte

  • Alla fine, dopo giorni e giorni di spaccamento di testa il problema era un mio errore nella configurazione iniziale e, più precisamente, relativamente all'impostazione dell'FQDN nella chiave di registro HKLM\Software\Microsoft\RPC\RPCProxy, mancava quello più importante ;)

    Roberto ti ringrazio molto per la tua disponibilità che comunque è servita a farmi ricontrollare ed analizzare tutta la configurazione per arrivare al problema.

    Spero che questo Thread possa essere utile a qualcun'altro anche se è difficile trovare qualcuno più imbranato ;)

    • Contrassegnato come risposta Anca Popa domenica 9 febbraio 2014 19:53
    mercoledì 5 febbraio 2014 20:22

Tutte le risposte

  • Come prima cosa ti consiglio di verificare la corretta installazione del certificato SSL, potrebbero ad esempio mancare dei certificati intermedi.

    Visto che stai usando un certificato PositiveSSL (Comodo) puoi usare il loro test online:

    https://comodosslstore.com/checksslcertificate.aspx

    Io solitamente utilizzo il test di Digicert, sicuramente affidabile, il test funziona anche se il certificato non è Digicert:

    http://www.digicert.com/help/

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    lunedì 3 febbraio 2014 21:07
    Moderatore
  • Ciao Roberto,
    innanzitutto permettimi di ringraziarti per l'interessamento.
    Ho provveduto ad effettuare il test che mi hai chiesto e ti confermo che il certificato ha superato tutti gli step con il flag verde, quindi installato correttamente:

    OK DNS resolves
    OK SSL certificate
    OK This certificate does not use a vulnerable Debian key (this is good)
    OK SSL Certificate expiration (aug 2014)
    OK Server Certificate
    OK Intermediate Server Certificate
    SSL Certificate is correctly installed
    Congratulations! This certificate is correctly installed

    Come procediamo?

    lunedì 3 febbraio 2014 22:25
  • Per procedere è necessario avere qualche dato in più:

    1) I servizi Exchange sono pubblicati tramite reverse proxy? Se si, quale?

    2) Se fai il test solo di Autodiscover da ExRCA, che risultati hai? Fallisce?

    3) Se fai il test di autoconfigurazione da Outlook, dall'esterno, funziona?

    4) Che tipo di autenticazione hai configurato su Outlook Anywhere?

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    lunedì 3 febbraio 2014 23:08
    Moderatore
  • Buongiorno, ti rispondo punto per punto:

    1) I servizi Exchange sono pubblicati tramite IIS ed ho configurato il port forwarding sul firewall relativamente a tutte le porte utili per i servizi exchange che puntano al server;

    2) Il test Autodiscover fallisce in tutti i punti;

    3) Se tento la connessione di outlook automatica tramite POSTA ELETTRONICA del Pannello di Controllo dall'esterno si ferma al punto 2: Ricerca delle impostazioni del server xxxxx@yyyyyy.it - non è possibile alcuna connessione crittografata al server di posta elettronica.

    4) Attualmente è configurata l'autenticazione NTLM ma ho provato anche con la configurazione Base.

    martedì 4 febbraio 2014 08:33
  • Oltre a quanto ti hanno già consigliato fai un test da qui e nel caso posta il risultato:

    https://www.testexchangeconnectivity.com/


    Peppacci - MVP - Microsoft Exchange Server Microsoft MCP - MCTS - MCITP - MCSA - MCSE http://blogs.sysadmin.it/peppacci/Default.aspx

    martedì 4 febbraio 2014 10:23
    Moderatore
  • Ciao, come già anticipato nel primo post ecco l'unico alert (non errore) che viene restitutito da ExRCA:

    Analizzatore connettività di Microsoft può convalidare la catena di certificati solo usando la funzionalità di aggiornamento dei certificati radice da Windows Update. Il tuo certificato potrebbe non essere attendibile su Windows se la funzionalità di aggiornamento dei certificati radice non è abilitata.

    Grz

    martedì 4 febbraio 2014 10:31
  • Dopo numerose altre ricerche e tentativi ancora nulla da fare...

    ...mi suggerite qualcosa?

    martedì 4 febbraio 2014 19:58
  • Io proverei a rimuovere i certificati di root e intermedi di PositiveSSL per poi installarli nuovamente seguendo le loro indicazioni:

    https://www.positivessl.com/ssl-certificate-support/cert_installation/roots.php

    Fatto questo riprova con il test di Autodiscover di ExRCA.

    Se fallisce ancora, posta il risultato.

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    martedì 4 febbraio 2014 20:12
    Moderatore
  • Ho effettuato la reinstallazione dei 3 certificati (Personale, Radice e Intermedio) rilasciato dall'ente, ma il risultato non cambia.

    Scusa la domanda, ma per utilizzare Outlook Anywhere dall'esterno è necessario configurare il servizio Autodiscover? Perchè non credo di averlo fatto inizialmente, per questo ExRCA fallisce in autodiscover.
    Ti chiedo questo poichè sul vecchio server Ex2003 non lo avevo fatto e tutto funzionava perfettamente.

    Se è necessario qual'è la procedura esatta per abilitare tale servizio?

    Grazie

    mercoledì 5 febbraio 2014 10:09
  • Ai fini del funzionamento e della connessione via Outlook Anywhere non è necessario che Autodiscover sia configurato, ovviamente devi impostare la configurazione di Outlook manualmente.

    Senza Autodiscover configurato ci sono poi altri problemi, ad esempio l'accesso agli EWS per l'impostazione delle regole fuori sede, l'accesso alle info di free/busy, ecc...

    Autodiscover è stato introdotto da Exchange 2007, 2003 non sapeva nemmeno cosa fosse :-).

    Se tu fai un test da ExRCA (www.exrca.com) di Outlook Anywhere, ovviamente senza usare Autodiscover, visto che non è configurato, che risultati ottieni?

    Se posti i risultati, sicuramente aiuta nel troubleshooting.

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    mercoledì 5 febbraio 2014 11:31
    Moderatore
  • Il test che effettuo è: Outlook RPC OVER HTTP.

    Passa tutto il test a meno di un avviso come ho specificato nei post precedenti dove, al punto della verifica dei certificati, viene restituito con punto esclamativo giallo:

    Analizzatore connettività di Microsoft può convalidare la catena di certificati solo usando la funzionalità di aggiornamento dei certificati radice da Windows Update. Il tuo certificato potrebbe non essere attendibile su Windows se la funzionalità di aggiornamento dei certificati radice non è abilitata.

    Poi se da Outlook dall'esterno configuro manualmente l'account (e viene letto anche l'utente in active directory dopo aver selezionato il proxy HTTP dalle impostazioni).

    In tutto questo quando cerco di agganciare Outlook dall'esterno questo è l'errore che mi viene restituito dopo aver inserito le credenziali di dominio: "Impossibile aprire le cartelle di posta elettronica predefinite. Per poter sincronizzare le cartelle con il file di dati di outlook (.ost), è necessario connettersi al computer che esegue Microsoft Exchange con il profilo corrente".


    • Modificato yachi75 mercoledì 5 febbraio 2014 11:47
    mercoledì 5 febbraio 2014 11:46
  • Versione di Outlook?

    Il pc da cui provi è a dominio o workgroup?

    Se è a dominio, la mailbox che stai configurando è quella associata all'account con cui accedi a Windows?


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    mercoledì 5 febbraio 2014 11:51
    Moderatore
  • Provato sia con Outlook 2010 che 2013 sia su windows 8 che windows 8.1 nessuno dei due in dominio ma in workgroup poichè dall'esterno.

    La configurazione dell'account di posta elettronica la faccio manualmente scegliend Microsoft Exchange e configuranto credenziali e proxy http a mano, il dominio viene contattato poichè la funzione CONTROLLA NOME risolve e risolve anche l'indirizzo del server che si cambia, dopo la verifica, da mail.comtoso.com a exch.contoso.local. Pare che vada tutto bene ma quando apro outlook viene restituito l'errore in grassetto del post precedente.

    Come hai consigliato tu ho reinstallato di nuovo tutti i certificati sul server exchange (c'entra qualcosa che in azienda il server controller di dominio è a parte?)

    Grz

    mercoledì 5 febbraio 2014 12:07
  • Cosa in tendi con "il server controller di dominio è a parte"?

    Se intendo che l'exchange e il DC sono su due server diversi, non è un problema ma un requisito.

    Se provi dall'interno della rete, hai lo stesso risultato? Ovviamente configurando i clienti in Outlook Anywhere.

    Se puoi fai la stessa prova sia da pc in dominio che fuori.

    Da powershell, esegui "Get-OutlookAnywhere | fl" e posta i risultato.

    Se ti connetti con un browser su OWA, il certificato risulta trustato dal client oppure hai un warning?


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    mercoledì 5 febbraio 2014 13:45
    Moderatore
  • Ciao Roberto, tutto fatto.

    Allora, prima di tutto intendevo proprio come hai detto tu, dc ed ex su due server separati :)

    Se provo nella LAN configurando RPC over HTTP (Outlook Anywhere) nelle impostazioni di posta elettronica di Outlook funziona tutto alla perfezione, sia internamete ad Dominio che fuori.

    Se mi connetto con OWA è tutto trustato correttamente, nessun avviso di errore certificato e viene letta con precisione la scadenza del certificato nelle info;

    Ecco il risultato del comando per le info di Outlook Anywhere da Powershell:


    RunspaceId                      : e5b02a51-6144-45b2-b0db-398aafb31cac
    ServerName                      : EXWIN2K8
    SSLOffloading                   : False
    ExternalHostname                : exchange.xxxxxxxxxx.it
    ClientAuthenticationMethod      : Ntlm
    IISAuthenticationMethods        : {Ntlm}
    XropUrl                         :
    MetabasePath                    : IIS://EXWIN2K8.xxxxxxxxxxx.local/W3SVC/1/ROOT/Rpc
    Path                            : C:\Windows\System32\RpcProxy
    ExtendedProtectionTokenChecking : None
    ExtendedProtectionFlags         : {}
    ExtendedProtectionSPNList       : {}
    Server                          : EXWIN2K8
    AdminDisplayName                :
    ExchangeVersion                 : 0.10 (14.0.100.0)
    Name                            : Rpc (Default Web Site)
    DistinguishedName               : CN=Rpc (Default Web Site),CN=HTTP,CN=Protocols,CN=EXWIN2K8,CN=Servers,CN=Exchange Adm
                                      inistrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=xxxxx xxxxxxxx xxxxxx
                                      xxxx,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=xxxxxxxxxx,DC=xxxxxxx
    Identity                        : EXWIN2K8\Rpc (Default Web Site)
    Guid                            : 9c9213e2-4b59-444a-ad81-eada7e88b6e4
    ObjectCategory                  : xxxxxxxxxxxxx.local/Configuration/Schema/ms-Exch-Rpc-Http-Virtual-Directory
    ObjectClass                     : {top, msExchVirtualDirectory, msExchRpcHttpVirtualDirectory}
    WhenChanged                     : 05/02/2014 12:11:51
    WhenCreated                     : 30/07/2013 09:13:27
    WhenChangedUTC                  : 05/02/2014 11:11:51
    WhenCreatedUTC                  : 30/07/2013 07:13:27
    OrganizationId                  :
    OriginatingServer               : DCWIN2K8.xxxxxxxxxxxxxx.local
    IsValid                         : True

    mercoledì 5 febbraio 2014 15:04
  • C'è qualcosa che non mi torna.

    Quando hai fatto i test dall'interno, nella parte di configurazione RPC/HTTPS, hai messo il flag su tutte e due le caselle "su rete veloce..." e "su rete lenta..."?

    Hai verificato che la connessione fosse stabilita in RPC/Https? Se lo vuoi verificare: premendo ctrl clicchi con il tasto destro del mouse sull'icona Outlook nel system tray e selezioni la voce "stato connessione".

    Dalla rete interna come risolvi il nome host che hai impostato in ExternalHostname? per intenderci il tuo exchange.xxxxxxxxxx.it

    Se tutto è già così allora il problema è nella pubblicazione verso internet, ma se ho capito bene non hai un reverse proxy ma solo un firewall, quindi non c'è molto da verificare, confermi che tra l'exchange ed internet c'è solo di mezzo un firewall, che gira la porta 443 verso l'Exchange?

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    mercoledì 5 febbraio 2014 15:17
    Moderatore
  • Quando ho configurato la connessione ho impostato entrambi i flag su vero, connessioni lente e veloci.

    Stato connesione mi dice TCP/IP (significa che non è in rpc over http?)

    Dalla rete interna ho impostato la risoluzione di exchangexxxxx.it verso l'ip del server exchange.

    Confermo che nel firewall è configrata la 443 vs exchange server, il reverse proxy si può verificare con qualche comando se è stato impostato?

    mercoledì 5 febbraio 2014 15:27
  • Se ti dice TCP/IP vuol dire che non sta usando RPC/HTTPS, per quello che funziona :-)

    Hai detto che lo stesso problema ce l'avevi impostando l'autenticazione in Basic? Hai fatto IISRESET dopo aver cambiato?

    A questo punto penso che ci sia qualche problema con il certificato, hai un CA interna? Se si, puoi provare con un certificato privato e vedi come va, occhio che il client che usi per fare i test deve trustare la CA che hai usato.

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    mercoledì 5 febbraio 2014 15:35
    Moderatore
  • L'autenticaizone la devo cambiare solo da EMC o anche dal sito in IIS?
    mercoledì 5 febbraio 2014 15:41
  • Ok fatto, cambiato il tipo di autenticazione da NTML a BASIC, ma quando inserisco adesso DOMINIO\utente e password me la rifiuta, ripropone continuamente l'inserimento dopo l'invio.
    mercoledì 5 febbraio 2014 15:52
  • Modificato autenticazione sia ad Outlook Anywhere che al website RPC in IIS, poi IISRESET e così ha accettato la password, ma controllando il tipo connessione è sempre TCP/IP
    mercoledì 5 febbraio 2014 16:24
  • Alla fine, dopo giorni e giorni di spaccamento di testa il problema era un mio errore nella configurazione iniziale e, più precisamente, relativamente all'impostazione dell'FQDN nella chiave di registro HKLM\Software\Microsoft\RPC\RPCProxy, mancava quello più importante ;)

    Roberto ti ringrazio molto per la tua disponibilità che comunque è servita a farmi ricontrollare ed analizzare tutta la configurazione per arrivare al problema.

    Spero che questo Thread possa essere utile a qualcun'altro anche se è difficile trovare qualcuno più imbranato ;)

    • Contrassegnato come risposta Anca Popa domenica 9 febbraio 2014 19:53
    mercoledì 5 febbraio 2014 20:22
  • Ok, l'importante è il risultato :-)

    Sicuramente il thread sarà utile per chi dovesse fare troubleshooting su problemi simili

    Buon lavoro

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    giovedì 6 febbraio 2014 19:54
    Moderatore