none
Outlook Anywhere Exchange 2007 non aggancia il client!!! RRS feed

  • Domanda

  • Problema...Exchange 2007, configurato su 2008, perfetto gira ok, Outlook 2003 sui client. Perfetto.

    Http over RPC abilitato, creato certificato con selfssl ed assegnati tutti i servizi. Record dns esterno creato.

    Installo il certificato nel pc in fonti attendibili, uso owa e va via liscio non dando più l'errore certificato.

    Configuro anywhere, autenticazione base, punta al sito giusto, inserisco nome server e nome utente, avanti...

    Mi chiede utente e pwd di autenticazione...NON C'E' verso di entrare! administrator@nomedominio e suo pwd, nomedominio\nomeutente e pwd...provate tutte...mi dice di controllare che il server sia in linea...ma dove sta il problema? Sono abituato con 2010, i certificati li gestisce facili...non mi ha preso il certificato? ho lasciato indietro qualcosa??

    Idee? io le ho finite...Grazie Ragazzi, ogni aiuto è prezioso!

    giovedì 14 aprile 2011 18:48
    Moderatore

Tutte le risposte

  • Ciao Alessandro,
    Outlook Anywhere non si connette se il common name del certificato digitale non corrisponde con il valore msstd (il default coincide con l'endpoint di outlook anywhere) oppure se la certification authority che rilascia il certificato non è trusted.

    Quindi sarebbe interessante che tu ci dicessi come è fatto il certificato digitale, qual è il suo common name, quali valori SAN ha e qual è l'url impostato in outlook anywhere.

    Se vuoi cambiare il valore di default dell'endpoint può farlo mediante questa cmdlet:
    Set-OutlookProvider EXPR -CertPrincipalName msstd:mail.azienda.it

    Saluti
    .m

    Massimiliano Luciani

    venerdì 15 aprile 2011 10:04
  • Ciao Massimiliano, intanto grazie.

    Ti dico come configuro i miei certficati perchè hanno sempre funzionato.

    Creo un certificato ssl con il toolkit dell'II6 selfssl.exe sul server Exchange e lo chiamo nomeserver.nomedominio.it (ho già creato prima il dns name dal provider e punta all'indirizzo ip del server exchange e girato la 443 sul firewall verso il server) una volta fatto questo assegno i servizi che mi servono al certificato togliendoli da quello originale che si chiama solo nomeserver, in anywhere il nome è quello giusto:nomeserver.nomedominio.it

    Fatto questo esporto il certificato e la chiave privata e lo porto su un client. Installo il certificato nelle fonti attendibili e aggancio anywhere. NON COMPRO QUINDI CERTIFICATI. Ha sempre funzionato su 2010, tanto è vero che ho 10 server fuori che operano in questo modo (non ho sempre ip fissi...e dove ho dns dinamici nessuna Root CA rilascia certificati per dns dinamici quindi non li posso comprare!). Sul 2007 non l'ho mai fatto, la gestione certificati è un po diversa ed a riga di comando forse sbaglio qualcosa. Se però carico OWA dal mio client, non mi da errore certificato e va via normale...sull'anywhere non mi fa passare...è questo che non capisco. Se uno è errato dovrebbe esserlo anche l'altro..quindi mi viene da pensare forse non ha preso un servizio o lascio indietro qualcosa.

    Ciao A. 

    venerdì 15 aprile 2011 10:19
    Moderatore
  • Ciao Alessandro,
    ti do prima un paio di consigli per il certificato, poi cerchiamo di capire dove sta il problema su exchange:

    1. Crea un certificato che abbia come common name mail.azienda.it (tu lo chiami come il nome della macchina, va benissimo non cambia nulla) ed inserisci un SAN di tipo autodiscover.azienda.it e per tutti i domini che gestisce l'infrastruttura exchange, quindi se gestisci contoso.it, metti come SAN anche autodiscover.contoso.it
    2. Quando esporti il certificato digitale NON devi esportare anche la chiave privata. La chiave privata deve rimandere solamente sul server che implementa SSL o TLS, ma non deve stare sul client. Se uno buca un pc qualsiasi ha lo stesso certificato che ha il sito web. Insomma si va a far benedire SSL.

    I consigli di cui sopra esulano dal tuo problema.

    Prova a settare come ti ho detto sopra il valore msstd come nomeazienda.azienda.it

    A questo punto setta lo stesso valore nel campo msstd in outlook e prova nuovamente.

    Saluti
    .m

    Massimiliano Luciani

    venerdì 15 aprile 2011 10:44
  • Ciao Masssimiliano,

    Grazie mille per i preziosi consigli! Ora...divago solo 1 secondo..ma se la chiave privata è esportata con pwd complessa come fanno a bucarla? Nel senso prima di installarla mi chiede una pwd che setto io in fase di esportazione.

    Ho provato il comando sopra (non devo riavviare inf store od altro?) e messo nell'outlook lo stesso indirizzo, continua a darmi il maledetto "controllare che il server sia in linea" dopo che mi ha chiesto come autenticarmi..

     

    venerdì 15 aprile 2011 18:38
    Moderatore
  • Ciao Massimiliano,

    ti aggrno, dopo una domenica pome investita in test, possi dirti che internamente alla rete anywhere funziona!

    esternamente no, a questo punto in mezzo c'è solo il firewall, ma la 443 è girata altrimenti non andrebbe nemmeno owa....

    il firewall è un Fortigate della fortinet ma sinceramente non so cosa possa fare questa anomalia, è una ALICE 8 indirizzi ip con il firewall in mezzo e basta...boh! ho provato qualche modifica ma senza risultato...mai successo un caso di firewall che blocca la rpc over http?

    domenica 17 aprile 2011 18:50
    Moderatore