none
Collegare client outlook da sede remota RRS feed

  • Domanda

  • Buongiorno.

    La mia situazione è questa:

    sede principale con AD ed Exchange 2013, sede secondaria senza dominio e non collegata alla sede principale (se non con servizi RDP per utilizzare il sw gestionale).

    Domanda:

    se voglio collegare i client della sede remota ad Exchange avendo a bordo Outlook 2007/2010, devo per forza portarli la prima volta nella sede principale e metterli nel dominio oppure usando RPC over HTTPS posso collegarli direttamente dalla sede remota ?

    Grazie

    • Tipo modificato Anca Popa lunedì 3 marzo 2014 15:22 discussione in corso
    • Tipo modificato Anca Popa venerdì 7 marzo 2014 15:13 domanda con risposta
    mercoledì 26 febbraio 2014 09:39

Risposte

  • Ciao Roberto.

    Dopo un po' di prove sono riuscito a collegarmi con Outlook 2010 con un PC fuori dal dominio ed utilizzando il certificato self-signed generato da Exchange stesso: non è quindi impossibile farlo, solo è un po' più macchinoso del solito.

    A questo punto potrebbe comunque valere la pena di acquistare un certificato in modo tale che sui vari client non debba passare ad installare il certificato.

    Grazie per l'aiuto.

    Enrico

    • Contrassegnato come risposta Anca Popa martedì 18 marzo 2014 13:29
    venerdì 7 marzo 2014 16:03
  • Se stai usando un certificato self-signed, a meno che i pc non siano a dominio, non funzionerà mai.

    Se non vuoi/puoi mettere i pc a dominio allora ti consiglio di creare un certificato, anche da una CA privata. Poi installi manualmente il certificato della CA nelle Trusted Root Certification Authority dei vari client. A questo punto il tutto deve funzionare.

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    • Contrassegnato come risposta Anca Popa venerdì 7 marzo 2014 15:16
    martedì 4 marzo 2014 16:19
    Moderatore
  • Qui trovi le info per l'installazione della CA su Windows Server 2012:

    http://technet.microsoft.com/en-us/library/cc731183.aspx

    Ti consiglio di crearla di tipo Enterprise.

    Qui le info per fare una richiesta (CSR):

    http://technet.microsoft.com/en-us/library/bb125165(v=exchg.150).aspx

    Questo post spiega la procedure in modo chiaro:

    http://exchangeserverpro.com/create-ssl-certificate-request-exchange-2013/

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    • Contrassegnato come risposta Anca Popa venerdì 7 marzo 2014 15:16
    martedì 4 marzo 2014 16:49
    Moderatore

Tutte le risposte

  • Ciao, per collegare dei client ad exchange non devono fare parte del dominio per forza. Puoi installare il certificato (e la catena di certificati in caso tu abbia una CA interna) e dargli le credenziali di puntamento del server basta avere la 443 girata. Dovrai naturalmente avere un record dns che risolve il nome del tuo exchange dalla sede secondaria a quella primaria e questo nome deve essere compreso nel certificato. 

    Ciao.

    A.

    mercoledì 26 febbraio 2014 10:02
    Moderatore
  • Su exchange 2013 userai sempre rpc su https interno ed esterno.

    Peppacci - MVP - Microsoft Exchange Server Microsoft MCP - MCTS - MCITP - MCSA - MCSE http://blogs.sysadmin.it/peppacci/Default.aspx

    mercoledì 26 febbraio 2014 10:17
    Moderatore
  • Grazie per il suggerimento: ovviamente la porta 443 è aperta e punta al server Exchange. Come certificati uso quelli creati da Exchange in fase di installazione: ne crea 3 e più precisamente: 1) MS Exchange Server Auth Certificate (abbinato al servizio SMTP) 2) MS Exchange (abbinato ai servizi SMTP, IMAP, POP e IIS) 3) WMSVC (abbinato a nessun servizio) Ho provato ad esportare il secondo ma ricevo un errore che mi dice: Si è verificato un errore Rpc speciale sul server VMAIL: La chiave privata non è accessibile o non è esportabile. Impossibile esportarla come PKCS-12. Avete qualche idea su come possa procedere ? Grazie. Saluti.
    lunedì 3 marzo 2014 12:06
  • Adesso sono riuscito ad esportare il certificato ed ad installarlo sul PC.

    Purtroppo Outlook 2010 non si collega ....

    Mi dice:

    impossibile completare l'azione. Connessione a MS Exchange non disponibile. Per completare l'operazione è necessario che Outlook sia online o connesso.

    Idee ??

    lunedì 3 marzo 2014 13:37
  • Se ti colleghi alla webmail il certificato te lo da attendibile?

    Per capire se l'hai caricato nei posti giusti.


    Peppacci - MVP - Microsoft Exchange Server Microsoft MCP - MCTS - MCITP - MCSA - MCSE http://blogs.sysadmin.it/peppacci/Default.aspx

    lunedì 3 marzo 2014 16:04
    Moderatore
  • Mi dice: si è verificato un problema con il certificato di sicurezza del sito web. Se però clicco "continuare con il sito web (scelta non consigliata) riesco ad entrare senza problemi in OWA.

    Il certificato l'ho caricato sul mio client Windows 8.1 Pro in:

    Internet Explorer - opzioni internet - contenuto - certificati  - autorità di certificazione radice attendibili.

    E' corretto dove lo ho caricato ?

    Precisazione: il certificato è quello rilasciato da Exchange Server e non è quindi un certificato rilasciato da terze parti.

    Altra precisazione: sui client che sono stati collegati ad Exchange anche solo una volta ma che però sono stati collegati in sede e quindi messi nel dominio, il problema del collegamento da esterno tramite RPC over HTTPS non esiste.

    La domanda è: devo per forza inserirle nel dominio e quindi portarle in sede la prima volta ?

    Grazie

    martedì 4 marzo 2014 14:41
  • Se stai usando un certificato self-signed, a meno che i pc non siano a dominio, non funzionerà mai.

    Se non vuoi/puoi mettere i pc a dominio allora ti consiglio di creare un certificato, anche da una CA privata. Poi installi manualmente il certificato della CA nelle Trusted Root Certification Authority dei vari client. A questo punto il tutto deve funzionare.

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    • Contrassegnato come risposta Anca Popa venerdì 7 marzo 2014 15:16
    martedì 4 marzo 2014 16:19
    Moderatore
  • Grazie.

    Proprio quello che temevo.

    A questo punto ti chiedo: posso usare il server CA di Windows server 2012 ? Hai qualche link da suggerirmi con la procedura ? Poi devo sostituire i certificati selfsigned di Exchange server 2013 ? anche qui, hai qualche link da suggerirmi ? Grazie 1000.

    Ciao

    martedì 4 marzo 2014 16:30
  • Qui trovi le info per l'installazione della CA su Windows Server 2012:

    http://technet.microsoft.com/en-us/library/cc731183.aspx

    Ti consiglio di crearla di tipo Enterprise.

    Qui le info per fare una richiesta (CSR):

    http://technet.microsoft.com/en-us/library/bb125165(v=exchg.150).aspx

    Questo post spiega la procedure in modo chiaro:

    http://exchangeserverpro.com/create-ssl-certificate-request-exchange-2013/

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    • Contrassegnato come risposta Anca Popa venerdì 7 marzo 2014 15:16
    martedì 4 marzo 2014 16:49
    Moderatore
  • Grazie 1000.

    Prima di provare a farlo ti chiedo un'ultima cosa: nell'articolo su exchangeserverpro.com che mi hai indicato, si dice:

    When you are configuring SSL certificates for Exchange Server 2013 you may choose to issue the certificates from a private certificate authority rather than a commercial CA.

    This is a common approach for non-production systems or those that will not be internet-facing and so will only receive connections from domain-joined clients that already trust the private CA

    Quindi secondo quanto sopra riportato i PC dovranno essere in dominio, ma io non posso metterli in dominio.

    Se installo sui client il certificato a mano come hai detto tu, mi confermi che funziona ?

    Grazie.

    Ciao.

    martedì 4 marzo 2014 17:40
  • Quell'affermazione va interpretata, vedo di fare chiarezza.

    Quando si utilizza un certificato per stabilire l'encryption in una comunicazione, è necessario che la Certification Authority che l'ha emesso sia considerata "affidabile" dai client che lo utilizzano.

    Se si tratta di CA pubblica, questo è garantito dal fatto che le CA pubbliche sono considerate "affidabili" dai sistemi operativi client, perchè il loro certificato viene distribuito e aggiornato automaticamente.

    Se si tratta invece di una CA privata, è necessario fare in modo che venga considerata "affidabile" da client, se la CA privata è di tipo Enterprise (come ti ho consigliato) risulta automaticamente considerata "affidabile" da tutti i client appartenenti al dominio in cui risiede la CA, per cui non devi preoccuparti di gestire la cosa.

    Per quanto riguarda i client non a dominio, la distribuzione del certificato della CA va fatto manualmente, esportando il certificato dalla CA ed importandolo nelle "Trusted Root CA" dei vari PC.

    Questa operazione non è particolarmente onerosa, anche se l'utilizzo di CA private genera poi altre problematiche da gestire, ad esempio quella della creazione e pubblicazione delle CRL (certificate revocation list), ma qui entriamo in un discorso complicato, difficile da spiegare in poche righe.

    Riassumendo, l'utilizzo di CA private è previsto, anche ne caso di client fuori dominio, non è banalissima l'implementazione, se la si vuole fare bene. Se invece investi circa un centinaio di euro, puoi usare un certificato pubblico e non ti devi preoccupare di nulla, se non del rinnovo :-).

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    martedì 4 marzo 2014 21:04
    Moderatore
  • chiarissimo.

    Tu chi mi consigli per acquistare il certificato?

    Quali nomi devo includere nel certificato ? basta il tipico mail.miodominio.it ?

    martedì 4 marzo 2014 21:16
  • Io solitamente utilizzo Digicert, è molto affidabile, efficiente nella gestione delle pratiche, non è tra le più economiche:

    http://www.digicert.com/unified-communications-ssl-tls.htm

    Se vuoi spendere meno, puoi vedere Godaddy o Comodo

    http://www.godaddy.com/ssl/ssl-certificates.aspx?isc=gtniit24&ci=87234

    http://www.instantssl.com/ssl-certificate-products/ssl-certificate-ucc.html

    Roberto


    Roberto Ferazzi

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT | http://www.ferazzi.it

    If you found my post helpful, please give it a Helpful vote

    If it answered your question, remember to mark it as an Answer

    martedì 4 marzo 2014 21:37
    Moderatore
  • Ciao Roberto.

    Dopo un po' di prove sono riuscito a collegarmi con Outlook 2010 con un PC fuori dal dominio ed utilizzando il certificato self-signed generato da Exchange stesso: non è quindi impossibile farlo, solo è un po' più macchinoso del solito.

    A questo punto potrebbe comunque valere la pena di acquistare un certificato in modo tale che sui vari client non debba passare ad installare il certificato.

    Grazie per l'aiuto.

    Enrico

    • Contrassegnato come risposta Anca Popa martedì 18 marzo 2014 13:29
    venerdì 7 marzo 2014 16:03