none
Exchange 2013 RPC over HTTP RRS feed

  • Domanda

  • Eseguendo il test attraverso il sito https://testconnectivity.microsoft.com/ ricevo il seguente messaggio d'errore.

    In sostanza non riesco a configurare Outlook con proxy, l'accesso owa funziona.

    Non posso eseguire il ping al proxy RPC.

    È stata rilevata un'eccezione imprevista a livello di rete. Dettagli dell'eccezione:
    Messaggio: The remote server returned an error: (404) Not Found.
    Tipo: Microsoft.Exchange.Tools.ExRca.Extensions.MapiTransportException
    Analisi dello stack:
    at Microsoft.Exchange.Tools.ExRca.Extensions.MapiRpcTestClient.PingProtocolProxy(String endpointIdentifier)
    at Microsoft.Exchange.Tools.ExRca.Tests.MapiPingProxyTest.PerformTestReally()
    Dettagli dell'eccezione:
    Messaggio: The remote server returned an error: (404) Not Found.
    Tipo: System.Net.WebException
    Analisi dello stack:
    at System.Net.HttpWebRequest.GetResponse()
    at RpcPingLib.RpcPing.PingProxy(String internalServerFqdn, String endpoint)
    at Microsoft.Exchange.Tools.ExRca.Extensions.MapiRpcTestClient.PingProtocolProxy(String endpointIdentifier)
    Tempo trascorso: 1755 ms.     

    giovedì 5 febbraio 2015 15:01

Risposte

  • Ho risolto, ho semplicemente riavviato il server CAS e tutto ha funzionato, ho ripristinato anche il certificato di tipo wildcard e nuovamente sta funzionando.

    Grazie mille per la preziosa collaborazione.

    G

    sabato 7 febbraio 2015 16:13

Tutte le risposte

  • Ciao, ma che certificato ssl stai usando? Come hai creato il certificato per il tuo server?

    ciao!

    A.

    giovedì 5 febbraio 2015 16:12
    Moderatore
  • Un certificato SSL wildcard emesso da una CA esterna, Go Daddy nello specifico. Premetto che lo stesso certificato attualmente lo uso su infrastruttura Exchange 2010. 

    Grazie.

    G.

    giovedì 5 febbraio 2015 16:17
  • Un certificato SSL wildcard emesso da una CA esterna, Go Daddy nello specifico. Premetto che lo stesso certificato attualmente lo uso su infrastruttura Exchange 2010. 


    non significa che su 2013 funzioni, personalmente ho avuto problemi proprio sui certificati wildcard. Ad ogni modo prima di tutto:

    - sulla lan gli outlook funzionano? 

    - quando configuri un outlook sulla lan ti funziona l'autodiscover? 


    giovedì 5 febbraio 2015 16:23
    Moderatore
  • In lan funziona, inserendo semplicemente il nome utente si collega al server (ne imposta uno molto strano ef45a-....@dominio.xxx) e tutto funziona. I parametri del proxy che imposta in automatico sull'account sono corretti.

    G.

    giovedì 5 febbraio 2015 16:32
  • l'impostazione molto strana dell'id digitale dell'utente è normale su 2013. DEVE impostarlo in quel modo. Comunque vuol dire che l'autodiscover funziona. 

    A questo punto il problema sta sul certificato dall'esterno. Hai provato ad installarlo manualmente dalla mmc console nelle attendibili in un client?

    giovedì 5 febbraio 2015 16:45
    Moderatore
  • Una domanda, potrebbe dipendere anche dal fatto che internamente utilizzo una zona DNS differente?

    Interna dominio.local, esterna dominio.it.

    G

    giovedì 5 febbraio 2015 17:01
  • se le vdir sono configurate corrette avranno nel nome interno l'FQDN.local, in quello esterno il .it E' chiaro però che in un modo o nell'altro se agganci degli outlook anywhere devono sempre risolvere il nome presente nel certificato e nel wildcard non avrai mai un .local, quindi se internamente non ce la fanno a risolvere il .it non si agganceranno mai usando il certificato ad te installato. Morale devi avere un round robin sul dns od una split zone interna nelle zone di ricerca diretta dominio.it coi relativi record A degli ip pubblici esterni ma per il server dovrà esserci quello interno quindi avrai

    www.dominio.it ip pubblico

    ftp.dominio.it ip pubblico

    exchange.dominio.it ip privato 


    giovedì 5 febbraio 2015 17:09
    Moderatore
  • Ok, nelle vdir (EWS, OWA, RPC, Active Sync) ho impostato per tutti lo stesso fqdn che corrisponde a quello esterno. Se puoi servirti il processo di creazione dell'account da Outlook arriva fino al punto in cui richiede username e password, inserite quelle la procedura si blocca.

    Quanto al certificato è un prova che ho già fatto, infatti è presente nella cartella delle Autorità radice attendibili.

    G

    giovedì 5 febbraio 2015 17:19
  • Come avviene la pubblicazione dell'outlook anywhere all'esterno? C'è dimezzo solo un NAT o c'è un reverse proxy?

    Quando si usa un certificato wildcard occorre definire il CertPrincipalName nelle impostazioni dell'OutlookProvider:

    Set-OutlookProvider -Identity EXPR -CertPrincipalName msstd:*.contoso.com

    https://technet.microsoft.com/en-us/library/cc535023(v=exchg.80).aspx

    Roberto



    Roberto Ferazzi
    Microsoft® MVP Exchange Server
    Moderator in the Microsoft TechNet Forums
    My MVP Profile

    MSExchange.Community

    giovedì 5 febbraio 2015 22:50
    Moderatore
  • La pubblicazione avviene tramite NAT, confermo che ho impostato correttamente l'EXPR.

    Aggiungo che questa mattina ho provato a configurare un account su di un dispositivo mobile e tutto funziona regolarmente, quindi escludo ogni tipo di problema legato al certificato.

    Grazie.

    Giacinto.

    venerdì 6 febbraio 2015 07:22

  • Aggiungo che questa mattina ho provato a configurare un account su di un dispositivo mobile e tutto funziona regolarmente, quindi escludo ogni tipo di problema legato al certificato.


    aehm..considerato che usa un protocollo diverso per i mobile ed il certificato non deve nemmeno essere trustato, se nel nome hai cicciopasticcio.it l'activesync funziona lo stesso direi che siamo ancora al discorso che secondo me il problema resta il certificato perchè quello che dici non c'entra con l'outlook anywhere...

    A.

    venerdì 6 febbraio 2015 14:51
    Moderatore
  • Scusa ma senza che stiamo ad impazzire non puoi fare una prova con un altro certificato con solo i nomi che servono? Magari con una CA interna? così per tagliare la testa al toro...perchè a questo punto è una prova da fare..

    venerdì 6 febbraio 2015 15:03
    Moderatore
  • Era proprio quello a cui stavo pensando, secondo te può andare bene anche un certificato creato con SelfSSL?

    G

    venerdì 6 febbraio 2015 16:14
  • si certo per fare i test in laboratorio uso quelli generati con Selfssl.exe e vanno senza problemi.
    venerdì 6 febbraio 2015 16:21
    Moderatore
  • Nulla continua a non andare, ho creato il certificato, modificato il binding su IIS, modificato l'Outlookprovider EXCH ed EXPR impostando l'msstd identico al nome indicato nel certificato. 

    Se provo a far eseguire l'autoconfigurazione viene fuori un messaggio che non è possibile stabilire una sessione crittografata con il server, questo sia con il certificato wildcard che con quello generato tramite selfssl.

    G

    venerdì 6 febbraio 2015 17:42
  • Ci sono alcune cose che non capisco...perchè devi andare a modificare i binding dell'ssl nell'iis scusa? Di solito se proprio si reimpostano i nomi esterni delle vdir e basta, non occorre mica tutta questa practise per far andare un certificato su un exchange. Poi chiaro che non ti andrà mai l'autodiscover come fai a farlo con un certificato autogenerato? Ci metterai solo il nome esterno nell'autogenerato, se ci metti altri san non funziona con selfssl. Quindi nel certificato che generi metterai solo che ne so exchange.nomezienda.it nelle vdir andrai a cambiare l'externalurl mettendo exchange.nomezienda.it e non toccherai altro. Abiliterai il certificato per i servizi smtp,pop,iis e imap e per fare la prova poi installerai manualmente il certificato nel client nelle trusted autorities. A quel punto andando ad abilitare anywhere su outlook e dandogli come connessione proxy exchange.nomezienda.it deve andare. Ciao. A.
    venerdì 6 febbraio 2015 21:22
    Moderatore
  • La modifica del binding in IIS un eccesso di zelo... Non ho cambiato i nomi delle vdir perchè al certificato che ho generato con SelfSSL ho indicato lo stesso nome, il processo di abilitazione in exchange è stato eseguito ed anche l'installazione manuale del certificato nelle trusted autorities.

    Comunque il problema permane, la cosa strana e che anche internamente se in Outlook imposto i valori manualmente la connessione al server non va, va solo con l'autodiscover.

    Grazie per la collaborazione.

    G

    sabato 7 febbraio 2015 07:56
  • la cosa strana e che anche internamente se in Outlook imposto i valori manualmente la connessione al server non va, va solo con l'autodiscover.


    non è strano nemmeno quello, non puoi impostare manualmente gli utenti su 2013 a meno che tu non conosca il ssid univoco e metta quello nella striga dello user.

    A questo punto vorrei sapere i nomi delle vdir interne ed esterne ed il certificato che nomi ha al suo interno e come l'hai generato (comando) in selfssl, perchè qualcosa stride. Il binding ssl comunque non si tocca mai.

    Attendiamo i dati. Ciao!

    A.

    sabato 7 febbraio 2015 08:05
    Moderatore
  • Tutte le vdir sono del tipo https://infomail.dominio.it/...

    il certificato è stato generato con il comando selfssl /N:CN=infomail.dominio.it /V:1000, successivamente è stato abilitato in Exchange attraverso il comando enable-certificate -thumbprint ........ -services IIS,SMTP,POP,IMAP

    G

    sabato 7 febbraio 2015 14:41
  • le vdir interne non dovrebbero avere il nome esterno ma l'FQDN del server, oltre questo quando vai a generare il certificato dovrebbe già proporti si sostituirlo automaticamente a quello del sito predefinito e poi andando dentro la ECP lo vai ad abilitare. Va comunque bene anche l'enable-exchangecertificate da shell. Quindi ora nella console certificati quanti te ne ritrovi? Già che ci siamo ci dici anche la config manuale di Outlook per anywhere come la fai?
    sabato 7 febbraio 2015 15:19
    Moderatore
  • Mi ritrovo i seguenti certificati, ti risparmio il Thumbprint

    IP.WS..    CN=infomail.dominio.it
    ...WS..    CN=Srv22
    .......    CN=WMSvc-SRV22
    ....S..    CN=Microsoft Exchange Server Auth
    ....S..    CN=*.dominio.it....

    Quando configuro un account manualmente inserisco nome server guidi@dominio.info, utente@dominio.info (altro dominio censito tra quelli accettati dal server), mentre nelle impostazioni del proxy, URL infomail.dominio.it, msstd:infomail.dominio.it autenticazione NTLM, entrambi i segni di spunta sull'utilizzo di http.

    G


    • Modificato G. Simone sabato 7 febbraio 2015 15:56
    sabato 7 febbraio 2015 15:44
  • Ho risolto, ho semplicemente riavviato il server CAS e tutto ha funzionato, ho ripristinato anche il certificato di tipo wildcard e nuovamente sta funzionando.

    Grazie mille per la preziosa collaborazione.

    G

    sabato 7 febbraio 2015 16:13