none
Errore test connettività Outlook-Exchange RRS feed

  • Domanda

  • Buongiorno,

    Sto eseguendo una migrazione da Exchange locale (Exchange 2010) ad Exchange online e sono nella fase di creazione batch per la sincronizzazione. Durante il test di connettività con Exchange riscontro i seguenti errori:

    Test della connettività RPC su HTTP per il server mail.*****.it

            Connettività RPC su HTTP non riuscita.

     Il certificato SSL non ha superato uno o più controlli di convalida


                   Non sono riuscito a convalidare l'attendibilità del certificato

                   Non sono riuscito a generare la catena di certificati. Potrebbero mancare i certificati intermedi necessari.

    RPC over http è abilitato nel server Exchange e come funzionalità nel server con autenticazione NTLM. Il certificato è rilasciato dal server stesso. Mi potreste aiutare per capire dove sia il problema?

    Grazie

    Il certificato SSL non ha superato uno o più controlli di convalida
    • Tipo modificato Matteor86 mercoledì 18 novembre 2015 09:35
    mercoledì 18 novembre 2015 09:19

Risposte

  • La segnalazione mi pare chiara, c'è un problema con il certificato usato da Outlook Anywhere.

    Se il certificato è privato, è normale che il test fallisca.

    Per quanto riguarda la migrazione a online, che tipo di migrazione stai facendo? Se sei in Hybrid, potresti cavartela con un certificato privato, ma se stai facendo una staged migration hai bisogno di un certificato emesso da una CA pubblica.

    Roberto



    Roberto Ferazzi
    Microsoft® MVP Exchange Server
    Moderator in the Microsoft TechNet Forums
    My MVP Profile

    MSExchange.Community

    mercoledì 18 novembre 2015 11:22
    Moderatore

Tutte le risposte

  • La segnalazione mi pare chiara, c'è un problema con il certificato usato da Outlook Anywhere.

    Se il certificato è privato, è normale che il test fallisca.

    Per quanto riguarda la migrazione a online, che tipo di migrazione stai facendo? Se sei in Hybrid, potresti cavartela con un certificato privato, ma se stai facendo una staged migration hai bisogno di un certificato emesso da una CA pubblica.

    Roberto



    Roberto Ferazzi
    Microsoft® MVP Exchange Server
    Moderator in the Microsoft TechNet Forums
    My MVP Profile

    MSExchange.Community

    mercoledì 18 novembre 2015 11:22
    Moderatore
  • Grazie per l'aiuto. Il certificato è privato emesso dal server. Volevo eseguire una migrazione completa ma a questo punto eseguirò una migrazione ibrida. Noi vorremo dismettere il server in locale e lavorare solo con quello in cloud.
    mercoledì 18 novembre 2015 11:47
  • Se posso darti un consiglio, se hai intenzione di andare online e dismettere l'infrastruttura locale, non infilarti nella configurazione dell'ibrido, spendi qualche decina di euro, credo che con meno di 100 te la cavi e prendi un certificato pubblico.

    Roberto



    Roberto Ferazzi
    Microsoft® MVP Exchange Server
    Moderator in the Microsoft TechNet Forums
    My MVP Profile

    MSExchange.Community

    mercoledì 18 novembre 2015 11:50
    Moderatore
  • Grazie per la dritta. Convincerò i responsabili
    mercoledì 18 novembre 2015 11:54
  • Dimenticavo. La gestione degli utenti può essere eseguita in locale con sincronizzazione in cloud oppure bisogna creare sempre un nuovo utente in cloud? E' possibile utilizzare il single sing on?

    Grazie

    mercoledì 18 novembre 2015 11:59
  • Prima di tutto devo fare una rettifica, ti ho chiesto se volevi fare una "staged migration", ma stavo pensando a Exchange 2007, visto che hai Exchange 2010 devi fare la "cutover migration":

    https://technet.microsoft.com/en-us/library/jj874016(v=exchg.150).aspx

    Per avere single sing-on devi implementare ADFS, guardati questo per chiarirti le idee:

    https://blogs.office.com/2014/05/13/choosing-a-sign-in-model-for-office-365/

    ADFS prevede che la gestione degli account venga fatta on-premise, con sincronizzazione verso O365. E questo vale per gli account. Per quanto riguarda la configurazione dei servizi, come ad esempio Exchange Online, Skype for Business, SharePoint Online, ecc.. la gestione va fatta su Office365.

    Roberto



    Roberto Ferazzi
    Microsoft® MVP Exchange Server
    Moderator in the Microsoft TechNet Forums
    My MVP Profile

    MSExchange.Community

    mercoledì 18 novembre 2015 13:48
    Moderatore
  • Li dovrebbe spendere lo stesso.

    Il certificato pubblico è un requisito :-)

    Ciao
    Gabriele


    -- Gabriele Tansini [MSFT] This posting is provided "AS IS" with no warranties, and confers no rights"

    mercoledì 18 novembre 2015 15:26
  • @Gabriele: ogni tanto hai ragione anche tu :-)

    Roberto



    Roberto Ferazzi
    Microsoft® MVP Exchange Server
    Moderator in the Microsoft TechNet Forums
    My MVP Profile

    MSExchange.Community

    mercoledì 18 novembre 2015 15:32
    Moderatore
  • Opinione assolutamente personale.

    Non farti male.

    Sincronizzazione di password tutta la vita (a meno di requisiti stringenti da parte del cliente)

    Ciao
    Gabriele

    P.S. Indipendentemente da cosa sceglierai. Usa AAD Connect. Vedi https://azure.microsoft.com/en-gb/documentation/articles/active-directory-aadconnect/


    -- Gabriele Tansini [MSFT] This posting is provided "AS IS" with no warranties, and confers no rights"

    mercoledì 18 novembre 2015 15:32
  • Grazie.. Se il certificato pubblico non è indispensabile in quanto li dovrebbe spedire lo stesso. Come faccio a far rientrare il problema di connessione con rpc over http? Ho eseguito delle verifiche e risulta correttamente configurato.

    Grazie ancora

    mercoledì 18 novembre 2015 15:46
  • ...solo per puntualizzare che senza ADFS non è single sign-on, anche se l'esperienza utente si potrebbe avvicinare, non è la stessa cosa.

    Ovviamente la complessità dell'infrastruttura cambia sostanzialmente tra una soluzione e l'altra, per fare una valutazione è richiesta un po' di analisi.

    Roberto



    Roberto Ferazzi
    Microsoft® MVP Exchange Server
    Moderator in the Microsoft TechNet Forums
    My MVP Profile

    MSExchange.Community

    mercoledì 18 novembre 2015 15:48
    Moderatore
  • Ciao,

    il certificato pubblico è necessario sia per la migrazione cutover che per l'ambiente ibrido.

    Ciao
    Gabriele


    -- Gabriele Tansini [MSFT] This posting is provided "AS IS" with no warranties, and confers no rights"

    mercoledì 18 novembre 2015 15:48
  • Ok, grazie. Provvederò a farne richiesta. A questo punto optavo per la migrazione cutover una volta che ho il certificato in mano. Dopo di che con ADFS sincronizzo gli account per il single sign on in modo da non arrecare confusione agli utenti. Immagino che la procedura sia questa.

    Grazie

    mercoledì 18 novembre 2015 15:54
  • Un ulteriore info. Mi dite che il problema rpc over http che noto nel test sia riferito anche alla mancanza del certificato pubblico?

    Grazie

    mercoledì 18 novembre 2015 15:58
  • Ciao,

    una precisazione, o usi ADFS per il single sign on, oppure sincronizzi AD

    REF:http://office365evangelist.com/?p=1144


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    mercoledì 18 novembre 2015 15:58
  • Comunque, il suggerimento di Gabriele di optare per la sincronizzazione delle password, che va in alternativa ad ADFS, non è da ignorare.

    Tieni conto che implementare una infrastruttura ADFS non è un'attività banale.

    Prima di tutto devi avere chiari i principi e i componenti in gioco, ad esempio ADFS non si occupa di "sincronizzare" gli utenti, questo lavoro lo fa AADConnect.

    Leggiti bene il documento che ti ho postato sopra.

    Roberto



    Roberto Ferazzi
    Microsoft® MVP Exchange Server
    Moderator in the Microsoft TechNet Forums
    My MVP Profile

    MSExchange.Community

    mercoledì 18 novembre 2015 16:00
    Moderatore
  • Attenzione, non aggiungiamo confusione, per favore.

    ADFS non va in alternativa alla sincronizzazione di AD, la sincronizzazione di AD va fatta lo stesso per portare gli account sull'AD di O365, semmai si potrebbe azzardare l'affermazione che ADFS va in alternativa alla Password Synchronization.

    Roberto



    Roberto Ferazzi
    Microsoft® MVP Exchange Server
    Moderator in the Microsoft TechNet Forums
    My MVP Profile

    MSExchange.Community

    mercoledì 18 novembre 2015 16:05
    Moderatore
  • Matteo, quello che posso confermare è che il test fallisce se non usi un certificato pubblico, poi se il problema è solo quello non te lo posso garantire, prima di tutto devi mettere a posto quello.

    Roberto



    Roberto Ferazzi
    Microsoft® MVP Exchange Server
    Moderator in the Microsoft TechNet Forums
    My MVP Profile

    MSExchange.Community

    mercoledì 18 novembre 2015 16:06
    Moderatore
  • Attenzione, non aggiungiamo confusione, per favore.

    ADFS non va in alternativa alla sincronizzazione di AD, la sincronizzazione di AD va fatta lo stesso per portare gli account sull'AD di O365, semmai si potrebbe azzardare l'affermazione che ADFS va in alternativa alla Password Synchronization.


    intendevo pwd synch, sorry

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    mercoledì 18 novembre 2015 16:42
  • Ciao,

    voglio chiarire meglio il mio pensiero sulla diatriba ADFS/Password Synch.

    Esperienza utente

    Password Synch

    Se la password è sincronizzata, al primo logon con Outlook l'utente riceverà una richiesta di autenticazione.
    Dovrà inserire gli stessi nome utente/password che usa in AD.
    Cliccando su "ricordati la password", la seconda richiesta di autenticazione non si vedrà più fino al prossimo cambio password.

    N.B. La password sincronizzata non è in chiaro

    Tratto da https://msdn.microsoft.com/en-us/library/azure/dn246918.aspx

     A digest of the Windows Active Directory password hash is used for the transmission between the on-premises AD and Azure Active Directory. The digest of the password hash cannot be used to access resources in the customer's on-premises environment.

    ADFS

    Se la macchina è connessa alla Intranet/Domain-joined, ci sarà il vero SSO e l'utente non riceverà la seconda richiesta.
    Se la macchina non è connessa alla Intranet (i.e. si connette da casa), riceverà una richiesta di autenticazione tramite form.

    Cosa succede se i server vanno offline ?

    Dirsynch

    Se il server con Dirsynch va offline, la password non sarà replicata.
    L'utente continuerà a fare logon con la vecchia password fino alla riattivazione del server.
    Dato che al massimo posso avere un disallineamento temporaneo, di solito il server dirsync non è ridondato (sarebbe supportato metterlo direttamente su un DC). Potenzialmente ho bisogno di una macchinetta virtuale senza troppe pretese o, per ambienti "piccoli" (fino a qualche decina di utenti), direttamente su un DC.

    ADFS

    Se i server ADFS vanno offline, gli utenti smetteranno di autenticarsi e non saranno in gradi di accedere ad Office 365 in alcuna maniera (OWA, Outlook, etc...). Dato che non vogliamo questo e che ADFS dovrebbe stare su macchine separate, ci vorrebbero macchine ridondate (almeno 2 se pubblichiamo direttamente i server o 4 se pubblichiamo i server con ruolo ADFS Proxy in DMZ).

    Ironia della sorte è che, se ADFS non funziona e ci vogliamo autenticare in qualche maniera, il consiglio è di utilizzare le password sincronizzate. E' per questo che di solito si consiglia di sincronizzare le password anche se si usa ADFS.

    Quando proporrei ADFS ?

    Giusto le prime cose che mi vengono in mente

    • Voglio utilizzare un sistema di autenticazione che Office 365 non supporta/offre nativamente (i.e. Shibboleth)
    • Voglio filtrare l'accesso dei client ad Office 365 per location (Da Intranet sì/Da casa no)
    • Voglio avere una form di autenticazione personalizzata (loghi, colorini, etc...)

    Considerazioni Finali

    • ADFS ha senso in determinati scenari ma non è banale da implementare e gestire
    • In alcuni casi rischia di annullare i vantaggi del Cloud (i.e. ti tolgo il server Exchange, ma poi ti installo 2/4 server ADFS che devono essere operativi 24/7 altrimenti non accedi al servizio)
    • Alcuni clienti fanno una tragedia di avere una seconda richiesta di autenticazione la prima volta che si connettono con Outlook, e poi impostano la password in AD per non scadere mai. Vale davvero la pena aggiungere complessità all'infrastruttura per una richiesta di logon che potrebbe apparire una volta ogni X giorni (12 volte l'anno o meno calcolando una scadenza password di 30gg. minimo) ?

    Ciao
    Gabriele


    -- Gabriele Tansini [MSFT] This posting is provided "AS IS" with no warranties, and confers no rights"

    giovedì 19 novembre 2015 08:01
  • Ciao Matteor86,

    Il tuo thread nel Forum di TechNet è ancora aperto per noi.
    Se i consigli ricevuti ti sono stati utili, ricorda di evidenziare la soluzione cliccando su "Segna come Risposta". Aggiungo che il tuo riscontro tornerà sicuramente utile per chi si dovesse trovare nella medesima situazione, così è molto gradito dai membri della community se puoi condividere una soluzione tua.
    Grazie della collaborazione.


    Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

    mercoledì 25 novembre 2015 09:18
    Moderatore