none
Autodiscovery con Outlook 2010 e Exchang 2013 RRS feed

  • Domanda

  • So che esistono già dei thread a riguardo, ma tra quelli non ho trovato la soluzione.

    Scenario:

    1 PDC (Server 2008r2) con IP 192.168.0.100 servermail.cltsolutions.local
    1 SDC (Server 2008r2)con IP 192.168.0.106 serverwm.cltsolutions.local
    1 SERVER EXCHANGE 2013 SP1 (Server 2008r2) appena installato con IP 192.168.0.104 serveremail.cltsolutions.local

    Il server di exchange sembra funzionare. E' loggato al dominio e ho gia configurato gli utenti e tutto il resto seguendo http://technet.microsoft.com/it-it/exdeploy2013/Checklist?state=2419-W-AAAAAAAAQAAAAAEAAAAAAA.
    Il server non è pubblico, ma scarica in POP3 con popcon. Invia e riceve correttamente tramite OWA.

    Il problema è la connessione con Outlook 2010 dai client. L'autodiscovery sembra non trovare il server e propone la connessione manuale (sconsigliatissima da quanto ho letto). Rimane in ricerca, poi passa alla connessione non crittografata e alla fine molla il colpo.




    - I client non sono loggati al dominio.
    - Il DNS di tutti i client è il PDC
    - Tutti gli Outlook 2010 sono aggiornati e patchati.
    - Se faccio un lookup del dominio cltsolutions.local e dei vari server, vengono tutti risolti correttamente tramite il DNS del PDC.

    E' capitato a qualcuno?

    Grazie


    martedì 27 maggio 2014 10:27

Risposte

  • Come ti ho anticipato, il tema dei certificati con Exchange è piuttosto articolato, nel caso ti consiglio di farti aiutare da qualcuno che abbia competenza specifica.

    In ogni caso, se decidi di usare un certificato privato, devi utilizzare una CA presente nella tua infrastruttura, se non ne hai una la devi approntare:

    http://technet.microsoft.com/en-us/library/cc770827.aspx

    Se invece decidi di usare un certificato pubblico, devi generare la richiesta da Exchange e sottoporla ad una CA pubblica:

    http://technet.microsoft.com/en-us/library/bb125165(v=exchg.150).aspx

    OWA e Activesync funzionano lo stesso perchè non sono "di bocca buona" nei confronti dell'argomento certificati, mentre Outlook Anywhere necessita che tutto sia configurato correttamente.

    Roberto


    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT

    • Contrassegnato come risposta GT CLT mercoledì 28 maggio 2014 15:26
    mercoledì 28 maggio 2014 07:24
    Moderatore

Tutte le risposte

  • Se le mailbox degli utenti a cui cerchi di connetterti con Outlook 2010 sono su Exchange 2013, e se le workstation degli utenti non sono inserite a dominio, devi configurare i servizi Exchange 2013 utilizzando un certificato emesso da una CA che sia considerata "trusted" dalle workstation.

    L'installazione di default utilizza un certificato "self signed" che per i pc fuori dominio non va bene, a meno di installare il certificato self-signed su tutti i pc.

    Altra cosa importante è che il client Outlook 2010 sia perfettamente aggiornato con gli ultimi Update.

    Roberto



    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT

    • Proposto come risposta NinoRCTN martedì 27 maggio 2014 14:22
    martedì 27 maggio 2014 11:49
    Moderatore
  • Grazie Roberto, ora provo.

    Scusa se ne approfitto...ma che tipo di certificato devo generare da Exchange? Autodiscovery, outlook anywhere, SMTP?

    Considera che gli url interni e esterni sono diversi e che per ora sto cercando di connettermi con Outlook dalla rete lan.

    Grazie ancora

    martedì 27 maggio 2014 12:55
  • Qui si apre un discorso molto ampio, difficile da trattare con poche righe di post.

    Il certificato deve essere SAN, quindi con la possibilità di includere più nomi. I nomi che deve contenere sono i nomi che hai usato per i vari servizi Exchange, owa, Outlook Anywhere, EWS, OAB, ecc..

    Poi, visto che i client sono fuori dominio, devi installare il certificato della CA che ha emesso il certificato, su tutti i pc.

    Roberto


    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT

    martedì 27 maggio 2014 14:17
    Moderatore
  • Mi permetto solo di aggiungere che, parlando di un .local, se i client sono fuori LAN ed il servizio DNS non è correttamente raggiungibile una riga nel file host può risolvere molti problemi.

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    martedì 27 maggio 2014 14:26
  • @Roberto

    I certificato posso emetterlo direttamente da Exchange o devo installare un CA interna nel dominio?

    @Nino

    I client sono in LAN (anche se non loggati al dominio) ma usano come DNS quello del PDC, infatti risolvono perfettamente tutti i nomi server nel dominio, compreso quello di Exchange.

    La cosa interessante è che Web access e activesync da iPhone funzionano alla grande anche da remoto.

    martedì 27 maggio 2014 14:59
  • Come ti ho anticipato, il tema dei certificati con Exchange è piuttosto articolato, nel caso ti consiglio di farti aiutare da qualcuno che abbia competenza specifica.

    In ogni caso, se decidi di usare un certificato privato, devi utilizzare una CA presente nella tua infrastruttura, se non ne hai una la devi approntare:

    http://technet.microsoft.com/en-us/library/cc770827.aspx

    Se invece decidi di usare un certificato pubblico, devi generare la richiesta da Exchange e sottoporla ad una CA pubblica:

    http://technet.microsoft.com/en-us/library/bb125165(v=exchg.150).aspx

    OWA e Activesync funzionano lo stesso perchè non sono "di bocca buona" nei confronti dell'argomento certificati, mentre Outlook Anywhere necessita che tutto sia configurato correttamente.

    Roberto


    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT

    • Contrassegnato come risposta GT CLT mercoledì 28 maggio 2014 15:26
    mercoledì 28 maggio 2014 07:24
    Moderatore
  • Ti ringrazio molto, almeno so da che parte sta il problema. In effetti non è facile arrivare a capire che si tratta di un problema di certificati dato che sembra semplicemente che non venga rilevato il server.

    Cmq ho già avuto a che fare con il (buon) vecchio Exchange 2003 e mi ricordo di aver attivato una CA sul dominio ai tempi...

    giovedì 29 maggio 2014 06:54
  • Riapro la discussione perchè a quanto pare non sembra essere un problema di certificati.

    Ho messo in piedi una CA

    Ho richiesto il certificato, emesso e installato sul server Exchange.

    Ho installato i certificati sulle singole macchine (inserendo es: gabriele@servermail.cltsolutions.local invece di gabriele@cltsolutions.local come indirizzo mail, altrimenti nemmeno mi avvisa del certificato)

    Ma nulla: Outlook non si aggancia ad Exchange.

    Ho pure provato adsare le wildcard ed inglobare tutti i domini oppure a inserire manualmente i singoli FQDN

    Ho seguito alla lettera le KB di MS e anche questa guida:

    http://exchangeserverpro.com/exchange-server-2013-ssl-certificates/

    http://exchangeserverpro.com/create-ssl-certificate-request-exchange-2013/

    http://exchangeserverpro.com/exchange-2013-ssl-certificate-private-certificate-authority/

    Mi sembra assurdo avere un server Exchange che non posso usare con Outlook perche lui vuole per forza usare l'autodiscover

    Scusate lo sfogo Io non sono Certificato Exchange, ma nella mia modesta esperienza ho installato solo 2003/2007 e mai mi sono trovato di fronte problemi di questo tipo. Sto seriamente pensando di azzerare tutto e sfruttare il downgrade alla 2010 previsto dalla licenza che ho acquistato. Almeno in quella sembra sia possibile bypassare l'autodiscovery che, sarà pure fantastico...quando funziona.

    giovedì 29 maggio 2014 10:00
  • Gabriele, la questione non è autodiscover, la questione è che Exchange 2013 parla solo Outlook Anywhere, quindi RPC Over HTTPS o MAPI over HTTPS, quindi i certificati sono un requisito fondamentale.

    Nel tuo ultimo posta ha scritto "nemmeno mi avvisa del certificato", in che senso? ti compare qualche warning di certificato? Se è così, c'è qualcosa che non va.

    Lo stesso certificato lo stai usando anche per OWA? Se ti connetti ad owa da uno dei client in questione come si comporta il certificato, risulta trusted e quindi non hai errori? Diversamente c'è qualcosa che non va.

    Le URL di Exchange (Outlook Anywhere, EWS, OAB, Ecc..) sono configurate con un FQDN contenuto nel certificato? Il certificato contiene i record autodiscover?

    Negli esempi hai riportato come dominio un .local, quello è il dominio SMTP???

    Roberto


    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT

    giovedì 29 maggio 2014 10:08
    Moderatore
  • Ciao, mi spiego meglio. Forse ho omesso alcuni dettagli fondamentali :-)

    Il server è privato e scarica tramite popcon via pop3. Quindi per ora niente record MX sui DNS pubblici.
    Io sto tentando solo di configurare i client della LAN interna.

    La configurazione di Outlook Anywhere è questa:

    Il certificato che ho generato tramite CA interna del server, l'ho assegnato a tutti i servizi ed è usato anche da OWA.
    Anche OWA genera l'avviso ma penso che lo faccia perchè si tratta di un certificato emesso da una CA interna e non da Verisign & company.

    Ah, un dettaglio: sui pc loggati al dominio funziona tutto correttamente...

    PS: Ti devo una birra per tutto l'aiuto che mi stai dando. Se abiti lontano (io sono a Pavia) te la spedisco per posta :-)

    giovedì 29 maggio 2014 10:31
  • Una birra non si rifiuta mai, se passo da quelle parti ti faccio un fischio :-)

    Se anche OWA da errore c'è sicuramente qualcosa che non va, non importa Verisign o no, quello che importa è che il client consideri trusted la CA che ha emesso il certificato.

    Il fatto che Verisign o le altre CA pubbliche siano considerate "trusted" dai client è perchè nello store locale dei certificati i client hanno il certificato della Root CA pubbliche nella cartella delle CA Attendibili.

    Ora, se la tua CA è privata e di tipo "enterprise", i client a dominio ricevono automaticamente il ceritificato della Root ed i problema non si pone.

    Il problema si pone invece per i client fuori dominio, ai quali devi installare tu manualmente il certificato della CA che ha emesso il certificato per l'Exchange.

    Ho visto come sono hai configurato i nomi di Outlook Anywhere, perchè tutto funzioni il tuo certificato deve contenere tra i nomi "serveremail.cltsolution.local".

    Se anche OWA è configurato per usare lo stesso FQDN, la url da usare è:

    https://serveremail.cltsolution.local/owa

    Se anche così ricevi l'errore di certificato, c'è qualcosa che non va, molto probabilmente il client non ha il certificato della Root CA tra le trusted.

    Roberto


    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT

    giovedì 29 maggio 2014 21:35
    Moderatore