none
oab RRS feed

  • Вопрос

  • добрый день.

    извиняюсь за заголовок, торопился)

    такой вопрос, имеется exchange 2013 проброшен через tmg 2010 sp2 ru3, локально клиентов буду проверять завтра по поводу проблемы с OAB, т.к. на моей машинке книга грузится без проблем, а вот если подключить почту из вне т.е. через клиента outlook, подключение проходит на ура и т.д., но после обнаружилось что адресная книга не обновляется, запускаешь принудительно загрузить стоит на месте. как только цепляю машинку к vpn, сразу все норм, обновление проходит на ура, получается что tmg кроет? и каким образом собсно кроет, может какие спец порты помимо smtp, smtps и публикации сайта по https протоколу пробросить нужно? поделитесь инфой. заранее спасибо.


    Идти туда, где не ждут, Атаковать там, где не подготовились.



    14 апреля 2013 г. 7:30

Ответы

  • Есть такое понятие как Split DNS, т.е. один и тот же домен есть на внешнем DNS и на внутреннем, то на внутреннем адреса хостов не внешние, а внутренние. Можно не создавать целиком зону на внутреннем DNS, а использовать прием под именем PinPoint.

    Что касается вашего основного вопроса, то лучше всего вам открыть кейс в официальной тех. поддержке, т.к. внешне все выглядит правильно, но не работает: либо у вас проблема где-то в другом месте, либо это баг, только он уж слишком очевидный (хотя есть похожий баг с PF, но это уже другая история).

    Остается заметить, что официальная рекомендация - использовать Split DNS, т.е. одни и те же имена внутри и снаружи.


    Сазонов Илья http://isazonov.wordpress.com/

    • Помечено в качестве ответа Alexey Shevelev 30 апреля 2013 г. 17:59
    27 апреля 2013 г. 16:30
    Модератор
  • в общем, не дождавшись толкового ответа решил сделать так, поставил все виртуальные каталоги с внешними адресами, и добавил в зону domain.com запись A mail.domain.com ip локальный ip адрес exchange сервера, в итоге снаружи все работает, правда немного медленнее подключается т.к. сначала ломится по адресу внутренней сети, затем понимаю что там никого нет идет по вешней и все норм. на а внутри тоже все прекрасно. если у кого-то есть более грамотные предложения по решению такого рода проблемы, большая просьба отписаться здесь. буду признателен любой информации.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    • Помечено в качестве ответа Alexey Shevelev 23 апреля 2013 г. 17:56
    23 апреля 2013 г. 17:55

Все ответы

  • Добрый день.

    Вы прописали ExternalUrl для виртуального каталога OAB?

    Кроме https ничего не надо.


    Blog - Smtp25.ru

    14 апреля 2013 г. 7:43
    Отвечающий
  • да конечно, внутренний прописан и внешний.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    14 апреля 2013 г. 7:55
  • а это ничего что при попытке входа на https://mail.mydomain.com/oab мне выдало сначала ввести логин и пароль, после чего

                                                                        

    Веб-сайт отклонил запрос на отображение веб-страницы

    HTTP 403

    Возможные причины:

    • Для доступа к этому веб-сайту требуется выполнить вход.

    Эта ошибка (HTTP 403 — запрещено) означает, что браузер Internet Explorer смог подключиться к веб-сайту, но у вас нет разрешения на просмотр веб-страницы.

    Дополнительные сведения об ошибках HTTP см. в справке


    Идти туда, где не ждут, Атаковать там, где не подготовились.


    14 апреля 2013 г. 8:02
  • хотя по внутрянке тоже самое выдает

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    14 апреля 2013 г. 8:05
  • У вас новая установка Exchange или была миграция?


    Сазонов Илья http://isazonov.wordpress.com/

    14 апреля 2013 г. 18:23
    Модератор
  • новая

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    14 апреля 2013 г. 18:31
  • в общем проблему пока так и не нашел, локально все работает нормально, а из вне почему то адресная книга не работает, да и видимо не только книга, потому как при включении outlook синхронизация папок тоже стоит, хотя письма приходят. что делать пока не знаю.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    15 апреля 2013 г. 16:46
  • еще есть такой момент.

    при настройке учетной записи обнаруживаю, что в параметрах следующее, чувствую что это не правильно, разве адрес не внешний должен стоять? типо mail.domain.com? и проверка подлинности правильная ли выставляется?

     


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    15 апреля 2013 г. 17:32
  • да, так и есть! стоило в файл hosts прописать что такое server.domain.local с внешним ip как все сало нормально.

    уважаемые гуру exchange, опыта работы с почтовиками не было, помогите исправить ситуацию, как сделать чтобы выдавал при автоответе правильные параметры. заранее спасибо.


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    15 апреля 2013 г. 17:37
  • Присоединяюсь. Проблема та же. Только в моём случае - миграция с Exchange 2010.

    16 апреля 2013 г. 5:32
  • Посмотрите, что выводят эти команды:

    Get-OutlookAnywhere | fl Name,*external*
    Get-OutlookProvider


    Blog - Smtp25.ru

    16 апреля 2013 г. 5:36
    Отвечающий
  • значит так

    [PS] C:\Windows\system32>Get-OutlookAnywhere | fl Name,*external*
    
    
    Name                               : Rpc (Default Web Site)
    ExternalHostname                   : mail.domain.com
    ExternalClientAuthenticationMethod : Negotiate
    ExternalClientsRequireSsl          : True

    [PS] C:\Windows\system32>Get-OutlookProvider
    
    Name                          Server                        CertPrincipalName             TTL
    ----                          ------                        -----------------             ---
    EXCH                                                                                      1
    EXPR                                                                                      1
    WEB                                                                                       1


    Идти туда, где не ждут, Атаковать там, где не подготовились.


    16 апреля 2013 г. 6:19
  • В общем, мне помогло выставление mail.domain.ru в провайдерах Outlook (Set-OutlookProvider -Identity msExchAutoDiscoverConfig -Server mail.domain.ru -CertPrincipalName msstd:mail.domain.ru -TTL 1), и внутренних и внешних адресах всех виртуальных каталогов.
    • Изменено Peter Koreshkov 16 апреля 2013 г. 6:42
    • Помечено в качестве ответа Alexey Shevelev 18 апреля 2013 г. 15:56
    • Снята пометка об ответе Alexey Shevelev 21 апреля 2013 г. 14:44
    16 апреля 2013 г. 6:41
  • интересно насколько это правильное решение?)

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    16 апреля 2013 г. 11:35
  • странно, но у меня пишет что msExchAutoDiscoverConfig не найден в DC

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    16 апреля 2013 г. 11:45
  • прописал

    Set-OutlookProvider EXCH -CertPrincipalName msstd:mail.domain.com
    Set-OutlookProvider EXCH -Server mail.domain.com

    тоже самое сделал для EXPR и WEB.

    при удалении конфигурации на клиенте и создании ее снова вторая строка в параметрах прокси-сервера стала msstd:mail.domain.com, а вот первая так и осталась server.domain.local

    где затык не знаю, и почему при попытке сделать предложение от Пётр Корешков выходит ошибка

    Не удалось выполнить операцию, поскольку объект 'msExchAutoDiscoverConfig' не найден в 'DC.domain.local'.


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    17 апреля 2013 г. 4:07
  • люди, ну подкиньте идею то) три дня сижу не пойму что сделать нужно

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    17 апреля 2013 г. 18:20
  • Я извиняюсь, "Set-OutlookProvider -Identity msExchAutoDiscoverConfig -Server mail.domain.ru -CertPrincipalName msstd:mail.domain.ru -TTL 1" - просто копипаст с технета про командлет Set-OutlookProvider.

    Я выставлял значения так: Get-OutlookProvider | Set-OutlookProvider -Server mail.domain.ru -CertPrincipalName msstd:mail.domain.ru -TTL 1

    Либо по одному Set-OutlookProvider -Identity EXCH (потом EXPR и WEB) -Server mail.domain.ru -CertPrincipalName msstd:mail.domain.ru -TTL 1

    18 апреля 2013 г. 7:23
  • Еще этот параметр прокси можно задать с помощью GPO. Может у вас GPO может у вас GPO раздает внутреннее значение?

    Blog - Smtp25.ru

    18 апреля 2013 г. 9:05
    Отвечающий
  • а где в gpo такие настройки выставляются?

    хотя постойте, внешние клиенты то не в домене или эти настройки действуют на почтовый сервер?


    Идти туда, где не ждут, Атаковать там, где не подготовились.



    18 апреля 2013 г. 10:07
  • еще такой момент, да такой параметр срабатывает, но результат тот же что я и описывал выше про команды

    Set-OutlookProvider EXCH -CertPrincipalName msstd:mail.domain.com
    Set-OutlookProvider EXCH -Server mail.domain.com

    а вот насчет прописать и вместо internal все external адреса, у вас проблем не возникло внутри локалки? и не пробовали ли вы копать сюда, указал только интересующие параметры, почему они пустые?

    Get-AutodiscoverVirtualDirectory
    
    InternalUrl                     :
    ExternalUrl                     :

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    18 апреля 2013 г. 12:00
  • InternalUrl и ExternalUrl у виртуального каталога Autodiscover никак не используются.

    GPO: например вот здесь эти настройки есть http://support.microsoft.com/kb/2426686


    Blog - Smtp25.ru


    18 апреля 2013 г. 12:05
    Отвечающий
  • такого шаблона у меня явно нет, так это на клиенте должно срабатывать или на сервере?

    Идти туда, где не ждут, Атаковать там, где не подготовились.


    18 апреля 2013 г. 12:16
  • GP, вероятно распространяется на клиента, если есть шаблон для настройки офиса через ГП. А Set-OutlookProvider и указание внешних/внутренних имен для виртуальных каталогов сервера Exchange влеяют на формирование autodiscover.xml. ИМХО.

    18 апреля 2013 г. 12:32
  • в принципе проблема решена, не знаю насколько правильно))

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    18 апреля 2013 г. 15:57
  • Это зависит от вашей конфигурации.

    Проще всего было зайти на сайт https://www.testexchangeconnectivity.com/ и получить ответ на вопрос почему не загружается OAB.

    Можно еще на клиенте открыть Test E-mail Autoconfiguration и посмотреть, что приходит на клиент.

    Этого достаточно, чтобы понять проблему.


    Сазонов Илья http://isazonov.wordpress.com/

    18 апреля 2013 г. 16:54
    Модератор
  • в том-то и дело, что тест ошибок не давал, все ровно, все поля зеленые, кроме domain.com.autodiscover т.к. у меня нет такого, и сразу после autodiscover.domian.com все good.

    test e-mail также ошибок не нес, на данный момент разница между тестом сделанным до нерабочей конфигурации и рабочей только в том, что внутренний и внешний стали одинаковы т.е. mail.domain.com

    p.s. кому пригодится поправлю Пётр Корешков лишние команды вводить не нужно, убрал записи сделанные Get-OutlookProvider | Set-OutlookProvider -Server mail.domain.ru -CertPrincipalName msstd:mail.domain.ru -TTL 1 т.е. как было по дефолту Get-OutlookProvider | Set-OutlookProvider -Server $null -CertPrincipalName $null -TTL 1  и так же все работает, т.е. достаточно было сменить внутренние адреса вирткаталогов на внешний адрес.

    Илья, помогите лучше с вопросом http://social.technet.microsoft.com/Forums/ru-RU/exchange2013ru/thread/48331189-d4f7-407d-a97e-94d74fa2e344 )


    Идти туда, где не ждут, Атаковать там, где не подготовились.


    18 апреля 2013 г. 17:12
  • 1. Вы сами ответили на свой вопрос: у вас нет autodiscover.domian.com

    2. Если вы делаете настройки согласно рекомендациям, то все работает OOB (Out Of Box). Если же вы отступили от типовых настроек, то вы обречены забивать "костыли".

    3. Посмотрите для чего нужен Outlook Provider http://blogs.technet.com/b/exchange/archive/2008/09/29/3406352.aspx


    Сазонов Илья http://isazonov.wordpress.com/

    19 апреля 2013 г. 16:36
    Модератор
  • пардон, вынужден тему поднять заново, оказалось что сделав все вирт каталоги по внешке, перестала книга грузиться внутри, т.е. работает только по внешке.

    Илья, вы не внимательно прочитали, у меня нету domain.com.autodiscover, а не autodiscover.domian.com, как раз таки второй есть и тест говорит все гуд.


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    19 апреля 2013 г. 16:56
  • 
     Анализатор ExRCA выполняет попытку проверки службы автообнаружения для cross@domain.com.
     
     
     Автообнаружение успешно проверено.
     
     
     
     Этапы проверки
     
     
     
     Проверка каждого способа подключения к службе автообнаружения.
     
     
     Проверка службы автообнаружения прошла успешно.
     
     
     
     Этапы проверки
     
     
     
     Попытка проверить потенциальный URL-адрес автообнаружения https://domain.com/AutoDiscover/AutoDiscover.xml
     
     
     Проверка URL-адреса автообнаружения успешно выполнена.
     
     
     
     Этапы проверки
     
     
     
     Attempting to resolve the host name domain.com in DNS.
     
     
     The host name resolved successfully.
     
     
     
     Подробнее
     
     
     IP addresses returned: 88.88.88.88
     
     
    
     
    
    
     Testing TCP port 443 on host domain.com to ensure it's listening and open.
     
     
     The port was opened successfully.
     
    
     
    
    
     Testing the SSL certificate to make sure it's valid.
     
     
     The certificate passed all validation requirements.
     
     
     
     Этапы проверки
     
     
     
     ExRCA is attempting to obtain the SSL certificate from remote server domain.com on port 443.
     
     
     ExRCA successfully obtained the remote SSL certificate.
     
     
     
     Подробнее
     
     
     Remote Certificate Subject: CN=*.domain.com, CN=*.domain.local, OU=Limited Liability Partnership Domain, O=IT, L=Uralsk, S=West Kazakhstan, C=COM, Issuer: CN=domain-DC-CA, DC=domain, DC=local.
     
     
    
     
    
    
     Validating the certificate name.
     
     
     The certificate name was validated successfully.
     
     
     
     Подробнее
     
     
     Host name domain.com was found in the Certificate Subject Alternative Name entry.
     
     
    
     
    
    
     Testing the certificate date to confirm the certificate is valid.
     
     
     Date validation passed. The certificate hasn't expired.
     
     
     
     Подробнее
     
     
     The certificate is valid. NotBefore = 11/22/2012 4:23:32 AM, NotAfter = 11/22/2014 4:23:32 AM
     
     
     
     
    
     
    
    
     Проверка конфигурации IIS для проверки подлинности сертификата клиента.
     
     
     Проверка подлинности сертификата клиента не обнаружена.
     
     
     
     Подробнее
     
     
     Принятые и необходимые сертификаты клиентов не настроены.
     
     
    
     
    
    
     Попытка отправить запрос POST автообнаружения на потенциальные URL-адреса автообнаружения.
     
     
     Анализатор ExRCA успешно получил параметры службы автообнаружения, отправив запрос POST автообнаружения.
     
     
     
     Этапы проверки
     
     
     
     Анализатор ExRCA выполняет попытку получить XML-ответ от службы автообнаружения с URL-адреса https://domain.com/AutoDiscover/AutoDiscover.xml для пользователя cross@domain.com.
     
     
     XML-ответ автообнаружения успешно получен.
     
     
     
     Подробнее
     
     
     Ответ XML параметров учетной записи
    автообнаружения:
    <?xml version="1.0"?>
    <Autodiscover xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006">
    <Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
    <User>
    <DisplayName>cross</DisplayName>
    <LegacyDN>/o=Limited Liability Partnership Domain/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=4372490bd8c94ae194f36</LegacyDN>
    <DeploymentId>778bffab-e6e0-4fe8-a471-c90026c63387</DeploymentId>
    </User>
    <Account>
    <AccountType>email</AccountType>
    <Action>settings</Action>
    <Protocol>
    <Type>EXCH</Type>
    <Server>0ac57eb3-9671-4af8-967c-1ae3a13c98eb@domain.com</Server>
    <ServerDN>/o=Limited Liability Partnership Domain/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=0ac57eb3-9671-4af8-967c-1ae3a13c98eb@domain.com</ServerDN>
    <ServerVersion>73C0826C</ServerVersion>
    <MdbDN>/o=Limited Liability Partnership Domain/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=0ac57eb3-9671-4af8-967c-1ae3a13c98eb@domain.com/cn=Microsoft Private MDB</MdbDN>
    <ASUrl>https://exc.domain.local/ews/exchange.asmx</ASUrl>
    <OOFUrl>https://exc.domain.local/ews/exchange.asmx</OOFUrl>
    <OABUrl>https://exc.domain.local/OAB/a751a490-ebd3-45ff-b2d9-6f421f74d443/</OABUrl>
    <UMUrl>https://exc.domain.local/ews/UM2007Legacy.asmx</UMUrl>
    <Port>0</Port>
    <DirectoryPort>0</DirectoryPort>
    <ReferralPort>0</ReferralPort>
    <CertPrincipalName>msstd:mail.domain.com</CertPrincipalName>
    <PublicFolderServer>mail.domain.com</PublicFolderServer>
    <AD>DC.domain.local</AD>
    <EwsUrl>https://exc.domain.local/ews/exchange.asmx</EwsUrl>
    <EmwsUrl>https://exc.domain.local/ews/exchange.asmx</EmwsUrl>
    <EcpUrl>https://exc.domain.local/ecp/</EcpUrl>
    <EcpUrl-um>?rfr=olk&amp;p=customize/voicemail.aspx&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-um>
    <EcpUrl-aggr>?rfr=olk&amp;p=personalsettings/EmailSubscriptions.slab&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-aggr>
    <EcpUrl-mt>PersonalSettings/DeliveryReport.aspx?rfr=olk&amp;exsvurl=1&amp;IsOWA=&lt;IsOWA&gt;&amp;MsgID=&lt;MsgID&gt;&amp;Mbx=&lt;Mbx&gt;&amp;realm=domain.local</EcpUrl-mt>
    <EcpUrl-ret>?rfr=olk&amp;p=organize/retentionpolicytags.slab&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-ret>
    <EcpUrl-sms>?rfr=olk&amp;p=sms/textmessaging.slab&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-sms>
    <EcpUrl-publish>customize/calendarpublishing.slab?rfr=olk&amp;exsvurl=1&amp;FldID=&lt;FldID&gt;&amp;realm=domain.local</EcpUrl-publish>
    <EcpUrl-photo>PersonalSettings/EditAccount.aspx?rfr=olk&amp;chgPhoto=1&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-photo>
    <EcpUrl-tm>?rfr=olk&amp;ftr=TeamMailbox&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-tm>
    <EcpUrl-tmCreating>?rfr=olk&amp;ftr=TeamMailboxCreating&amp;SPUrl=&lt;SPUrl&gt;&amp;Title=&lt;Title&gt;&amp;SPTMAppUrl=&lt;SPTMAppUrl&gt;&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-tmCreating>
    <EcpUrl-tmEditing>?rfr=olk&amp;ftr=TeamMailboxEditing&amp;Id=&lt;Id&gt;&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-tmEditing>
    <EcpUrl-extinstall>Extension/InstalledExtensions.slab?rfr=olk&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-extinstall>
    <ServerExclusiveConnect>off</ServerExclusiveConnect>
    </Protocol>
    <Protocol>
    <Type>EXPR</Type>
    <Server>mail.domain.com</Server>
    <ASUrl>https://mail.domain.com/ews/exchange.asmx</ASUrl>
    <OOFUrl>https://mail.domain.com/ews/exchange.asmx</OOFUrl>
    <OABUrl>https://mail.domain.com/OAB/a751a490-ebd3-45ff-b2d9-6f421f74d443/</OABUrl>
    <UMUrl>https://mail.domain.com/ews/UM2007Legacy.asmx</UMUrl>
    <Port>0</Port>
    <DirectoryPort>0</DirectoryPort>
    <ReferralPort>0</ReferralPort>
    <SSL>On</SSL>
    <AuthPackage>Ntlm</AuthPackage>
    <CertPrincipalName>msstd:mail.domain.com</CertPrincipalName>
    <EwsUrl>https://mail.domain.com/ews/exchange.asmx</EwsUrl>
    <EmwsUrl>https://mail.domain.com/ews/exchange.asmx</EmwsUrl>
    <EcpUrl>https://mail.domain.com/ecp/</EcpUrl>
    <EcpUrl-um>?rfr=olk&amp;p=customize/voicemail.aspx&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-um>
    <EcpUrl-aggr>?rfr=olk&amp;p=personalsettings/EmailSubscriptions.slab&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-aggr>
    <EcpUrl-mt>PersonalSettings/DeliveryReport.aspx?rfr=olk&amp;exsvurl=1&amp;IsOWA=&lt;IsOWA&gt;&amp;MsgID=&lt;MsgID&gt;&amp;Mbx=&lt;Mbx&gt;&amp;realm=domain.local</EcpUrl-mt>
    <EcpUrl-ret>?rfr=olk&amp;p=organize/retentionpolicytags.slab&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-ret>
    <EcpUrl-sms>?rfr=olk&amp;p=sms/textmessaging.slab&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-sms>
    <EcpUrl-publish>customize/calendarpublishing.slab?rfr=olk&amp;exsvurl=1&amp;FldID=&lt;FldID&gt;&amp;realm=domain.local</EcpUrl-publish>
    <EcpUrl-photo>PersonalSettings/EditAccount.aspx?rfr=olk&amp;chgPhoto=1&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-photo>
    <EcpUrl-tm>?rfr=olk&amp;ftr=TeamMailbox&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-tm>
    <EcpUrl-tmCreating>?rfr=olk&amp;ftr=TeamMailboxCreating&amp;SPUrl=&lt;SPUrl&gt;&amp;Title=&lt;Title&gt;&amp;SPTMAppUrl=&lt;SPTMAppUrl&gt;&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-tmCreating>
    <EcpUrl-tmEditing>?rfr=olk&amp;ftr=TeamMailboxEditing&amp;Id=&lt;Id&gt;&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-tmEditing>
    <EcpUrl-extinstall>Extension/InstalledExtensions.slab?rfr=olk&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-extinstall>
    <ServerExclusiveConnect>on</ServerExclusiveConnect>
    <EwsPartnerUrl>https://mail.domain.com/ews/exchange.asmx</EwsPartnerUrl>
    <GroupingInformation>Default-First-Site-Name</GroupingInformation>
    </Protocol>
    <Protocol>
    <Type>WEB</Type>
    <Port>0</Port>
    <DirectoryPort>0</DirectoryPort>
    <ReferralPort>0</ReferralPort>
    <Internal>
    <OWAUrl AuthenticationMethod="Basic, Fba">https://exc.domain.local/owa/</OWAUrl>
    <Protocol>
    <Type>EXCH</Type>
    <ASUrl>https://exc.domain.local/ews/exchange.asmx</ASUrl>
    </Protocol>
    </Internal>
    <External>
    <OWAUrl AuthenticationMethod="Fba">https://mail.domain.com/owa/</OWAUrl>
    <Protocol>
    <Type>EXPR</Type>
    <ASUrl>https://mail.domain.com/ews/exchange.asmx</ASUrl>
    </Protocol>
    </External>
    </Protocol>
    </Account>
    </Response>
    </Autodiscover>
    такой тест выдеает testexchangeconnectivity.com, как видите Илья как бы все гуд, куда копать дальше, не подскажите?

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    22 апреля 2013 г. 12:40
  • в общем, не дождавшись толкового ответа решил сделать так, поставил все виртуальные каталоги с внешними адресами, и добавил в зону domain.com запись A mail.domain.com ip локальный ip адрес exchange сервера, в итоге снаружи все работает, правда немного медленнее подключается т.к. сначала ломится по адресу внутренней сети, затем понимаю что там никого нет идет по вешней и все норм. на а внутри тоже все прекрасно. если у кого-то есть более грамотные предложения по решению такого рода проблемы, большая просьба отписаться здесь. буду признателен любой информации.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    • Помечено в качестве ответа Alexey Shevelev 23 апреля 2013 г. 17:56
    23 апреля 2013 г. 17:55
  • Видно, что у вас <CertPrincipalName>msstd:mail.domain.com</CertPrincipalName> для внутренних и внешних подключений одинаковый, хотя имена URL разные.


    Сазонов Илья http://isazonov.wordpress.com/

    24 апреля 2013 г. 9:21
    Модератор
  • </CertPrincipalName> для внутренних и внешних

    выставлял так Get-OutlookProvider | Set-OutlookProvider -Server mail.domain.ru -CertPrincipalName msstd:mail.domain.ru -TTL 1 соответственно выставилось всех expr, exch, web, т.е. ставить нужно только для какого одного?

    ошибка в этом?


    Идти туда, где не ждут, Атаковать там, где не подготовились.


    24 апреля 2013 г. 9:35
  • Клиент обращается к серверу по имени, это же имя должно быть в сертификате, и это же имя должно быть в msstd.

    Для внутренних подключений это одни значения, для внешних другие (если конечно у вас нет split DNS).


    Сазонов Илья http://isazonov.wordpress.com/

    24 апреля 2013 г. 10:41
    Модератор
  • сейчас сделал так

    сбросил все заново и выставил так

    Set-OutlookProvider EXCH -Server server.domain.local -CertPrincipalName msstd:server.domain.local
    Set-OutlookProvider EXPR -Server mail.domain.com -CertPrincipalName msstd:mail.domain.com

    сертификат выпущен корневым CA с функцией SAN все записи в нем присутствуют.

    как я понял теперь нужно вернуть internal url значения которые были до изменения т.е. server.domain.local?

    перезагрузить почтовик и проверить или еще что нужно сразу сделать?


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    24 апреля 2013 г. 10:45
  • как я понял теперь нужно вернуть internal url значения которые были до изменения т.е. server.domain.local?


    Ну если у вас нет Split DNS, то да.

    Сазонов Илья http://isazonov.wordpress.com/

    24 апреля 2013 г. 10:57
    Модератор
  • большое спасибо, Илья, попробую отпишусь.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    24 апреля 2013 г. 11:12
  • не работает все равно, Илья, может еще что глянуть нужно?

     	Анализатор ExRCA выполняет попытку проверки службы автообнаружения для cross@domain.com.
     	Автообнаружение успешно проверено.
     	 	Этапы проверки
     	 	Проверка каждого способа подключения к службе автообнаружения.
     	Проверка службы автообнаружения прошла успешно.
     	 	Этапы проверки
     	 	Попытка проверить потенциальный URL-адрес автообнаружения https://domain.com/AutoDiscover/AutoDiscover.xml
     	Не удалось выполнить проверку потенциального URL-адреса автообнаружения.
     	 	Этапы проверки
     	 	Attempting to resolve the host name domain.com in DNS.
     	The host name resolved successfully.
     	 	Подробнее
     	IP addresses returned: 88.88.88.88
    
     	Testing TCP port 443 on host domain.com to ensure it's listening and open.
     	The port was opened successfully.
     	Testing the SSL certificate to make sure it's valid.
     	The certificate passed all validation requirements.
     	 	Этапы проверки
     	 	ExRCA is attempting to obtain the SSL certificate from remote server domain.com on port 443.
     	ExRCA successfully obtained the remote SSL certificate.
     	 	Подробнее
     	Remote Certificate Subject: CN=*.domain.com, CN=*.domain.local, OU=Limited Liability Partnership Domain, O=IT, L=Uralsk, S=West Kazakhstan, C=COM, Issuer: CN=domain-DC-CA, DC=domain, DC=local.
    
     	Validating the certificate name.
     	The certificate name was validated successfully.
     	 	Подробнее
     	Host name domain.com was found in the Certificate Subject Alternative Name entry.
    
     	Testing the certificate date to confirm the certificate is valid.
     	Date validation passed. The certificate hasn't expired.
     	 	Подробнее
     	The certificate is valid. NotBefore = 11/22/2012 4:23:32 AM, NotAfter = 11/22/2014 4:23:32 AM
    
    
    
     	Проверка конфигурации IIS для проверки подлинности сертификата клиента.
     	Проверка подлинности сертификата клиента не обнаружена.
     	 	Подробнее
     	Принятые и необходимые сертификаты клиентов не настроены.
    
     	Попытка отправить запрос POST автообнаружения на потенциальные URL-адреса автообнаружения.
     	Не удалось получить параметры службы автообнаружения при отправке запроса POST в эту службу.
     	 	Этапы проверки
     	 	Анализатор ExRCA выполняет попытку получить XML-ответ от службы автообнаружения с URL-адреса https://domain.com/AutoDiscover/AutoDiscover.xml для пользователя cross@domain.com.
     	Анализатору ExRCA не удалось получить XML-ответ службы автообнаружения.
     	 	Подробнее
     	Получен запрещенный ответ HTTP 403. Этот ответ отправлен Unknown. Текст ответа: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
    <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en">
    <head>
    
    <title>Не удается отобразить страницу</title>
    <meta http-equiv="content-type" content="text/html; charset=utf-8" />
    
    <style>
    body {
    
    background:#e5eaf5 url(/Wbo-E38DF29E-B2FE-48D6-9CB2-30A3C81A88A7/bg.gif) top left repeat-x ;
    margin:0px 0px 0px 0px;
    font-family:Arial, Helvetica, sans-serif;
    min-width:1000px;
    font-size:12px;
    color:#000000;
    direction:ltr;
    }
    img {border:none}
    
    
    .main {
    width:100%;
    background:url(/Wbo-E38DF29E-B2FE-48D6-9CB2-30A3C81A88A7/topright.gif) top right no-repeat;
    min-width:1000px;
    min-height:400px;
    margin-left:auto;
    margin-right:auto;
    text-align:left;
    }
    
    .logo {float:left; height:103px; }
    .sidetext {float:right; width:182px; height:52px; background:url(/Wbo-E38DF29E-B2FE-48D6-9CB2-30A3C81A88A7/sidetext.png) top left; border:1px solid #2a2e31; margin-right:20px; margin-top:20px; padding:4px; }
    .sidetextNone {visibility:hidden; }
    
    .whiteline {float:left; clear:both; font-size:20px; margin-left:47px; margin-top:17px; color:#ffffff; white-space:nowrap; }
    .bold {font-weight:bold;}
    
    .maintext {float:left; margin-top:20px; clear:both; color:#000; margin-left:47px;}
    
    .color1 {color:#677183;}
    
    ul {margin-top:0; padding-left:15px; padding-top:5px; padding-bottom:5px;}
    
    ul li {list-style-image:url(/Wbo-E38DF29E-B2FE-48D6-9CB2-30A3C81A88A7/bullet.gif)}
    A {
    FONT-WEIGHT: bold; COLOR: #005a80;
    }
    A:hover {
    FONT-WEIGHT: bold;COLOR: #0d3372;
    }
    </style>
    
    </head>
    <body>
    <div class="main">
    <div class="logo"><img src="/Wbo-E38DF29E-B2FE-48D6-9CB2-30A3C81A88A7/logo.png" alt="ForeFront" /></div>
    <div class="whiteline"><td id=L_defaultr_3><span class="bold">Сообщение о доступе к сети:</span> не удается отобразить страницу </td></div>
    <div class="maintext">
    <td id=L_defaultr_5><span class="bold color1">Объяснение:</span> при попытке обращения к этой странице произошла ошибка; страницу отобразить невозможно.</td><br />
    <br />
    
    <td id=L_defaultr_7><span class="bold color1">Рекомендуемые действия</span></td><br />
    <ul>
    <li><td id=L_defaultr_8><span class="bold">Обновление страницы:</span> выполните повторный поиск страницы, нажав кнопку "Обновить". Возможно, истекло время ожидания из-за перегрузки Интернета.</td></li>
    <li><td id=L_defaultr_9><span class="bold">Проверка написания:</span> убедитесь в том, что адрес веб-страницы введен правильно. Возможно, адрес введен с ошибками.</td></li>
    <li><td id=L_defaultr_10><span class="bold">Доступ по ссылке:</span> если имеется ссылка на искомую страницу, попробуйте получить доступ к странице с помощью этой ссылки.</td></li>
    </ul>
    
    <td id=L_defaultr_11><span class="bold color1">Технические сведения (для сотрудников службы поддержки)</span></td><br />
    <ul>
    <li><td id=L_defaultr_12><span class="bold">Код ошибки:</span></td> 403 Запрет доступа. Сервер отклонил указанный URL-адрес. Обратитесь к администратору сервера. (12202) </li>
    </ul>
    </div>
    </div>
    </body>
    </html>
    
    
    
    
    
     	Попытка проверить потенциальный URL-адрес автообнаружения https://autodiscover.domain.com/AutoDiscover/AutoDiscover.xml
     	Проверка URL-адреса автообнаружения успешно выполнена.
     	 	Этапы проверки
     	 	Attempting to resolve the host name autodiscover.domain.com in DNS.
     	The host name resolved successfully.
     	 	Подробнее
     	IP addresses returned: 88.88.88.88
    
     	Testing TCP port 443 on host autodiscover.domain.com to ensure it's listening and open.
     	The port was opened successfully.
     	Testing the SSL certificate to make sure it's valid.
     	The certificate passed all validation requirements.
     	 	Этапы проверки
     	 	ExRCA is attempting to obtain the SSL certificate from remote server autodiscover.domain.com on port 443.
     	ExRCA successfully obtained the remote SSL certificate.
     	 	Подробнее
     	Remote Certificate Subject: CN=*.domain.com, CN=*.domain.local, OU=Limited Liability Partnership Domain, O=IT, L=Uralsk, S=West Kazakhstan, C=COM, Issuer: CN=domain-DC-CA, DC=domain, DC=local.
    
     	Validating the certificate name.
     	The certificate name was validated successfully.
     	 	Подробнее
     	The host name that was found, autodiscover.domain.com, is a wildcard certificate match for common name *.domain.com.
    
     	Testing the certificate date to confirm the certificate is valid.
     	Date validation passed. The certificate hasn't expired.
     	 	Подробнее
     	The certificate is valid. NotBefore = 11/22/2012 4:23:32 AM, NotAfter = 11/22/2014 4:23:32 AM
    
    
    
     	Проверка конфигурации IIS для проверки подлинности сертификата клиента.
     	Проверка подлинности сертификата клиента не обнаружена.
     	 	Подробнее
     	Принятые и необходимые сертификаты клиентов не настроены.
    
     	Попытка отправить запрос POST автообнаружения на потенциальные URL-адреса автообнаружения.
     	Анализатор ExRCA успешно получил параметры службы автообнаружения, отправив запрос POST автообнаружения.
     	 	Этапы проверки
     	 	Анализатор ExRCA выполняет попытку получить XML-ответ от службы автообнаружения с URL-адреса https://autodiscover.domain.com/AutoDiscover/AutoDiscover.xml для пользователя cross@domain.com.
     	XML-ответ автообнаружения успешно получен.
     	 	Подробнее
     	Ответ XML параметров учетной записи
    автообнаружения:
    <?xml version="1.0"?>
    <Autodiscover xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/serverhange/autodiscover/responseschema/2006">
    <Response xmlns="http://schemas.microsoft.com/serverhange/autodiscover/outlook/responseschema/2006a">
    <User>
    <DisplayName>cross</DisplayName>
    <LegacyDN>/o=Limited Liability Partnership Domain/ou=Serverhange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=4372490bd8c94ae194f36</LegacyDN>
    <DeploymentId>778bffab-e6e0-4fe8-a471-c90026c63387</DeploymentId>
    </User>
    <Account>
    <AccountType>email</AccountType>
    <Action>settings</Action>
    <Protocol>
    <Type>EXCH</Type>
    <Server>0ac57eb3-9671-4af8-967c-1ae3a13c98eb@domain.com</Server>
    <ServerDN>/o=Limited Liability Partnership Domain/ou=Serverhange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=0ac57eb3-9671-4af8-967c-1ae3a13c98eb@domain.com</ServerDN>
    <ServerVersion>73C0826C</ServerVersion>
    <MdbDN>/o=Limited Liability Partnership Domain/ou=Serverhange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=0ac57eb3-9671-4af8-967c-1ae3a13c98eb@domain.com/cn=Microsoft Private MDB</MdbDN>
    <ASUrl>https://server.domain.local/ews/serverhange.asmx</ASUrl>
    <OOFUrl>https://server.domain.local/ews/serverhange.asmx</OOFUrl>
    <OABUrl>https://server.domain.local/OAB/a751a490-ebd3-45ff-b2d9-6f421f74d443/</OABUrl>
    <UMUrl>https://server.domain.local/ews/UM2007Legacy.asmx</UMUrl>
    <Port>0</Port>
    <DirectoryPort>0</DirectoryPort>
    <ReferralPort>0</ReferralPort>
    <CertPrincipalName>msstd:server.domain.local</CertPrincipalName>
    <PublicFolderServer>mail.domain.com</PublicFolderServer>
    <AD>DC.domain.local</AD>
    <EwsUrl>https://server.domain.local/ews/serverhange.asmx</EwsUrl>
    <EmwsUrl>https://server.domain.local/ews/serverhange.asmx</EmwsUrl>
    <EcpUrl>https://server.domain.local/ecp/</EcpUrl>
    <EcpUrl-um>?rfr=olk&amp;p=customize/voicemail.aspx&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-um>
    <EcpUrl-aggr>?rfr=olk&amp;p=personalsettings/EmailSubscriptions.slab&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-aggr>
    <EcpUrl-mt>PersonalSettings/DeliveryReport.aspx?rfr=olk&amp;exsvurl=1&amp;IsOWA=&lt;IsOWA&gt;&amp;MsgID=&lt;MsgID&gt;&amp;Mbx=&lt;Mbx&gt;&amp;realm=domain.local</EcpUrl-mt>
    <EcpUrl-ret>?rfr=olk&amp;p=organize/retentionpolicytags.slab&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-ret>
    <EcpUrl-sms>?rfr=olk&amp;p=sms/textmessaging.slab&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-sms>
    <EcpUrl-publish>customize/calendarpublishing.slab?rfr=olk&amp;exsvurl=1&amp;FldID=&lt;FldID&gt;&amp;realm=domain.local</EcpUrl-publish>
    <EcpUrl-photo>PersonalSettings/EditAccount.aspx?rfr=olk&amp;chgPhoto=1&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-photo>
    <EcpUrl-tm>?rfr=olk&amp;ftr=TeamMailbox&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-tm>
    <EcpUrl-tmCreating>?rfr=olk&amp;ftr=TeamMailboxCreating&amp;SPUrl=&lt;SPUrl&gt;&amp;Title=&lt;Title&gt;&amp;SPTMAppUrl=&lt;SPTMAppUrl&gt;&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-tmCreating>
    <EcpUrl-tmEditing>?rfr=olk&amp;ftr=TeamMailboxEditing&amp;Id=&lt;Id&gt;&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-tmEditing>
    <EcpUrl-extinstall>Extension/InstalledExtensions.slab?rfr=olk&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-extinstall>
    <ServerServerlusiveConnect>off</ServerServerlusiveConnect>
    </Protocol>
    <Protocol>
    <Type>EXPR</Type>
    <Server>mail.domain.com</Server>
    <ASUrl>https://mail.domain.com/ews/serverhange.asmx</ASUrl>
    <OOFUrl>https://mail.domain.com/ews/serverhange.asmx</OOFUrl>
    <OABUrl>https://mail.domain.com/OAB/a751a490-ebd3-45ff-b2d9-6f421f74d443/</OABUrl>
    <UMUrl>https://mail.domain.com/ews/UM2007Legacy.asmx</UMUrl>
    <Port>0</Port>
    <DirectoryPort>0</DirectoryPort>
    <ReferralPort>0</ReferralPort>
    <SSL>On</SSL>
    <AuthPackage>Ntlm</AuthPackage>
    <CertPrincipalName>msstd:mail.domain.com</CertPrincipalName>
    <EwsUrl>https://mail.domain.com/ews/serverhange.asmx</EwsUrl>
    <EmwsUrl>https://mail.domain.com/ews/serverhange.asmx</EmwsUrl>
    <EcpUrl>https://mail.domain.com/ecp/</EcpUrl>
    <EcpUrl-um>?rfr=olk&amp;p=customize/voicemail.aspx&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-um>
    <EcpUrl-aggr>?rfr=olk&amp;p=personalsettings/EmailSubscriptions.slab&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-aggr>
    <EcpUrl-mt>PersonalSettings/DeliveryReport.aspx?rfr=olk&amp;exsvurl=1&amp;IsOWA=&lt;IsOWA&gt;&amp;MsgID=&lt;MsgID&gt;&amp;Mbx=&lt;Mbx&gt;&amp;realm=domain.local</EcpUrl-mt>
    <EcpUrl-ret>?rfr=olk&amp;p=organize/retentionpolicytags.slab&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-ret>
    <EcpUrl-sms>?rfr=olk&amp;p=sms/textmessaging.slab&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-sms>
    <EcpUrl-publish>customize/calendarpublishing.slab?rfr=olk&amp;exsvurl=1&amp;FldID=&lt;FldID&gt;&amp;realm=domain.local</EcpUrl-publish>
    <EcpUrl-photo>PersonalSettings/EditAccount.aspx?rfr=olk&amp;chgPhoto=1&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-photo>
    <EcpUrl-tm>?rfr=olk&amp;ftr=TeamMailbox&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-tm>
    <EcpUrl-tmCreating>?rfr=olk&amp;ftr=TeamMailboxCreating&amp;SPUrl=&lt;SPUrl&gt;&amp;Title=&lt;Title&gt;&amp;SPTMAppUrl=&lt;SPTMAppUrl&gt;&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-tmCreating>
    <EcpUrl-tmEditing>?rfr=olk&amp;ftr=TeamMailboxEditing&amp;Id=&lt;Id&gt;&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-tmEditing>
    <EcpUrl-extinstall>Extension/InstalledExtensions.slab?rfr=olk&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-extinstall>
    <ServerServerlusiveConnect>on</ServerServerlusiveConnect>
    <EwsPartnerUrl>https://mail.domain.com/ews/serverhange.asmx</EwsPartnerUrl>
    <GroupingInformation>Default-First-Site-Name</GroupingInformation>
    </Protocol>
    <Protocol>
    <Type>WEB</Type>
    <Port>0</Port>
    <DirectoryPort>0</DirectoryPort>
    <ReferralPort>0</ReferralPort>
    <Internal>
    <OWAUrl AuthenticationMethod="Basic, Fba">https://server.domain.local/owa/</OWAUrl>
    <Protocol>
    <Type>EXCH</Type>
    <ASUrl>https://server.domain.local/ews/serverhange.asmx</ASUrl>
    </Protocol>
    </Internal>
    <External>
    <OWAUrl AuthenticationMethod="Fba">https://mail.domain.com/owa/</OWAUrl>
    <Protocol>
    <Type>EXPR</Type>
    <ASUrl>https://mail.domain.com/ews/serverhange.asmx</ASUrl>
    </Protocol>
    </External>
    </Protocol>
    </Account>
    </Response>
    </Autodiscover>


    Идти туда, где не ждут, Атаковать там, где не подготовились.


    24 апреля 2013 г. 15:16
  • Сегодня закончил разбираться с точной такой же проблемой: внутри сети OAB грузится без проблем, снаружи "подключение автономной адресной книги" висит.

    Exchange 2013 проброшен через ISA 2006.

    внешние URL виртуальных каталогов mail.domain.ru

    внутренние URL mail.office.domai.ru

    Все тесты проходят, как из Outlook, так и с сайта testexchangeconnectivity.com

    Если в браузере набрать https://mail.domain.ru/OAB/219a6a56-0a77-4fc6-af49-74ede4c2cbd0/oab.xml

    или

    https://mail.office.domain.ru/OAB/219a6a56-0a77-4fc6-af49-74ede4c2cbd0/oab.xml

    то после ввода имени и пароля получаем xml файл.

    Включил на ISA лог и стал смотреть:

    оказалось, что Outlook снаружи даже не пытается загружать OAB.

    Сделал в hosts соответствие mail.domain.office.ru = mail.domain.ru: OAB сразу же загрузилась.

    Изменил внутренний URL каталога OAB на внешний адрес, т.е. везде и внутренний и внешний сделал mail.domain.ru и всё стало отлично (на ISA тоже в лога видно получение OAB)

     

    24 апреля 2013 г. 17:10
  • а как решили проблему локальных клиентов? ведь если меняете на внешний адрес, они то идут по адресу mail.domian.com который в свою очередь 88.88.88.88, т.е. решение похоже на те что объявлены выше, только вот после таких манипуляций, книга висит у локальных юзеров.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    24 апреля 2013 г. 17:58
  • А почему у них должно висеть ?

    В случае с внешним клиентом, когда у него висит загрузка oab всё понятно: ему недоступен внутренний адрес сервера.

    А внешний то адрес сервера доступен всем и всегда, включая внутренних клиентов, разве нет ? Допустим, внутренний клиент получил адрес для загрузки oab 88.88.88.88: ну и пусть он туда идет, tmg или isa перебросят его на внутренний сервер.

    24 апреля 2013 г. 18:07
  • каким образом tmg перебросит клиента, который хочет пойти на внешний адрес на нужную машину? для внутреннего клиента mail.domian.com это всего лишь внешний ip адрес, который не присвоен локальной машине почтового сервера, если поясните как вы это реализовали буду признателен.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    24 апреля 2013 г. 18:45
  • Внесу свои 5 копеек. У меня сейчас идет тенденция использования одинаковых адресов как снаружи так и изнутри. Тот же Exchnage обслуживает 5 доменов, а еще есть SharePoint и пр.

    Про Exchange: как я уже говорил, у меня установлены и внешние адреса и внутренние mail.domain.ru и autodiscover.domain.ru. В внешних DNS зонах всех 5 доменов прописаны записи A, MX, SRV, TXT. На внутреннем DNS сервере также создал зоны для всех 5 доменов: в каждой зоне есть SRV запись, которая ссылается на autodiscover.domain.ru, а записи autodiscover и mail сделал CNAME на Exch.domain.local.

    Про TMG: для Exchnage настроил 5 правил: SMTP to EDGE, ExchangeAutodiscover, ExchangeActiveSync, ExchangeAnyWhere, ExchangeOWA. Последние 4 настроены так: внешнее имя mail.<все мои 5 доменов>.ru, куда: mail.domain.ru не пересылая внешнее имя, для всех пользователей; правила отличаются только путями.

    Единственный нюанс, TestExchnageConnectivity не может проверить сертификат на TMG т.к. в нём приписаны имена вида *.<все мои 5 доменов>.ru; но на практике всё работает.

    25 апреля 2013 г. 4:37
  • каким образом tmg перебросит клиента, который хочет пойти на внешний адрес на нужную машину? для внутреннего клиента mail.domian.com это всего лишь внешний ip адрес, который не присвоен локальной машине почтового сервера, если поясните как вы это реализовали буду признателен.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    Виртуальный каталог OAB по сути своей веб сайт, ну или кусок веб сайта. Когда вы публикуете какой-либо веб сайт, это же не значит, что внутренние клиенты не могут на него пойти, правильно же ? Им вообще не нужно знать ваши внутренние имена, а только внешнее имя сервера, а дальнейшее уже пусть делает TMG. Тоже самое и с OAB. Попробуйте просто доступ к oab из браузера:

    https://mail.domain.com/OAB/a751a490-ebd3-45ff-b2d9-6f421f74d443/oab.xml

    и

    https://server.domain.local/OAB/a751a490-ebd3-45ff-b2d9-6f421f74d443/oab.xml

    должен быть запрос имени и пароля, после чего получение xml файла.

    В моем случае Outlook 2013 вообще не пытался загрузить oab,  о чем видно из логов isa.

    Посмотрите и вы: куда обращается клиент при загрузке OAB снаружи и изнутри

    К слову сказать, "из коробки" всё работало и oab грузилась, но после того, как я поменял параметры Outlook Anywhere перестала.

    Изначально было:

    "согласование" + "разгрузка SSL"

    Я изменил на:

    NTLM и убрал разгрузку SSL

    И еще:

    При тестировании автоконфигурации из Outlook мне не понравились результаты: Протокол Exchange RPC.

    P.S. Если у вас TMG в качестве гейта для клиентов, то попробуйте, если такая возможность есть, выпустить клиента через какой-либо другой гейт.

    • Изменено antfirefly 25 апреля 2013 г. 5:15
    25 апреля 2013 г. 5:07
  • В моем случае Outlook 2013 вообще не пытался загрузить oab,  о чем видно из логов isa.

    У меня была та же проблема. Повторюсь, но решил указав одинаковые внутренние и внешние URL, указав домен внешнего доступа и указав в OutlookProvider внешние URL. Обратите внимание на URL .../oab/, что написано в проверке автоконфигурации.
    25 апреля 2013 г. 5:32
  • Петр, ваш метод действительно сработал, но только для внешних клиентов, я вообще не могу понять, как у вас и у antfirefly внешний url работает внутри, если не добавить в dns запись A mail.domain.com ip 192.168.x.x то откуда клиент знает что это такое, ведь по адресу он лезет на https://mail.domian.com/oab/ не так ли? и поскольку во внешней зоне dns domain.com A запись mail.domian.com 88.88.x.x то куда он будет лезть за этим сайтом? правильно, на 88.88.x.x, и поскольку локальный почтовый сервер не имеет такого ip адреса, то и сайт не отображается.

    может быть у меня dns зона не правильно настроена, не скинете ли свои записи как сделано у вас? внешнюю зону.


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    25 апреля 2013 г. 6:38
  • на 88.88.x.x, и поскольку локальный почтовый сервер не имеет такого ip адреса, то и сайт не отображается.


    На адресе 88.88.88.88 с именем mail.domain.com у вас должен стоять tmg с прослушивателем и правилами публикации. Или я что-то не понимаю...

    Повторюсь, но решил указав одинаковые внутренние и внешние URL, указав домен внешнего доступа

    Так и я о том же, у меня для OAB задан как внутренний адрес, так и внешний один и тот же mail.domain.ru

    25 апреля 2013 г. 6:48
  • На скорую руку как-то так:

    1. внешняя зона DNS. Узлы А ссылаются на белые ip моего TMG

    2. DNS на моих серверах:

     

     

     

    25 апреля 2013 г. 8:21
  • Оказывается можно только 2 картинки на пост )

    3. TMG:

    25 апреля 2013 г. 8:22
  • ну в принципе тоже самое, с той лишь разницей что у меня внешнего dns нет, и все делается на моем локальном dns, а так записи все также. ума не приложу каким макаром tmg перебрасывает ваших клиентов и как без записи A во внешней зоне указывающей на локальный ip почтового сервера они видят внешние адреса, т.е. в моем случае, если клиент стучится на https://server.domain.local/owa он заходит без проблем, но когда клиент пытается зайти на https://mail.domain.com/owa tmg блокирует, 403 запрет доступа или ссылка не найдена.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    25 апреля 2013 г. 12:08
  • > "с той лишь разницей что у меня внешнего dns нет, и все делается на моем локальном dns"

    Насколько я понял, для вашей внешней зоны domain.com у хостера DNS сервер прописан ваш локальный DNS сервер и TMG делает проброс DNS запросов на локальный DNS сервер?

    Тогда можно попробовать на TMG сделать листенер для внутренней сети и правило, которое запросы на mail.domain.com будет пересылать на mail.domain.local

    У меня внешние клиенты mail.domain.ru разрешают как внешний ip TMG, а внутренние как локальный ip Exchnage сервера

    26 апреля 2013 г. 5:24
  • что-то пробовал, никак не перенаправляет, либо вообще кроет mail.domian.com либо ошибка про которую описывал. есть ли идеи как правильно такое правило сделать?

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    26 апреля 2013 г. 7:58
  • Есть такое понятие как Split DNS, т.е. один и тот же домен есть на внешнем DNS и на внутреннем, то на внутреннем адреса хостов не внешние, а внутренние. Можно не создавать целиком зону на внутреннем DNS, а использовать прием под именем PinPoint.

    Что касается вашего основного вопроса, то лучше всего вам открыть кейс в официальной тех. поддержке, т.к. внешне все выглядит правильно, но не работает: либо у вас проблема где-то в другом месте, либо это баг, только он уж слишком очевидный (хотя есть похожий баг с PF, но это уже другая история).

    Остается заметить, что официальная рекомендация - использовать Split DNS, т.е. одни и те же имена внутри и снаружи.


    Сазонов Илья http://isazonov.wordpress.com/

    • Помечено в качестве ответа Alexey Shevelev 30 апреля 2013 г. 17:59
    27 апреля 2013 г. 16:30
    Модератор
  • к сожалению у меня domain.local и domain.com, их можно в split сделать? порывшись в Нэте увидел только, что такое применимо при external domain.com и internal domain.com. если имеется полезная ссылка буду благодарен.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    27 апреля 2013 г. 18:23
  • Илья, а если заново создать oabvirtauldirectory это может решить ситуацию или вряд ли? бывало такое на практике что приходилось пересоздавать?


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    29 апреля 2013 г. 16:47
  • все, решил проблему поднятием еще одного dns и настройки slplit dns.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    30 апреля 2013 г. 17:03