none
Exchange 2013 ActiveSync Outlook 2013 ошибка подключения RRS feed

  • Вопрос

  • Добрый день коллеги.

    Имеется AD 2012  contoso.local , центр сертификации, Exchange 2010 (мигрирую на 2013). В DNS зона ru создана и настроена. 

    После переключения всех портов не могу подключить Outlook 2010-13 из интернета (на 2010 была такая же проблема.). ошибка - нет связи.

    Если проверять через https://testconnectivity.microsoft.com/ то все нормально. Естественно ругается на доверие к сертификату. Все нужные Домены в сертификат прописаны. виртуальные каталоги отредактированы. С телефонов (Андроид Иос) все подключается. Не работает толком Imap и Outlook (все время запрашивает пароль). Если установить mozilla thunderbird то все великолепно. Сертификаты на машинах в доверенных.

    Помогите разобраться в чем собака зарылась... 

    18 января 2016 г. 13:41

Все ответы

  • Сертификаты центра сертификации добавлены в доверенные корневые центры сертификации, верно?
    18 января 2016 г. 13:56
  • Да все верно. 
    18 января 2016 г. 14:05
  • а что значит "После переключения всех портов"
    18 января 2016 г. 14:35
  • Миграция с 2010 на 2013 - переключение трафика по портам 25, 143, 443 и тд и тп. 

    После переключения отвалился Imap и подключения через Outlook не восстанавливается, постоянно просит логин пароль. В логах валятся ошибки авторизации.  С другими почтовыми клиентами  Imap проблем нет. 

    Переключение произошло месяц назад. Все это время искал решение но так и не нашел. Решил обратится к сообществу за помощью. 
    18 января 2016 г. 14:40
  • Миграция с 2010 на 2013 - переключение трафика по портам 25, 143, 443 и тд и тп. 

    После переключения отвалился Imap и подключения через Outlook не восстанавливается, постоянно просит логин пароль. В логах валятся ошибки авторизации.  С другими почтовыми клиентами  Imap проблем нет. 

    Переключение произошло месяц назад. Все это время искал решение но так и не нашел. Решил обратится к сообществу за помощью. 

    1) Можно я уточню еще раз: В доверенные центры сертификации доавлен сертификат вашего ЦС, а не тот сертификат, который вы выпустили для почты, верно?

    2) Как опубликован в интернет почтовый сервер? (по каким внешним url идет подключение?)

    3) А что прописано в сертификате?

    4) Какой способ аутентификации выбрано в настройках outlook anywhere?

    5) С внутренними клиентами нет проблем?

    6) какой вывод у команды get-outlookprovider?

    7) посмотрите в настройки в "панель управления->почта->учетные записи->изменить->другие настройки-> вкладка подключение->параметры прокси сервера" на рабочем клиенте. Попробуйте задать эти настройки вручную. 

    18 января 2016 г. 18:28
  • И еще: какая версия Exchnage 2010 и 2013?
    18 января 2016 г. 18:29
  • Миграция с 2010 на 2013 - переключение трафика по портам 25, 143, 443 и тд и тп. 

    После переключения отвалился Imap и подключения через Outlook не восстанавливается, постоянно просит логин пароль. В логах валятся ошибки авторизации.  С другими почтовыми клиентами  Imap проблем нет. 

    Переключение произошло месяц назад. Все это время искал решение но так и не нашел. Решил обратится к сообществу за помощью. 

    1) Можно я уточню еще раз: В доверенные центры сертификации доавлен сертификат вашего ЦС, а не тот сертификат, который вы выпустили для почты, верно?

    2) Как опубликован в интернет почтовый сервер? (по каким внешним url идет подключение?)

    3) А что прописано в сертификате?

    4) Какой способ аутентификации выбрано в настройках outlook anywhere?

    5) С внутренними клиентами нет проблем?

    6) какой вывод у команды get-outlookprovider?

    7) посмотрите в настройки в "панель управления->почта->учетные записи->изменить->другие настройки-> вкладка подключение->параметры прокси сервера" на рабочем клиенте. Попробуйте задать эти настройки вручную. 

    1) Да верно. 

    миграцию проводил по данному мануалу http://admsoft.ru/perexod-s-exchange-2010-na-exchange-2013

    2) подключение идет по mail.**.ru  (без тмг )

    3) прописаны как внутренние хосты .local так и внешние .ru 

    4) NTLM

    5) в домене настройки подхватываются через аутодискавери, проблем нет. 

    6) 

    [PS] C:\Windows\system32>get-outlookprovider

    Name                          Server                        CertPrincipalName             TTL
    ----                                ------                         -----------------                   ---
    EXCH                                                                                                       1
    EXPR                                                                                                        1
    WEB                                                                                                         1

    7) да пробовал, нет подключения.

    2010 Version 14.3 ‎(Build 123.4)‎   2013 Version 15.0 ‎(Build 1156.6)‎

    19 января 2016 г. 9:34
  • Миграция с 2010 на 2013 - переключение трафика по портам 25, 143, 443 и тд и тп. 

    После переключения отвалился Imap и подключения через Outlook не восстанавливается, постоянно просит логин пароль. В логах валятся ошибки авторизации.  С другими почтовыми клиентами  Imap проблем нет. 

    Переключение произошло месяц назад. Все это время искал решение но так и не нашел. Решил обратится к сообществу за помощью. 

    1) Можно я уточню еще раз: В доверенные центры сертификации доавлен сертификат вашего ЦС, а не тот сертификат, который вы выпустили для почты, верно?

    2) Как опубликован в интернет почтовый сервер? (по каким внешним url идет подключение?)

    3) А что прописано в сертификате?

    4) Какой способ аутентификации выбрано в настройках outlook anywhere?

    5) С внутренними клиентами нет проблем?

    6) какой вывод у команды get-outlookprovider?

    7) посмотрите в настройки в "панель управления->почта->учетные записи->изменить->другие настройки-> вкладка подключение->параметры прокси сервера" на рабочем клиенте. Попробуйте задать эти настройки вручную. 

    1) Да верно. 

    миграцию проводил по данному мануалу http://admsoft.ru/perexod-s-exchange-2010-na-exchange-2013

    2) подключение идет по mail.**.ru  (без тмг )

    3) прописаны как внутренние хосты .local так и внешние .ru 

    4) NTLM

    5) в домене настройки подхватываются через аутодискавери, проблем нет. 

    6) 

    [PS] C:\Windows\system32>get-outlookprovider

    Name                          Server                        CertPrincipalName             TTL
    ----                                ------                         -----------------                   ---
    EXCH                                                                                                       1
    EXPR                                                                                                        1
    WEB                                                                                                         1

    7) да пробовал, нет подключения.

    2010 Version 14.3 ‎(Build 123.4)‎   2013 Version 15.0 ‎(Build 1156.6)‎


    1) На внешнем клиенте, если зайти на https://mail.contoso.com/owa браузер не ругается? (нужно использовать IE)

    2) Что пишет аутлук в "состоянии подключения"

    3) Отключите все антивирусы на клиенте.

    19 января 2016 г. 10:08
  • Миграция с 2010 на 2013 - переключение трафика по портам 25, 143, 443 и тд и тп. 

    После переключения отвалился Imap и подключения через Outlook не восстанавливается, постоянно просит логин пароль. В логах валятся ошибки авторизации.  С другими почтовыми клиентами  Imap проблем нет. 

    Переключение произошло месяц назад. Все это время искал решение но так и не нашел. Решил обратится к сообществу за помощью. 

    1) Можно я уточню еще раз: В доверенные центры сертификации доавлен сертификат вашего ЦС, а не тот сертификат, который вы выпустили для почты, верно?

    2) Как опубликован в интернет почтовый сервер? (по каким внешним url идет подключение?)

    3) А что прописано в сертификате?

    4) Какой способ аутентификации выбрано в настройках outlook anywhere?

    5) С внутренними клиентами нет проблем?

    6) какой вывод у команды get-outlookprovider?

    7) посмотрите в настройки в "панель управления->почта->учетные записи->изменить->другие настройки-> вкладка подключение->параметры прокси сервера" на рабочем клиенте. Попробуйте задать эти настройки вручную. 

    1) Да верно. 

    миграцию проводил по данному мануалу http://admsoft.ru/perexod-s-exchange-2010-na-exchange-2013

    2) подключение идет по mail.**.ru  (без тмг )

    3) прописаны как внутренние хосты .local так и внешние .ru 

    4) NTLM

    5) в домене настройки подхватываются через аутодискавери, проблем нет. 

    6) 

    [PS] C:\Windows\system32>get-outlookprovider

    Name                          Server                        CertPrincipalName             TTL
    ----                                ------                         -----------------                   ---
    EXCH                                                                                                       1
    EXPR                                                                                                        1
    WEB                                                                                                         1

    7) да пробовал, нет подключения.

    2010 Version 14.3 ‎(Build 123.4)‎   2013 Version 15.0 ‎(Build 1156.6)‎


    1) На внешнем клиенте, если зайти на https://mail.contoso.com/owa браузер не ругается? (нужно использовать IE)

    2) Что пишет аутлук в "состоянии подключения"

    3) Отключите все антивирусы на клиенте.

    1) Браузер сразу открывает страницу ввода логина и пароля. сертификат распознается.

    2) выдает запрос логина и пароля. после долгой паузы - "Не удается завершить действие. Отсутствует подключение к Microsoft Exchange. Для завершения операции требуется постоянное или временное подключение Outlook к серверу."

    3) отключены. 

    19 января 2016 г. 10:37
  • О, знаю! он не доверяет сертификату, так как не видит CRL! Нужно опубликовать CRL, тогда все будет ок. Если не сработает, я хз, могу только через TeamViewer помочь) как можно проверить: открыть сертификат и перейти по CRL URL, который в нем прописан. 
    • Предложено в качестве ответа Guznin KA 19 января 2016 г. 12:20
    19 января 2016 г. 10:54
  • Попробуйте настроить для OutlookAnywhere тип аутентификации для внешнего доступа "Basic". Внешний (белый) IP у вас не поменялся? Просто изменили адрес назначения для Port Forwarding? В локальной сети клиенты Outlook подключаются? Если да, то посмотрите, к каким хостам они подключаются (те, к уоторых ящики на Exchange 2013).

    Do not multiply entities beyond what is necessary

    19 января 2016 г. 10:55
  • О, знаю! он не доверяет сертификату, так как не видит CRL! Нужно опубликовать CRL, тогда все будет ок. Если не сработает, я хз, могу только через TeamViewer помочь) как можно проверить: открыть сертификат и перейти по CRL URL, который в нем прописан. 
    Вы про это "Точка распределения списка отзыва (CRL)
         Имя точки распространения:
              Полное имя:"
    19 января 2016 г. 11:44
  • О, знаю! он не доверяет сертификату, так как не видит CRL! Нужно опубликовать CRL, тогда все будет ок. Если не сработает, я хз, могу только через TeamViewer помочь) как можно проверить: открыть сертификат и перейти по CRL URL, который в нем прописан. 

    Вы про это "Точка распределения списка отзыва (CRL)
         Имя точки распространения:
              Полное имя:"
    Да.
    19 января 2016 г. 11:46
  • Попробуйте настроить для OutlookAnywhere тип аутентификации для внешнего доступа "Basic". Внешний (белый) IP у вас не поменялся? Просто изменили адрес назначения для Port Forwarding? В локальной сети клиенты Outlook подключаются? Если да, то посмотрите, к каким хостам они подключаются (те, к уоторых ящики на Exchange 2013).

    Do not multiply entities beyond what is necessary

    Да пробовал бейсик. ничего не изменялось. Писали что нужно ждать минут 20-30 для применения изменений, но проблема сохранялась. 

    Состояние подключения к Microsoft Exchange 

    1)SMTP-адрес - верно в ru.

    2) прокси сервер mail.***.ru 

    3) сервер 6efba.........@**.ru

    Вроде все верно. 

    19 января 2016 г. 11:48
  • О, знаю! он не доверяет сертификату, так как не видит CRL! Нужно опубликовать CRL, тогда все будет ок. Если не сработает, я хз, могу только через TeamViewer помочь) как можно проверить: открыть сертификат и перейти по CRL URL, который в нем прописан. 

    Вы про это "Точка распределения списка отзыва (CRL)
         Имя точки распространения:
              Полное имя:"

    Да.
    Да думаю проблема в этом. там указан только Ldap. Это все так делают кто переехал на 2013 сервер и использует свой доменный центр сертификации? 
    19 января 2016 г. 11:51
  • О, знаю! он не доверяет сертификату, так как не видит CRL! Нужно опубликовать CRL, тогда все будет ок. Если не сработает, я хз, могу только через TeamViewer помочь) как можно проверить: открыть сертификат и перейти по CRL URL, который в нем прописан. 

    Вы про это "Точка распределения списка отзыва (CRL)
         Имя точки распространения:
              Полное имя:"

    Да.

    Да думаю проблема в этом. там указан только Ldap. Это все так делают кто переехал на 2013 сервер и использует свой доменный центр сертификации? 

    Чтобы это работало, нужно перенастраивать ЦС, задав новый url CRL, а потом публиковать его в интернет. Как вариант можно использовать коммерческий сертификат, предварительно опубликовав Exchange через IIS ARR. Так будет правильнее, т.к. вешать почтовик на прямую в интернет, не есть гуд.  

    Если сделать как описано выше, то у вас будет один серт для внешних подключений (на iis arr), второй для внутренних(на IIS Exchange).

    Коммерческий серт платный, но в вашем случае не очень дорогой))

    19 января 2016 г. 11:58
  • О, знаю! он не доверяет сертификату, так как не видит CRL! Нужно опубликовать CRL, тогда все будет ок. Если не сработает, я хз, могу только через TeamViewer помочь) как можно проверить: открыть сертификат и перейти по CRL URL, который в нем прописан. 

    Вы про это "Точка распределения списка отзыва (CRL)
         Имя точки распространения:
              Полное имя:"

    Да.

    Да думаю проблема в этом. там указан только Ldap. Это все так делают кто переехал на 2013 сервер и использует свой доменный центр сертификации? 

    Чтобы это работало, нужно перенастраивать ЦС, задав новый url CRL, а потом публиковать его в интернет. Как вариант можно использовать коммерческий сертификат, предварительно опубликовав Exchange через IIS ARR. Так будет правильнее, т.к. вешать почтовик на прямую в интернет, не есть гуд.  

    Если сделать как описано выше, то у вас будет один серт для внешних подключений (на iis arr), второй для внутренних(на IIS Exchange).

    Коммерческий серт платный, но в вашем случае не очень дорогой))

    После перенастройки ЦС как понимаю надо будет заново выпускать все сертификаты? И как можно с вами связаться? 
    19 января 2016 г. 15:16
  • Старые сертификаты не протухнут, пока не будет отозван корневой серт. Нужно перевыпустить корневой серт и указать в нем url для crl. Затем нужно будет опубликовать crl и следить за еженедельным обновлением списка CRL(можно скрипт написать, чтобы он копировал CRl на сервер публикации). 

    Для связи можно писать на форум или на vd60@ya.ru

    19 января 2016 г. 15:25
  • Не факт конечно, что дело в списках отзыва сертификатов. Но правильно настроить и опубликовать их в любом случае надо.

    Как лучше сделать. Оставить только одну ссылку на список отзыва сертификатов, доступную из внутренней сети и снаружи. LDAP убрать вообще нафиг - т.к. внешние клиенты по нему точно не смогут проверить списки.

    Скрипт для копирования CRL'ов на сервер публикации - это слишком сложно и не надёжно. Можно просто в центре сертификации указать чтоб списки отзывов сохранялись в какую-нибудь сетевую папку/dfs. Внутри организации настроить IIS - создать виртуальный каталог к этим опубликованным файлам. А через обратный прокси (сервер публикаций) - опубликовать наружу этот IIS-сайт. Естественно нужно чтобы ссылки совпадали и внутри организации (для IIS) и снаружи (через публикацию). Добавляем эту ссылку в списки отзыва сертификатов на нашем ЦС. В итоге внутренние клиенты получают списки отзывов через сервер IIS, а внешние клиенты через публикацию к этому серверу IIS.

    Вот хорошая статья есть: https://www.sysadmins.lv/blog-ru/planirovanie-rasshirenij-cdp-i-aia.aspx

    PS. Я так и не понял как опубликован сервер Exchange наружу. Используется какой-то продукт? Или просто напрямую наружу смотрит?

    21 января 2016 г. 3:56
  • Не факт конечно, что дело в списках отзыва сертификатов. Но правильно настроить и опубликовать их в любом случае надо.

    Как лучше сделать. Оставить только одну ссылку на список отзыва сертификатов, доступную из внутренней сети и снаружи. LDAP убрать вообще нафиг - т.к. внешние клиенты по нему точно не смогут проверить списки.

    Скрипт для копирования CRL'ов на сервер публикации - это слишком сложно и не надёжно. Можно просто в центре сертификации указать чтоб списки отзывов сохранялись в какую-нибудь сетевую папку/dfs. Внутри организации настроить IIS - создать виртуальный каталог к этим опубликованным файлам. А через обратный прокси (сервер публикаций) - опубликовать наружу этот IIS-сайт. Естественно нужно чтобы ссылки совпадали и внутри организации (для IIS) и снаружи (через публикацию). Добавляем эту ссылку в списки отзыва сертификатов на нашем ЦС. В итоге внутренние клиенты получают списки отзывов через сервер IIS, а внешние клиенты через публикацию к этому серверу IIS.

    Вот хорошая статья есть: https://www.sysadmins.lv/blog-ru/planirovanie-rasshirenij-cdp-i-aia.aspx

    PS. Я так и не понял как опубликован сервер Exchange наружу. Используется какой-то продукт? Или просто напрямую наружу смотрит?

    Решено покупать SSL сертификат. Там и проверим.
    25 января 2016 г. 16:22