none
RPC over HTTPS RRS feed

  • Вопрос

  • Проблема в следующем- не получается связаться. Пробую rpcping:
    C:\Program Files\Windows Resource Kits>rpcping -t ncacn_http -s mail.company.
    net -o RpcProxy=mail.company.net -P "i.ivanov,company,hello" -I "i.ivanov,company,he
    llo" -H 1 -u 9 -a connect -F 2 -v 3 -E -R none
    RPCPing v2.12. Copyright (C) Microsoft Corporation, 2002
    OS Version is: 5.2, Service Pack 2
    Using basic authentication without SSL can expose your credentials. Do you want
    to continue? [Y/N]:Y

    RPCPinging proxy server mail.company.net with Echo Request Packet
    Sending ping to server
    Response from server received: 401
    Client is not authorized to ping RPC proxy
    Ping failed.

    Да, я пробую basic аутентификацию с отключенным SSL. OWA работает. В мир открыт только 443 порт. Куда копать?

    • Перемещено Hengzhe Li 18 марта 2012 г. 5:22 forum merge (От:Exchange Server 2007)
    20 октября 2008 г. 7:41

Ответы

  • Стоп. Подождите вы не поняли. Импортировать в это хранилище нужно не сертификат Exchange сервера который был создан по шаблону Web-server, а корневой сертификат - "главный сертификат" ЦС. Чтобы его получить вам надо зайди в консоль управления ЦС, выбрать название ЦС, открыть его свойства и на первой же вкладке General (Общие) нажать кнопку View Certificate (Просмотр Сертификата) ну и дальше выгрузить его со второй вкладки кнопкой Copy to file (Копировать в файл). Потом вам нужно именно этот сертификат импортировать в хранилище "Доверенные центры сертификации" той машины с которой вы осуществляете доступ.
    24 октября 2008 г. 12:32

Все ответы

  • problem resolution по ссылке http://blogs.technet.com/isablog/archive/2007/08/13/testing-rpc-over-http-through-isa-server-2006-part-3-common-failures-and-resolutions.aspx успеха не принес.

    Problem Resolution:

    1.       Ensure that

    a.       the credentials specified in the -P or /svruser & /svrpass options are correct

    b.      the Account is sensitive and cannot be delegated account options selection is disabled

    2.       Enable the test account

    3.       Disable the “User must change password at next logon” account options selection  and reset the test account password

    4.       Disable the “Smartcard is required for interactive login” account options selection


    Помогите, пожалуйста.
    20 октября 2008 г. 14:56
  • Без SSl у Вас к сожалению ничего не выйдет.

    RPC over HTTP очень чувствительна к сертификату. Когда входите в OWA предупреждений о несоответствии сертификата нет? Просмотрите сертификат узла, все через тот же OWA он всем требованиям удовлетворяет?

    20 октября 2008 г. 16:43
    Модератор
  • Есть предупреждения о несоответствии. Т.е., вы считаете, что лучше таки выписать себе сертификат и не пытаться ломать мозги? Просто activesync у меня получилось заставить работать без сертификата, думал и здесь такая же штука прокатит...

    20 октября 2008 г. 17:32
  • Common Name сертификата ОБЯЗАТЕЛЬНО должно совпадать с именем точки входа. Если ваш HTTP прокси имеет внешний FQDN к примеру owa.domain.ru, то и Common Name должен быть таким же. Exchange 2007 и ISA 2006 SP1 поддерживают сертификаты с SAN (Server Alternate Name). В сертификате можно указать несколько имен.

    http://www.oszone.net/6132/SSL_Exchange_2007_ISA_Server_2006

    Почитайте о создании таких сертификатов. 

    Еще вариант, правда нет гарантий что сработает, это в настройках подключения в Outlook, на странице где Вы вводите адрес прокси, поставьте галку "Подключаться только к прокси-серверам имеющим указанное основное имя в сертификате" и в нижеследующем поле впишите: msstd:CommonName Вашего сертификата.

    Но предупреждаю, не факт, что сработает

    20 октября 2008 г. 18:53
    Модератор
  • Продолжаем просить помощи Smile
    FQDN exchange сервера mail.hq.firma.net, DNS имя mail.firma.net, netbios имя домена firma
    Сделал сертификат (локальный ЦС на win2008 serv) с CN=mail.firma.net, domainname=mail.firma.net, mail, autodiscover.firma.net, mail.hq.firma.net, autodiscover.hq.firma.net, hq.firma.net.
    exchange опубликован на freebsd-шлюзе 443, 80, 25, 110 порты (через inetd).
    Проверка https://www.testexchangeconnectivity.com/ с включенной галочкой ignore SSL trust проходит полностью.
    Иду на удаленный win2003 server (не являющийся членом домена hq.firma.net). Захожу в OWA, добавляю сертификат в доверенные корневые центры сертификации. Настраиваю outlook 2007:
    сервер exchange - mail.hq.firma.net
    пользователь - test (ящик для него заведен)
    подключение через мобильный интернет: прокси-сервер mail.firma.net msstd:mail.firma.net, авторизация - обычная. (на exchange сервере в свойствах мобильного outlook прокси - mail.firma.net, авторизация -обычная).
    Нажимаю проверить имя - выдает окошко на авторизацию на сервере mail.firma.net, с прописанным пользователем test. Пишу его пароль. Думает, выдает ошибку с "невозможно произвести вход в систему".
    Куда бежать? Мыслей нет вообще; впечатление, что перечитал все, что мог. Sad

    23 октября 2008 г. 11:36
  • а Domain\user что даст?

    Второй вопрос: Вы уверены, что inetd понимает SAN? ISA начала понимать только после SP1

    23 октября 2008 г. 12:11
    Модератор
  •  Oleg Krylov написано:

    а Domain\user что даст?

    Второй вопрос: Вы уверены, что inetd понимает SAN? ISA начала понимать только после SP1



    Невозможно завершить действие. Отсутствует подключение к Microsoft Exchange (это когда firma\test).
    Вопрос хороший, понмает ли он SAN... а как бы это вообще проверить?

    кстати, rpcping тоже не проходит с удаленного сервера.
    C:\Program Files\Windows Resource Kits>rpcping -t ncacn_http -s mail.hq.firma.net -o RpcProxy=mail.firma.net -P <test,firma,test> -I <test,firma,test> -H 2 -u 9 -a connect -F 3 -v 3 -E -R none
    RPCPing v2.12. Copyright (C) Microsoft Corporation, 2002
    OS Version is: 5.2, Service Pack 2

    RPCPinging proxy server mail.agtrade.net with Echo Request Packet
    Sending ping to server
    Error 12175 returned in the WinHttpSendRequest.
    Ping failed.

    Микрософт пишет, что 12175 - ошибка, связанная с доверием к сертификату. М.б. я как-то не атк или не туда его добавил?
    23 октября 2008 г. 12:28
  • Вы опишите следующее, можно заменить реальные названия, но главное, чтобы замена везде была одинаковая.

    1. Инутреннее имя почтового сервера, FQDN естественно

    2. Внешнее имя сервера, тоже FQDN.

    3. Разрешается ли это имя в IP-адрес?

    4. Можете ли Вы зайти на этот адрес браузером? На адреc такого вида:

    Code Snippet
    http(s)://FQDN_External/owa

     

     

    и

    Code Snippet
    http(s)://IP_адрес, в который разрешается внешний FQDN/owa

     

     

    5. Если можете выдается ли предупреждение о несоответствии сертификата? На что именно ругается?

    6. В свойствах сертификата, полученного при подключении к OWA, каково значение Common Name?

    23 октября 2008 г. 17:34
    Модератор
  •  Oleg Krylov написано:

    Вы опишите следующее, можно заменить реальные названия, но главное, чтобы замена везде была одинаковая.

    1. Инутреннее имя почтового сервера, FQDN естественно

    2. Внешнее имя сервера, тоже FQDN.

    3. Разрешается ли это имя в IP-адрес?

    4. Можете ли Вы зайти на этот адрес браузером? На адреc такого вида:

    Code Snippet
    http(s)://FQDN_External/owa

     

     

    и

    Code Snippet
    http(s)://IP_адрес, в который разрешается внешний FQDN/owa

     

     

    5. Если можете выдается ли предупреждение о несоответствии сертификата? На что именно ругается?

    6. В свойствах сертификата, полученного при подключении к OWA, каково значение Common Name?



    На самом деле, я в предыдущем посте вроде как описал, исходя из этого принципа. Отвечаю:
    1. mail.hq.firma.net
    2. mail.firma.net
    3. да 80.80.80.80
    4. https://mail.firma.net/owa - могу
        https://80.80.80.80/owa  - могу
    5. выдается (ie7).
    При заходе https://mail.firma.net/owa
    -сертификат не был выпущен доверенным центром сертификации
    при заходе https://80.80.80.80/owa
    Ошибка в сертификате безопасности этого веб-узла.
     Сертификат безопасности этого веб-узла не был выпущен доверенным центром сертификации.
    Сертификат безопасности этого веб-узла был выпущен для веб-узла с другим адресом.
    6. Субъект:
    CN = mail.firma.net
    O = Firma
    DC = net
    DC = firma
     

    24 октября 2008 г. 6:58
  • Попробуйте добавить корневой сертификат в хранилище Trusted Certificate Authorities машины с которой осуществляется соединение. Исходя из ваших данных сертификат корректный, но ошибка именно на стадии проверки валидности сертификата.

    24 октября 2008 г. 7:18
  • ОС русская, имеете в виду Доверенные корневые центры сертификации? Туда уже добавил.
    Но это как-то не помогает - при загурзке OWA все равно выдает ошибку про недоверенный центр сертификации.
    Добавляю из IE - просмотр сертификата-установить сертификат
    24 октября 2008 г. 7:28
  • А он там появился? Если да, то откройте сам сертфикат посмотрите его статус.

    24 октября 2008 г. 10:43
  •  DKu написано:

    А он там появился? Если да, то откройте сам сертфикат посмотрите его статус.



    Не появился. Добавлял вручную (через свойства обозревателя) - все равно не появляется. Нужны ли какое-то время, перезагрузка ПК для активизации сертификата?
    Еще мысль - имеет значение, что я выписывал сертификат в своем ЦС с шаблоном "веб-сервер"?
    24 октября 2008 г. 12:10
  • Стоп. Подождите вы не поняли. Импортировать в это хранилище нужно не сертификат Exchange сервера который был создан по шаблону Web-server, а корневой сертификат - "главный сертификат" ЦС. Чтобы его получить вам надо зайди в консоль управления ЦС, выбрать название ЦС, открыть его свойства и на первой же вкладке General (Общие) нажать кнопку View Certificate (Просмотр Сертификата) ну и дальше выгрузить его со второй вкладки кнопкой Copy to file (Копировать в файл). Потом вам нужно именно этот сертификат импортировать в хранилище "Доверенные центры сертификации" той машины с которой вы осуществляете доступ.
    24 октября 2008 г. 12:32
  • Убейте меня. Это заработало.
    Скажите, а это очень очевидно, что надо импортировать именно тот сертификат, который вы указали, или я плохо умею читать и об этом написано везде? Sad
    Всем огромное спасибо.
    Теперь буду пробовать NTLM авторизацию Smile
    24 октября 2008 г. 13:06
  • На мой взгляд это очевидно, ведь сертификат, который стоит на Exchange не самовыписаный, соответственно машина с которой осуществляется доступ должна доверять (Ttust) корневому (Root) центру сертификации (Certification Authority), который его выпустил. Рад что ваши мучения закончились. Wink

    27 октября 2008 г. 7:21
  • Логика есть, безусловно. Просто нигде не встретил об этом упоминания... Ну да ладно.
    Есть еще вопрос. В диспетчере IIS захожу в свойства  RPC, Безопасность каталога, управление доступом проверки подлинности с тавлю галочки на вариантах проверки подлинности. Рестартую IIS, все правильно. Через некоторое время рестартую IIS еще раз - все настройки слетают в по умолчанию. Как вариант - влияет ли переключатель в свойствах мобильного Outlook - авторизация базовая/ntlm на настройки RPC в диспетчере IIS?
    27 октября 2008 г. 10:09
  • У меня такая же проблема! в IIS слетает галка - передавать пароль текстом.

    + все сделал по мануалу, сертификат коммерческий, но RPC over HTTPS не работает.

    по https соединяется только каталог (все позиции), а вот почта - ни в какую.
    где копать?

    пробовал как и обычную, так и NTLM авторизацию.

    ISA нет.
    действует порт маппинг на, 25, 80 и 443 порт
    может еще что-то надо открывать?

    p.s.
    проверялка коннекта с
    Exchange выдала:

    Testing the Exchange Information Store on Mailbox Server
         An error occured while testing the Information Store
        Test Steps
                     Attempting to ping RPC Endpoint 6001 (Exchange Information Store) on server mail.mydomain.ru
         Failed to ping Endpoint

    ServerName                 : MAIL
    SSLOffloading              : False
    ExternalHostname           :
    mail.mydomain.ru
    ClientAuthenticationMethod : Basic
    IISAuthenticationMethods   : {Basic}
    MetabasePath               : IIS://
    mail.mydomain.ru/W3SVC/1/ROOT/Rpc
    Path                       : C:\WINDOWS\System32\RpcProxy
    Server                     : MAIL
    AdminDisplayName           :
    ExchangeVersion            : 0.1 (8.0.535.0)
    Name                       : Rpc (Веб-узел по умолчанию)
    DistinguishedName          : CN=Rpc (Веб-узел по умолчанию),CN=HTTP,CN=Protocol
                                 s,CN=MAIL,CN=Servers,CN=Exchange Administrative Gr
                                 oup (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=
                                 First Organization,CN=Microsoft Exchange,CN=Servic
                                 es,CN=Configuration,DC=mydomain,DC=ru
    Identity                   : MAIL\Rpc (Веб-узел по умолчанию)
    Guid                       : e3014f72-d778-41e7-88dd-76ca735fbe5b
    ObjectCategory             :
    mydomain.ru/Configuration/Schema/ms-Exch-Rpc-Ht
                                 tp-Virtual-Directory
    ObjectClass                : {top, msExchVirtualDirectory, msExchRpcHttpVirtual
                                 Directory}
    WhenChanged                : 27.10.2008 19:03:54
    WhenCreated                : 27.10.2008 16:38:41
    OriginatingServer          : rumsks001.mydomain.ru
    IsValid                    : True
    27 октября 2008 г. 16:16
  • В других форумах за подобные действия некропостером обозвать могут Smile

    Лучше все-таки свои ветки создавать. Указывая, что с этим мол постом ознакомлен, не помогло.

    Итак стандартный набор вопросов:

     Опишите следующее, можно заменить реальные названия, но главное, чтобы замена везде была одинаковая.

    1. Инутреннее имя почтового сервера, FQDN естественно

    2. Внешнее имя сервера, тоже FQDN.

    3. Разрешается ли это имя в IP-адрес?

    4. Можете ли Вы зайти на этот адрес браузером? На адреc такого вида:

    Code Snippet
    http(s)://FQDN_External/owa

     

     

    и

    Code Snippet
    http(s)://IP_адрес, в который разрешается внешний FQDN/owa

     

     

    5. Если можете выдается ли предупреждение о несоответствии сертификата? На что именно ругается?

    6. В свойствах сертификата, полученного при подключении к OWA, каково значение Common Name?

    28 октября 2008 г. 12:26
    Модератор
  • 1) mail  mail.mydomain.ru (внутр и внешнее имя сервера совпадают)
    2)
    mail.mydomain.ru
    3) да, конечно.
    4) да, да
    5) сертификат комодо на 5 имен, ругается на верхний параметр, что не удалось отследить центра сертификации.
    (я уже добавил сертификат доверительного центра сертификации на локальную машину), теперь не ругается.

    хотя не понятно, зачем мы его купили, если он по умолчанию не из доверительных центров, кот. входят в браузеры.
    6) CN = mail.mydomain.ru
    кем выдан:
    CN = AAA Certificate Services
    O = Comodo CA Limited
    L = Salford
    ST = Greater Manchester
    C = GB

    28 октября 2008 г. 12:42
  • Кончится срок действия, свой CА поднимете.

    Теперь что Вы получаете при настройке RPC over HTTP? Кстати приведите параметры настройки? Кто у Вас например является прокси?

    28 октября 2008 г. 13:01
    Модератор
  • кстати, самоподписной сертификат нужно отвязывать от сервисов?
    при импорте нового сертификата только служба smtp спросила о перезаписи. хотя и в IIS уже новый сертификат.

    Сертификат только что импортирован. как это кончился срок дейсвия? Smile годен до 28 октября 2009 г. 2:59:59

    прокси в настройках подключения мобильного оутлука все тот же адрес, mail.mydomain.ru ,

    да все тоже самое. я сначала импортировал сертификаты, а потом уже включил мобильный оутлук.

    Извините, параметры настройки чего? клиета оутлук или сервера?




    ServerName                 : MAIL
    SSLOffloading              : False
    ExternalHostname           : mail.
    mydomain.ru
    ClientAuthenticationMethod : Basic
    IISAuthenticationMethods   : {Basic}
    MetabasePath               : IIS://mail.
    mydomain.ru/W3SVC/1/ROOT/Rpc
    Path                       : C:\WINDOWS\System32\RpcProxy
    Server                     : MAIL
    AdminDisplayName           :
    ExchangeVersion            : 0.1 (8.0.535.0)
    Name                       : Rpc (Веб-узел по умолчанию)
    DistinguishedName          : CN=Rpc (Веб-узел по умолчанию),CN=HTTP,CN=Protocol
                                 s,CN=MAIL,CN=Servers,CN=Exchange Administrative Gr
                                 oup (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=
                                 First Organization,CN=Microsoft Exchange,CN=Servic
                                 es,CN=Configuration,DC=
    mydomain,DC=ru
    Identity                   : MAIL\Rpc (Веб-узел по умолчанию)
    Guid                       : e3014f72-d778-41e7-88dd-76ca735fbe5b
    ObjectCategory             :
    mydomain.ru/Configuration/Schema/ms-Exch-Rpc-Ht
                                 tp-Virtual-Directory
    ObjectClass                : {top, msExchVirtualDirectory, msExchRpcHttpVirtual
                                 Directory}
    WhenChanged                : 28.10.2008 13:51:10
    WhenCreated                : 27.10.2008 16:38:41
    OriginatingServer          : rumsks001.
    mydomain.ru
    IsValid                    : True

    28 октября 2008 г. 13:03
  •  Mikhail Tsygankov написано:
    Сертификат только что импортирован. как это кончился срок дейсвия? годен до 28 октября 2009 г. 2:59:59

    Вы сокрушались, зачем купили, я ответил Smile кончиТся, свой сделаете. Деньги больше кидать не будете.

     Mikhail Tsygankov написано:

    да все тоже самое. я сначала импортировал сертификаты, а потом уже включил мобильный оутлук.

    Вот тут непонятно... На каком клиенте настраиваете?

     Mikhail Tsygankov написано:

    Извините, параметры настройки чего? клиета оутлук или сервера?

    Клиента.

    28 октября 2008 г. 13:23
    Модератор
  • ясно, не заметил Smile

    значит так:

    клиент:
    Outlook 2007 SP1

    настройки мобильного оутлука:

    урл mail.mydomain.ru
    подключение только SSL галочка стоит (затемнено)

    быстрые и медленные сети - галочки стоят

    обычная проверка подлинности.
    при этих настройках:

    находясь в сети предприятия:
    каталоги и ссылки - https
    почта tcp\ip при любом раскладе

    вне организации:
    каталоги и ссылки - https - соединение установлено
    почта - нет...


    28 октября 2008 г. 13:31
  • Попробуйте поставить галку "Подключаться только к прокси-серверам имеющим основное имя в сертификате"

    В поле пропишите msstd:mail.mydomain.ru

    28 октября 2008 г. 13:46
    Модератор
  • значит так:

    тоже самое: каталоги подключились - почта нет...

    Кстати, в IIS для каталога RPC подскажите, правильно ли все?

    галка (не стоит) в анонимный вход (тоже слетает, если ставить галочку)
    галка стоит для встроенная проверка windows (все время слетает)
    галка стоит для обычная (пароль в текст. режиме)
     

    2) пробовал авторизацию NTLM (на сервере и в оутлуке)
    тогда бесконечно запрашивает логин с паролем, т.е. ввожу правильно, идет разпрос еще раз. и так до бесконечности.

    при проверке эксченжа на конективи тест:

    проверялка коннекта с Exchange выдала:

    Testing the Exchange Information Store on Mailbox Server
         An error occured while testing the Information Store
        Test Steps
                     Attempting to ping RPC Endpoint 6001 (Exchange Information Store) on server mail.mydomain.ru
         Failed to ping Endpoint

    вот это меня беспокоит..

    28 октября 2008 г. 14:02
  • На всякий случай - сертификат импортировали на том же сервере, где и формировали запрос?

    http://msexchangeteam.com/archive/2007/02/19/435472.aspx

    28 октября 2008 г. 15:21
  • да, конечно. сервер эксчендж 2007 стандарт рус. с посл. обновлениями. на нем же делал запрос, туда же импортировал готовый сертификат.

    вот каков был мой запрос:

    New-ExchangeCertificate -GenerateRequest -Path c:\mail_orco_ru.csr -KeySize 2048 -SubjectName "c=RU, s=Moscow, l=Moscow, o=OOO Orco, ou=MC, cn=mail.orco.ru" –DomainName mail.orco.ru, autodiscover.orco.ru, mail1.orco.ru, mail.orco, mail -PrivateKeyExportable $True
    28 октября 2008 г. 15:24
  • Импортировали через Import-ExchangeCertificate?

    29 октября 2008 г. 7:07
  • да, после чего подключил все сервисы на него

    поставщик:

    CN = AAA Certificate Services

    O = Comodo CA Limited

    L = Salford

    S = Greater Manchester

    C = GB

     

    субъект:

    CN = AAA Certificate Services

    O = Comodo CA Limited

    L = Salford

    S = Greater Manchester

    C = GB

     

    у меня сейчас 2 сертификата в эксченже. старый само подписной, и новый от комодо.

     

    Thumbprint                                Services   Subject

    ----------                                --------   -------

    B032F6449C824472ADFAB252EADCC0C530152698  IP.WS      CN=mail.orco.ru,...

    5272F749B19A399A851901E8D8E2DECFD936F3D8  IP..S      CN=mail

     

     

     

     

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System

                         .Security.AccessControl.CryptoKeyAccessRule, System.Securi

                         ty.AccessControl.CryptoKeyAccessRule}

    CertificateDomains : {mail.orco.ru, autodiscover.orco.ru, mail, m

                         ail.orco, mail1.orco.ru}

    HasPrivateKey      : True

    IsSelfSigned       : False

    Issuer             : CN=AAA Certificate Services, O=Comodo CA Limited, L=Salfor

                         d, S=Greater Manchester, C=GB

    NotAfter           : 28.10.2009 2:59:59

    NotBefore          : 27.10.2008 3:00:00

    PublicKeySize      : 2048

    RootCAType         : ThirdParty

    SerialNumber       : 10BDF920895E4D45F037025D1E8CF37D

    Services           : IMAP, POP, IIS, SMTP

    Status             : Valid

    Subject            : CN=mail.orco.ru, OU=Comodo Unified Communications,

                         OU=Hosted by Rusonyx Ltd, OU=MC, O=OOO Orco, STREET

                         =Prospect Vernadskogo 00Bld 5, L=Moscow, S=Moscow, Postal

                         Code=119991, C=RU

    Thumbprint         : B032F6449C824472ADFAB252EADCC0C530152698

     

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System

                         .Security.AccessControl.CryptoKeyAccessRule, System.Securi

                         ty.AccessControl.CryptoKeyAccessRule}

    CertificateDomains : {mail, mail.orco.ru}

    HasPrivateKey      : True

    IsSelfSigned       : True

    Issuer             : CN=mail

    NotAfter           : 10.07.2009 16:25:55

    NotBefore          : 10.07.2008 16:25:55

    PublicKeySize      : 2048

    RootCAType         : None

    SerialNumber       : B7BE53AD50E8D597473CE6C4CF6C0DE6

    Services           : IMAP, POP, SMTP

    Status             : Valid

    Subject            : CN=mail

    Thumbprint         : 5272F749B19A399A851901E8D8E2DECFD936F3D8

     

     

    что делать со старым самоподписным сертификатом?

    задизейблить сервисы на нем или вообще удалиль?

    (удалять боюсь, т.к. можно потерять вообще работоспособность сервера)


    29 октября 2008 г. 7:19
  • Выполните следующий команлет:

    Enable-ExchangeCertificate -Thumbprint B032F6449C824472ADFAB252EADCC0C530152698 -Services IMAP, POP, IIS, SMTP

     

    После этого самоподписной удалите:

    Remove-ExchangeCertificate -Thumbprint 5272F749B19A399A851901E8D8E2DECFD936F3D8

     

    Удалять не бойтесь, так как после первого командлета все сервисы будут работать с сертификатом от COMODO.

     

    P.S. Если вы не выполняли первый командлет, то неудивительно что RPC/HTTP не работает.

     

    P.P.S. Oleg Krylov безусловно прав: проще было свой CA развернуть чем иметь дело с центром наличие которого не предусмотрено в Trusted Root Certification Authorities. Всё равно срок сертификата через год закончится. Опять платить кому-то придётся за то, что можно сделать самому.

    29 октября 2008 г. 21:13
  • сервисы я включал новому сертификату сразу после его импорта.

    p.s.
    Павел Дугаев сказал, что старый сертификат никак не влияет на новый.
    p.p.s.

    ну купили и купили Smile надо разбираться с чем есть.

    я до сих пор не могу понять, почему оутлук видет каталоги по RPC/HTTPS а почту не видит...

    ругани и ошибок на сертификаты нет.

    хорошо. с авторизацией разобрались. использую обычную.

    тогда вопрос, почему даже внутри огранизации нет связи с почтой по HTTPS(хотя галочки стоят использовать сначало HTTPS: каталоги HTTPS, почта TCP\IP .

    + вот, что пишет клиент оутлука 07 (не находящегося в домене при потытке создать учетку) (сервер нашел, учетные данные запросил, имя подоткнул, сказал, что все ок.) но после включения

    Невозможно открыть почтовые папки, используемые по умолчанию.
    Необходимо подключиться к серверу Exchange с текущей конфигурацией, для синхронизации папок с файлом автономных папок.

    p.p.p.s

    еще никто не сказал, почему может возникать такая ошибка при проверке соединения эксченж коннективи:


    Testing the Exchange Information Store on Mailbox Server
         An error occured while testing the Information Store
        Test Steps
                     Attempting to ping RPC Endpoint 6001 (Exchange Information Store) on server mail.mydomain.ru
         Failed to ping Endpoint

    30 октября 2008 г. 8:35
  •  

    Code Snippet
    RpcPing –t ncacn_http –s ExchangeMBXServer -o RpcProxy=прокси-сервер_RPC -P "пользователь,домен,пароль" -I "пользователь,домен,пароль" -H 1 –F 3 –a connect –u 10 –v 3 –e 6001

     

     

    Результат покажите
    30 октября 2008 г. 10:18
    Модератор
  • поставил Ресурс кит, с локальной машины запускаю:

    RPCPing v2.12. Copyright (C) Microsoft Corporation, 2002
    OS Version is: 5.1, Service Pack 3

    Exception 1722 (0x000006BA)

    telnet mail 6001 не отвечает.

    telnet mail 6002 отвечает:
    ncacn_http/1.0d
    RPCPing v2.12. Copyright (C) Microsoft Corporation, 2002
    OS Version is: 5.1, Service Pack 3
    Completed 1 calls in 1391 ms
    0 T/S or 187.000 ms/T

    telnet mail 6003 отвечает:


    telnet mail 6004 отвечает:
    ncacn_http/1.0d
    RPCPing v2.12. Copyright (C) Microsoft Corporation, 2002
    OS Version is: 5.1, Service Pack 3
    Completed 1 calls in 968 ms
    1 T/S or 968.000 ms/T (1200 ms)(почему так долго отвечает?)


    Господа! у меня Radmin сервер был на Exchange на 6001 порту. может в этом дело?
    сейчас перенес порт, как перезапустить RPC ?

    переставил службу rpc over https, выключил-включил мобильный оутлук. не помогло. 6002,6004 работает, 6001 нет.

    куда копать?

    Вопрос:
    надо ли открывать эти порты из вне к серверу Exchange или нет?


    30 октября 2008 г. 11:10
  • Рестартить сервер, RPC одна из ипостасей svchost.exe, она не рестартится, только с системой вместе.

    P.S. Radmin для сервера - зло! IMHO, естественно Smile

    30 октября 2008 г. 13:00
    Модератор
  •  Oleg Krylov написано:

    P.S. Radmin для сервера - зло! IMHO, естественно



    он внутри, чтоб к серверу не бегать Smile
    30 октября 2008 г. 13:02
  • А чего RDP не используете? Это помогло бы избежать проблемы с 6001 портом.

     

    Теперь по теме. Попробуйте снять кэширующий режим на клиенте.

    30 октября 2008 г. 13:52
  •  DKu написано:

    А чего RDP не используете? Это помогло бы избежать проблемы с 6001 портом.

     

    Теперь по теме. Попробуйте снять кэширующий режим на клиенте.



    УРА!! все заработало.

     

    после переустановки сертификата.(появилось доверие)

     

    хотя основная проблема крылась в занятости 6001 порта. (там у меня был Radmin)

     

    после рестарта сервера все работает.

     

    СПАСИБО ВСЕМ !


    Маленький вопрос по теме:


    я так понимаю, нельзя сделать, чтоб клиент Outlook2007 не запрашивал пароль?

    и еще:

    как лучше выставить галочки с медленными и быстрыми сетями, если пользователь половину рабочего времени проводит в офисе, а половину в разъездах и очень активно использует Outlook.


    и еще-еще:

    Медленная сеть, любая вне офиса? Smile

    30 октября 2008 г. 14:08
  •  Mikhail Tsygankov написано:


    я так понимаю, нельзя сделать, чтоб клиент Outlook2007 не запрашивал пароль?

     

    ну а как вы хотите чтобы он авторизовывался то Smile если тока будите логиниться под доменой записью + NTLM

    30 октября 2008 г. 18:03