none
Сертификат для Exchange 2010 без ISA и TMG RRS feed

  • Вопрос

  • Добрый день .
    Вопрос вот какой . Прочитал вот эту тему и вот эти ссылки
    http://social.technet.microsoft.com/Forums/ru-RU/exchange2010ru/thread/46def25d-e423-4844-8548-fb10e5916dbf
    http://www.mmmug.co.uk/blogs/nweb/archive/2009/04/21/27774.aspx
    , сделал все как сказано , опубликовал Сертификат на Exchange , но не могу подключиться Outlook Enywhere . Все дело в том , что нет у меня ни ISA ни TMG , не понимаю , что еще может не хватать ?
    Да , через OWA подключаюсь без проблем .
    Спасибо за советы .
    14 февраля 2010 г. 6:50

Все ответы

  • Ни ISA, ни TMG не являются обязательными для подключения по OA.
    Как настраиваете клиента, сертификат самоподписанный или выпущен каким-то CA?
    Если заходите по web app через htpps возникает ошибка сертификата на странице?

    14 февраля 2010 г. 7:33
    Отвечающий
  • Сертификат самоподписанный .
    При подключении через OWA полючаю запрос " имя пользователя - пароль " , никаких ошибок не возникает .
    14 февраля 2010 г. 7:37
  • Поточнее скажите, как не можете подключиться через OA, возникает ли какая ошибка?
    Сертификат внесен в список доверенных CA на компьютере с Outlook?

    14 февраля 2010 г. 7:41
    Отвечающий
  • Совершенно верно , появляется окно " имя пользователя " - " пароль " , ввожу .... Outlook - disconnected .
    14 февраля 2010 г. 8:20
  • А вы включили OA на сервере CAS?
    14 февраля 2010 г. 8:35
    Отвечающий
  • Естественно
    14 февраля 2010 г. 8:59
  • Что то я окончательно запутался ... По причинам не свазанным с данной темой , был переустановленн Сервер 2К8R2 и Exchange 2010 , этап установки прошел без ошибок , была решена проблемма из-за которой и переустанавливался сервер , и в итоге я пришел опять к вопросу Сертификата для Exchange , что было сделано и что имеем в итоге .
    Была установленна роль Certificate Services как показанно в этой статье , исключение составляет только сервис DHCP , его я не устанавливал и сразу вопрос , а может в этом вся причина ?
    http://www.oszone.net/11000/Windows-Server-2008-R2-2
    В ходе установки Exchange 2010 появился Сертификат самого Exchange , цто в принципе нормально , но после установки CS в Exchange появился еще один сертификат ??? , но не обращая на это внимание , запустил " получение нового сертификата " , прошел все этапы , в итоге получил новый сертификат , назначил его на нужные службы - IMAP, POP, IIS, SMTP  , естественно был получен вопрос о моем желании заменить уже имеющийся сертификат SMTP , на что я ответил - Да и сейчас у меня есть 3 !! сертификата , только вот мой вновь созданный сертификат для Exchange помечен как False в отличии от двух остальных ( напомню один сертификат полученный автомотически в ходе установки Exchange  , а второй появился после установки Certificate Services ) . Что проишодит далее , естественно Outlook не подключается по OA , при подключении OWA появляется ошибка серификата , но игнорируя ее я всетаки могу войти в свой профиль , сертификат вручную устанавливаться не хочет , проходит все стадии , получаю сообшение , что экспорт завершен , но я его не вижу в " Доверенных сертификатах " . В общем ситуация , как я написал выше , крайне запутанная и я надеюсь вы сможете мне помочь ее распутать . Естественно на все доп . вопросы отвечу и приведу необходимые данные .

    P.S. Да , в поисках по Интернету ответа на мою проблемму , набрел на сайт http://www.digicert.com/help/
    , так вот там возможно провести проверку своего сертификата , что я и сделал и получил ответ , что все ОК и мой сертификат готов к использованию , что меня окончательно запутало .
    22 февраля 2010 г. 6:19
  • добрый день,
    покажите что показывают команды
    Get-OutlookAnywhere
    Get-ExchangeCertificate |fl CertificateDomains,Services,IsSelfSigned


    MCSE = Minesweeper Consultant and Solitaire Expert
    26 февраля 2010 г. 10:30
  • Добрый день!

    А что говорит ExBPA?
    1 марта 2010 г. 16:14
    Модератор
  • [PS] C:\Windows\system32>Get-OutlookAnywhere


    RunspaceId                 : 44b8fb1a-8f6f-4d78-ac31-463b8f038881
    ServerName                 : DC
    SSLOffloading              : False
    ExternalHostname           : office.w-s.co.il
    ClientAuthenticationMethod : Basic
    IISAuthenticationMethods   : {Basic}
    MetabasePath               : IIS://DC.ws.local/W3SVC/1/ROOT/Rpc
    Path                       : C:\Windows\System32\RpcProxy
    Server                     : DC
    AdminDisplayName           :
    ExchangeVersion            : 0.10 (14.0.100.0)
    Name                       : Rpc (Default Web Site)
    DistinguishedName          : CN=Rpc (Default Web Site),CN=HTTP,CN=Protocols,CN=DC,CN=Servers,CN=Exchange Administrative
                                  Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=Web Simplex,CN=Microsoft Exchange,CN=
                                 Services,CN=Configuration,DC=ws,DC=local
    Identity                   : DC\Rpc (Default Web Site)
    Guid                       : 88e02627-49d2-43be-9f83-5d024ac4fa26
    ObjectCategory             : ws.local/Configuration/Schema/ms-Exch-Rpc-Http-Virtual-Directory
    ObjectClass                : {top, msExchVirtualDirectory, msExchRpcHttpVirtualDirectory}
    WhenChanged                : 2/21/2010 5:10:40 PM
    WhenCreated                : 2/21/2010 5:10:40 PM
    WhenChangedUTC             : 2/21/2010 3:10:40 PM
    WhenCreatedUTC             : 2/21/2010 3:10:40 PM
    OrganizationId             :
    OriginatingServer          : DC.ws.local
    IsValid                    : True

    [PS] C:\Windows\system32>Get-ExchangeCertificate |fl CertificateDomains,Services,IsSelfSigned


    CertificateDomains : {w-s.co.il, dc.ws.local, office.w-s.co.il, autodiscover.ws.local, autodiscover.w-s.co.il, ws.local
                         , legacy.ws.local, legacy.w-s.co.il}
    Services           : None
    IsSelfSigned       : True

    CertificateDomains : {DC.ws.local}
    Services           : None
    IsSelfSigned       : False

    CertificateDomains : {office.w-s.co.il, dc, autodiscover.ws.local, autodiscover.w-s.co.il}
    Services           : IMAP, POP, IIS, SMTP
    IsSelfSigned       : False

    CertificateDomains : {ws-DC-CA}
    Services           : None
    IsSelfSigned       : True

    CertificateDomains : {DC, DC.ws.local}
    Services           : SMTP
    IsSelfSigned       : True

    10 марта 2010 г. 13:17
  • А что он должен мне сказать ?
    10 марта 2010 г. 13:37
  • Он должен вам рассказать о сервере, его состоянии и тому подобном, есть ли ошибки в его отчете?
    10 марта 2010 г. 13:55
    Модератор
  • Ошибок , насколько я понял , нет , да и в рассказе его о сервере , я не увидел ничего , что касалось бы " Сертификатов " .
    10 марта 2010 г. 14:01
  • Если я правильно понимаю у вас сейчас используется
    вот этот сертификат
    CertificateDomains : {office.w-s.co.il, dc, autodiscover.ws.local, autodiscover.w-s.co.il}
    Services           : IMAP, POP, IIS, SMTP
    IsSelfSigned       : False

    для входа в OWA вы используете путь https://office.w-s.co.il/owa ?
    дайте полный вывод
    Get-ExchangeCertificate |fl
    и Get-OabVirtualDirectory
    AO не будет работать, если OWA ругается на сертификат

    http://support.microsoft.com/kb/940726 

    Спасибо


    MCSE = Minesweeper Consultant and Solitaire Expert
    11 марта 2010 г. 3:45
  • [PS] C:\Windows\system32>Get-ExchangeCertificate |fl


    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
                         ule}
    CertificateDomains : {w-s.co.il, dc.ws.local, office.w-s.co.il, autodiscover.ws.local, autodiscover.w-s.co.il, ws.local
                         , legacy.ws.local, legacy.w-s.co.il}
    HasPrivateKey      : True
    IsSelfSigned       : True
    Issuer             : C=IL, S=Israel, L=Rehovot, O=Web Simplex, OU=System, CN=w-s.co.il
    NotAfter           : 2/23/2011 2:22:14 PM
    NotBefore          : 2/23/2010 2:02:14 PM
    PublicKeySize      : 2048
    RootCAType         : None
    SerialNumber       : 37A6ED55A5768DA845DB612F3E1D4BC4
    Services           : None
    Status             : Valid
    Subject            : C=IL, S=Israel, L=Rehovot, O=Web Simplex, OU=System, CN=w-s.co.il
    Thumbprint         : 6BF2D2FD1A279F4D09D1C2B7BCC929AA1F805FA9

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
                         ule}
    CertificateDomains : {DC.ws.local}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=ws-DC-CA, DC=ws, DC=local
    NotAfter           : 2/22/2011 6:50:30 PM
    NotBefore          : 2/22/2010 6:50:30 PM
    PublicKeySize      : 2048
    RootCAType         : Enterprise
    SerialNumber       : 152712AD000000000005
    Services           : None
    Status             : Valid
    Subject            : CN=DC.ws.local
    Thumbprint         : 5A5383879950BF23F20AF3BCAF3A5C92786B8734

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
                         ule, System.Security.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {office.w-s.co.il, dc, autodiscover.ws.local, autodiscover.w-s.co.il}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=ws-DC-CA, DC=ws, DC=local
    NotAfter           : 2/22/2012 6:28:57 PM
    NotBefore          : 2/22/2010 6:28:57 PM
    PublicKeySize      : 2048
    RootCAType         : Enterprise
    SerialNumber       : 15135FE4000000000004
    Services           : IMAP, POP, IIS, SMTP
    Status             : Valid
    Subject            : CN=office.w-s.co.il, OU=Exchange, O=WS, L=Rehovot, S=Rehovot, C=IL
    Thumbprint         : 23E657AB7842CCEC7641E4B710CDCDBF57E889DE

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
                         ule}
    CertificateDomains : {ws-DC-CA}
    HasPrivateKey      : True
    IsSelfSigned       : True
    Issuer             : CN=ws-DC-CA, DC=ws, DC=local
    NotAfter           : 2/21/2015 7:06:38 PM
    NotBefore          : 2/21/2010 6:56:40 PM
    PublicKeySize      : 2048
    RootCAType         : Enterprise
    SerialNumber       : 12CC23FE2D52C28D4B11BBFA671B37EA
    Services           : None
    Status             : Valid
    Subject            : CN=ws-DC-CA, DC=ws, DC=local
    Thumbprint         : FE336D07773E8CEEBF84E208BE03102C0A2000DA

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
                         ule, System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAcc
                         essRule}
    CertificateDomains : {DC, DC.ws.local}
    HasPrivateKey      : True
    IsSelfSigned       : True
    Issuer             : CN=DC
    NotAfter           : 2/21/2015 3:21:09 PM
    NotBefore          : 2/21/2010 3:21:09 PM
    PublicKeySize      : 2048
    RootCAType         : None
    SerialNumber       : 58FCD6139B0382AF4DCC3A4BE8FDBD88
    Services           : SMTP
    Status             : Valid
    Subject            : CN=DC
    Thumbprint         : C7FA5E969821472D0C3518B4D66B33BF428C4CE0

    [PS] C:\Windows\system32> Get-OabVirtualDirectory

    Server                        Name                          Internal Url                  External Url
    ------                        ----                          ------------                  ------------
    DC                            OAB (Default Web Site)        http://dc.ws.local/OAB        https://office.w-s.co.il/OAB

    11 марта 2010 г. 6:22
  • разберёмся сначала с OWA.
    на клиенте надо добится того что бы не было ошибок сертификата.
    для этого импортируйте в клиента сертификат 
    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
                         ule, System.Security.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {office.w-s.co.il, dc, autodiscover.ws.local, autodiscover.w-s.co.il}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=ws-DC-CA, DC=ws, DC=local
    NotAfter           : 2/22/2012 6:28:57 PM
    NotBefore          : 2/22/2010 6:28:57 PM
    PublicKeySize      : 2048
    RootCAType         : Enterprise
    SerialNumber       : 15135FE4000000000004
    Services           : IMAP, POP, IIS, SMTP
    Status             : Valid
    Subject            : CN=office.w-s.co.il, OU=Exchange, O=WS, L=Rehovot, S=Rehovot, C=IL
    Thumbprint         : 23E657AB7842CCEC7641E4B710CDCDBF57E889DE
    повторите попытку входа в OWA https://office.w-s.co.il/owa с клиента вы только что установили


    Если нет ошибок пробуем ОА, ОА не работает смотрим http://support.microsoft.com/kb/940726 

    MCSE = Minesweeper Consultant and Solitaire Expert
    11 марта 2010 г. 7:14
  • Спасибо , попробую ...
    Вопрос еще вот в чем , судя по этим данным , сертификат назначен верно и вся проблемма в его импорте на клиента ? Или есть что либо ошибочное и в сертификате
    11 марта 2010 г. 8:27
  • в данный момент кроме импорта сертификата проблем не вижу. дальше посмотрим :)
    Я бы вам порекомендовал создать сертификат для SMTP отдельно или создать новый сертификат с именами на send и recieve коннекторах


    MCSE = Minesweeper Consultant and Solitaire Expert
    11 марта 2010 г. 8:55
  • Как я и предпологал , и писал об это выше , установка сертификата прошла успешно , получил сообщение , что экспорт завершон , но IE продолжает ругаться на " Certificate error " , при это Firefox подключается на ура , без ошибок ..... То что необходимо было проделать на сервере , по ссылке которую вы дали , так же ничем не помогло .
    11 марта 2010 г. 12:48
  • вы импортировали сертификат на клиента? надо чтобы на клиенте было написано что импорт завершён успешно


    MCSE = Minesweeper Consultant and Solitaire Expert
    12 марта 2010 г. 3:11
  • Не сочтите за глупый вопрос но , что вы подразумиваете под словом Импорт ? Я взял сертификат с сервера Exchange , о котором шла речь , скопиривал на комп . , запустил установить сертификат , в конце получил - импорт завершон . О результатах подключения через IE и Firefox я написал выше .
    P.S. Да , заметил еще одну странность , раньше , если у меня были проблеммы с сертификатом и IE сообщал мне , что Certificate error , то я мог его импортировать на клиента просто нажав на это сообщения и в появившемся окне нажав на Install certificate , сейчас этой возможности нет
    12 марта 2010 г. 8:16
  • У меня схожая проблема: OWA на сертификат не ругается, всё ок. А вот ОА не работает - либо выдаёт ошибку сертификата, либо просто невозможно подключиться к Exchange.

    Посмотрела http://support.microsoft.com/kb/940726

    На 3 шаге Консоль выдаёт ошибки - не может найти EWS.

    Что можно с этим сделать?

    10 февраля 2011 г. 12:13