none
Outlook Anywhere проблема подключения. RRS feed

  • Общие обсуждения

  • Здравствуйте!
    Помогите разобраться/диагностировать, где окопалась проблема.
    Дано:
    Excange2010: 1-й сервер с ролью mailbox, 2-й сервер все остальные роли. Edge не используеться. Выведен в интернет церез Sophos UTM.
    Почта исправно ходит внутри и вовне. Доступ OWA работает. Покупного сертификата нет, но планируеться. В домене развернут свой CA и через него Exchenge-у выдан сертификат.
    Проблема:
    Доменные пользователи из вне, с недоменных компьютеров, через Outlook Anywhere не могут настроить свою учетную запись на клиентах. И я не могу понять, проблема на стороне Excange с сертификатом или на стороне Sophos UTM.
    Выглядет это так: Пользователь вводит имя, почту, пароль пытаеться подключиться, и тут два варианта: 1-й настройки получаются, запускаеться заставка Outlook и на ней все висит, пока не снимишь задачу. 2-й Проверка проходит частично: Установка сетевого подключения - done, Поиск параметров для user@domen.ru - done, зависает на Вход на почтовый сервер. Зависает, опять же намертво, пока не снимишь процесс.
    Вот вывод проверки с testconnectivity:

    Testing Outlook connectivity.
     	The Outlook connectivity test failed.
     	
    	Additional Details
     	
    Elapsed Time: 4777 ms.
     	
    	Test Steps
     	
    	The Microsoft Connectivity Analyzer is attempting to test Autodiscover for user@domen.ru.
     	Testing Autodiscover failed.
     	
    	Additional Details
     	
    Elapsed Time: 4777 ms.
     	
    	Test Steps
     	
    	Attempting each method of contacting the Autodiscover service.
     	The Autodiscover service couldn't be contacted successfully by any method.
     	
    	Additional Details
     	
    Elapsed Time: 4777 ms.
     	
    	Test Steps
     	
    	Attempting to test potential Autodiscover URL https://domen.ru:443/Autodiscover/Autodiscover.xml
     	Testing of this potential Autodiscover URL failed.
     	
    	Additional Details
     	
    Elapsed Time: 1444 ms.
     	
    	Test Steps
     	
    	Attempting to resolve the host name domen.ru in DNS.
     	The host name resolved successfully.
     	
    	Additional Details
     	
    IP addresses returned: 5.61.10.82
    Elapsed Time: 464 ms.
    	Testing TCP port 443 on host domen.ru to ensure it's listening and open.
     	The port was opened successfully.
     	
    	Additional Details
     	
    Elapsed Time: 452 ms.
    	Testing the SSL certificate to make sure it's valid.
     	The SSL certificate failed one or more certificate validation checks.
     	
    	Additional Details
     	
    Elapsed Time: 528 ms.
     	
    	Test Steps
     	
    	The Microsoft Connectivity Analyzer is attempting to obtain the SSL certificate from remote server domen.ru on port 443.
     	The Microsoft Connectivity Analyzer successfully obtained the remote SSL certificate.
     	
    	Additional Details
     	
    Remote Certificate Subject: CN=domen.ru, OU=IT Department, O=AND Corporation, L=Moscow, S=Moscow, C=RU, Issuer: CN=domen-AND-SDC-CA, DC=domen, DC=ru.
    Elapsed Time: 484 ms.
    	Validating the certificate name.
     	The certificate name was validated successfully.
     	
    	Additional Details
     	
    Host name domen.ru was found in the Certificate Subject Common name.
    Elapsed Time: 0 ms.
    	Certificate trust is being validated.
     	Certificate trust validation failed.
     	
    	Test Steps
     	
    	The Microsoft Connectivity Analyzer is attempting to build certificate chains for certificate CN=domen.ru, OU=IT Department, O=AND Corporation, L=Moscow, S=Moscow, C=RU.
     	A certificate chain couldn't be constructed for the certificate.
     	
    	Additional Details
     	
    The certificate chain couldn't be built. You may be missing required intermediate certificates.
    Elapsed Time: 18 ms.
    	Attempting to test potential Autodiscover URL https://autodiscover.domen.ru:443/Autodiscover/Autodiscover.xml
     	Testing of this potential Autodiscover URL failed.
     	
    	Additional Details
     	
    Elapsed Time: 1519 ms.
     	
    	Test Steps
     	
    	Attempting to resolve the host name autodiscover.domen.ru in DNS.
     	The host name resolved successfully.
     	
    	Additional Details
     	
    IP addresses returned: 5.61.10.82
    Elapsed Time: 648 ms.
    	Testing TCP port 443 on host autodiscover.domen.ru to ensure it's listening and open.
     	The port was opened successfully.
     	
    	Additional Details
     	
    Elapsed Time: 348 ms.
    	Testing the SSL certificate to make sure it's valid.
     	The SSL certificate failed one or more certificate validation checks.
     	
    	Additional Details
     	
    Elapsed Time: 522 ms.
     	
    	Test Steps
     	
    	The Microsoft Connectivity Analyzer is attempting to obtain the SSL certificate from remote server autodiscover.domen.ru on port 443.
     	The Microsoft Connectivity Analyzer successfully obtained the remote SSL certificate.
     	
    	Additional Details
     	
    Remote Certificate Subject: CN=domen.ru, OU=IT Department, O=AND Corporation, L=Moscow, S=Moscow, C=RU, Issuer: CN=domen-AND-SDC-CA, DC=domen, DC=ru.
    Elapsed Time: 478 ms.
    	Validating the certificate name.
     	The certificate name was validated successfully.
     	
    	Additional Details
     	
    Host name autodiscover.domen.ru was found in the Certificate Subject Alternative Name entry.
    Elapsed Time: 0 ms.
    	Certificate trust is being validated.
     	Certificate trust validation failed.
     	
    	Test Steps
     	
    	The Microsoft Connectivity Analyzer is attempting to build certificate chains for certificate CN=domen.ru, OU=IT Department, O=AND Corporation, L=Moscow, S=Moscow, C=RU.
     	A certificate chain couldn't be constructed for the certificate.
     	
    	Additional Details
     	
    The certificate chain couldn't be built. You may be missing required intermediate certificates.
    Elapsed Time: 19 ms.
    	Attempting to contact the Autodiscover service using the HTTP redirect method.
     	The attempt to contact Autodiscover using the HTTP Redirect method failed.
     	
    	Additional Details
     	
    Elapsed Time: 1511 ms.
     	
    	Test Steps
     	
    	Attempting to resolve the host name autodiscover.domen.ru in DNS.
     	The host name resolved successfully.
     	
    	Additional Details
     	
    IP addresses returned: 5.61.10.82
    Elapsed Time: 9 ms.
    	Testing TCP port 80 on host autodiscover.domen.ru to ensure it's listening and open.
     	The specified port is either blocked, not listening, or not producing the expected response.
     	 Tell me more about this issue and how to resolve it
     	
    	Additional Details
     	
    A network error occurred while communicating with the remote host.
    Elapsed Time: 1501 ms.
    	Attempting to contact the Autodiscover service using the DNS SRV redirect method.
     	The Microsoft Connectivity Analyzer failed to contact the Autodiscover service using the DNS SRV redirect method.
     	
    	Additional Details
     	
    Elapsed Time: 176 ms.
     	
    	Test Steps
     	
    	Attempting to locate SRV record _autodiscover._tcp.domen.ru in DNS.
     	The Autodiscover SRV record wasn't found in DNS.
     	 Tell me more about this issue and how to resolve it
     	
    	Additional Details
     	
    Elapsed Time: 176 ms.
    	Checking if there is an autodiscover CNAME record in DNS for your domain 'domen.ru' for Office 365.
     	Failed to validate autodiscover CNAME record in DNS. If your mailbox isn't in Office 365, you can ignore this warning.
     	 Tell me more about this issue and how to resolve it
     	
    	Additional Details
     	
    There is no Autodiscover CNAME record for your domain 'domen.ru'.
    Elapsed Time: 125 ms. 

    9 августа 2017 г. 6:56

Все ответы

  • Не совсем понятна схема. В идеале бы нарисовать её с описанием всех серверов. Веб-службы (autodiscover, OWA и тд) у вас как опубликованы наружу? - Sophos UTM это фаервол/NAT? Функции обратного прокси он выполняет? Какие службы опубликованы наружу?

    На testconnectivity запустите для начала тест Outlook Autodiscover и отключите в нем проверку SSL (Ignore Trust for SSL)

    Во всех виртуальных каталогах и конфиге OutlookAnywhere внешние URL'ы корректно прописаны? Можно скинуть сюда вывод get-outlookAnywhere.

    9 августа 2017 г. 7:36
  • server1:
    Только одна роль - Mailbox

    server2:
    Все остальные роли. Роли Edge нет.

    Все веб-службы на server2. Опубликованы через Sophos UTM (NAT)

    С отключенной проверкой тест проходит без ошибок.

    [PS] C:\Windows\system32>get-outlookAnywhere
    
    
    RunspaceId                      : f9fb2ef2-e96c-47bd-b76a-8108ca233b06
    ServerName                      : AND-VPEXCHHUB
    SSLOffloading                   : False
    ExternalHostname                : mail.domen.ru
    ClientAuthenticationMethod      : Basic
    IISAuthenticationMethods        : {Basic}
    XropUrl                         :
    MetabasePath                    : IIS://AND-VPEXCHHUB.domen.ru/W3SVC/1/ROOT/Rpc
    Path                            : C:\Windows\System32\RpcProxy
    ExtendedProtectionTokenChecking : None
    ExtendedProtectionFlags         : {}
    ExtendedProtectionSPNList       : {}
    Server                          : AND-VPEXCHHUB
    AdminDisplayName                :
    ExchangeVersion                 : 0.10 (14.0.100.0)
    Name                            : Rpc (Default Web Site)
    DistinguishedName               : CN=Rpc (Default Web Site),CN=HTTP,CN=Protocols,CN=AND-VPEXCHHUB,CN=Servers,CN=Exchange Admini
                                      strative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=CorporationAND,CN=Microsoft Exch
                                      ange,CN=Services,CN=Configuration,DC=domen,DC=ru
    Identity                        : AND-VPEXCHHUB\Rpc (Default Web Site)
    Guid                            : a102888c-effa-446a-b6a7-6d4e63494efc
    ObjectCategory                  : domen.ru/Configuration/Schema/ms-Exch-Rpc-Http-Virtual-Directory
    ObjectClass                     : {top, msExchVirtualDirectory, msExchRpcHttpVirtualDirectory}
    WhenChanged                     : 07.08.2017 18:30:20
    WhenCreated                     : 04.07.2017 12:48:46
    WhenChangedUTC                  : 07.08.2017 15:30:20
    WhenCreatedUTC                  : 04.07.2017 9:48:46
    OrganizationId                  :
    OriginatingServer               : andd008.domen.ru
    IsValid                         : True


    • Изменено Dshumov 9 августа 2017 г. 7:51
    9 августа 2017 г. 7:50
  • Доменные пользователи из вне, с недоменных компьютеров, через Outlook Anywhere не могут настроить свою учетную запись на клиентах. И я не могу понять, проблема на стороне Excange с сертификатом или на стороне Sophos UTM.

    С отключенной проверкой тест проходит без ошибок.

    Это хороший знак, что без ошибок. Хотите сказать что видите xml ответ от автообнаружения?

    У пользователя на недоменной машине сертификат корневой вашего СА установлен?

    9 августа 2017 г. 11:06
  • xml вижу

    Сертификат установлен.

    9 августа 2017 г. 11:09
  • А версия какая Outlook?

    Если видите, значит ответ есть и он верный.

    Можно установить Fiddler, выбрать в настройках опцию decrypt https, установить сертификат от фиддлера, запустить Outlook и cнять сессию.

    9 августа 2017 г. 11:14
  • Версии пробовал разные и 2010 и 2016

    А в Fiddler на что внимание обращать?

    • Изменено Dshumov 9 августа 2017 г. 11:24
    9 августа 2017 г. 11:18