none
Авторизация outlook RRS feed

  • Общие обсуждения

  • Доброе время суток! у меня такая проблема стоит windows server 2007 на нем есть exchange 2007 у пользователей стоит outlook 2013 при входе в outlook выходит окно на авторизацию, вводят данные ставят галочку запомнить жмут ОК но окно выходит заново и так постоянно, и что странное если отменить авторизацию состояние становиться (требуется пароль) но почта продолжает ходить. Что может быть такое?
    15 декабря 2015 г. 10:52

Все ответы

  • Настройки виртуальных каталогов для начала проверьте

    Сазонов Илья

    https://isazonov.wordpress.com/

    15 декабря 2015 г. 11:08
    Модератор
  • с каталогами все отлично! эта проблема пришла не с того не с сего!!! еще я начинающий Администратор не все еще знаю пожалуйста разъясняйте понятным языком ото не все термины знаю)
    15 декабря 2015 г. 11:46
  • Для начала отключите антивирус на ПК клиента. Посмотрите куда лезет аутлук (CTR+ПКМ по значку аутлука в трее -> сосотояние подключения). Посмотрите что с сертификатом. 
    15 декабря 2015 г. 12:11
  • Два основных варианта - либо у вас проблемы с сертификатами на сервере Exchange (протухли, например), либо сильно различаются алгоритмы SMB-подписи на сервере Exchange и клиенте. Поскольку проблема возникла внезапно, первый вариант более вероятен.

    Покажите вывод команды

    get-exchangecertificate | fl

    из Exchange Management Shell.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    16 декабря 2015 г. 10:15
  • на клиенте откройте InternetExplorer, откройте настройки, дойдите до вкладки "безопасность".

    добавьте все адреса по которым подключается клиент в зону "локальная интрасеть".

    на клиенте не помешает зайти и проверить какие пароли сохранились тут:

    Панель управления\Все элементы панели управления\Диспетчер учетных данных

    16 декабря 2015 г. 13:15
  • Два основных варианта - либо у вас проблемы с сертификатами на сервере Exchange (протухли, например), либо сильно различаются алгоритмы SMB-подписи на сервере Exchange и клиенте. Поскольку проблема возникла внезапно, первый вариант более вероятен.

    Покажите вывод команды

    get-exchangecertificate | fl

    из Exchange Management Shell.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    где вписывать данную команду? в командной строке на wind server?
    18 декабря 2015 г. 3:09
  • на клиенте откройте InternetExplorer, откройте настройки, дойдите до вкладки "безопасность".

    добавьте все адреса по которым подключается клиент в зону "локальная интрасеть".

    на клиенте не помешает зайти и проверить какие пароли сохранились тут:

    Панель управления\Все элементы панели управления\Диспетчер учетных данных

    В диспетчере учетных данных есть только 1 моя учетка с адресом ДК, в IE прописал адрес сервера 192.168.XX.X и все ровно окно всплывает на запрос пароля.
    • Изменено Илюк Юрий 18 декабря 2015 г. 3:16 Добавление строк
    18 декабря 2015 г. 3:11
  • Люди!! неужто не кто не знает как это исправить? (((
    21 декабря 2015 г. 2:52
  • Юрий,

    Как я уже указал, команда get-exchangecertificate | fl выполняется в Exchange Management Shell. Он запускается значком с таким же названием из группы Exchange в меню Start. Это фактически командная строка PowerShell с автоматически подгружаемыми модулями команд, специфичных для Exchange.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    21 декабря 2015 г. 5:24
  • Юрий,

    Как я уже указал, команда get-exchangecertificate | fl выполняется в Exchange Management Shell. Он запускается значком с таким же названием из группы Exchange в меню Start. Это фактически командная строка PowerShell с автоматически подгружаемыми модулями команд, специфичных для Exchange.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging


    AccessRules        : {System.Security.AccessControl.CryptoKeyAc
                         .Security.AccessControl.CryptoKeyAccessRul
                         ty.AccessControl.CryptoKeyAccessRule, Syst
                         ssControl.CryptoKeyAccessRule}
    CertificateDomains : {remote.ema.kz}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=WoSign CA Free SSL Certificate G2, O=Wo
                          C=CN
    NotAfter           : 08.09.2018 16:30:17
    NotBefore          : 08.09.2015 16:30:17
    PublicKeySize      : 2048
    RootCAType         : ThirdParty
    SerialNumber       : 3A75EBC7D68A4FE1327F887D8C17A616
    Services           : IIS, SMTP
    Status             : Valid
    Subject            : CN=remote.ema.kz
    Thumbprint         : 21E385125030ECE916C7E04E022CD5C4E55352D2

    AccessRules        : {System.Security.AccessControl.CryptoKeyAc
                         .Security.AccessControl.CryptoKeyAccessRul
                         ty.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {remote.ema.kz, ema.kz, MAIL.ema.local}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=ema-MAIL-CA
    NotAfter           : 07.09.2017 16:07:09
    NotBefore          : 08.09.2015 16:07:09
    PublicKeySize      : 2048
    RootCAType         : Registry
    SerialNumber       : 610F7B95000000000006
    Services           : IMAP, POP, SMTP
    Status             : Valid
    Subject            : CN=remote.ema.kz
    Thumbprint         : 388AED1858A546910C79F2735801952D09ADAB38

    AccessRules        : {System.Security.AccessControl.CryptoKeyAc
                         .Security.AccessControl.CryptoKeyAccessRul
                         ty.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {remote.EMA.KZ, EMA.KZ, MAIL.ema.local}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=ema-MAIL-CA
    NotAfter           : 07.09.2017 16:04:44
    NotBefore          : 08.09.2015 16:04:44
    PublicKeySize      : 2048
    RootCAType         : Registry
    SerialNumber       : 610D4401000000000005
    Services           : IMAP, POP, SMTP
    Status             : Valid
    Subject            : CN=remote.EMA.KZ
    Thumbprint         : B51CFDE93C455E6032705B13CF77554361A190D0

    AccessRules        : {System.Security.AccessControl.CryptoKeyAc
                         .Security.AccessControl.CryptoKeyAccessRul
                         ty.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {remote.ema.kz, ema.kz, MAIL.ema.local}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=ema-MAIL-CA
    NotAfter           : 07.09.2017 15:28:15
    NotBefore          : 08.09.2015 15:28:15
    PublicKeySize      : 2048
    RootCAType         : Registry
    SerialNumber       : 610478C7000000000004
    Services           : IMAP, POP, SMTP
    Status             : Valid
    Subject            : CN=remote.ema.kz
    Thumbprint         : 0160219A53BADF22FA09502487ABA95620196C78

    AccessRules        : {System.Security.AccessControl.CryptoKeyAc
                         .Security.AccessControl.CryptoKeyAccessRul
    CertificateDomains : {WMSvc-WIN-0I5CIVVYBYH}
    HasPrivateKey      : True
    IsSelfSigned       : True
    Issuer             : CN=WMSvc-WIN-0I5CIVVYBYH
    NotAfter           : 05.09.2025 13:40:32
    NotBefore          : 08.09.2015 13:40:32
    PublicKeySize      : 2048
    RootCAType         : Registry
    SerialNumber       : B4FEE7517B6E40964C2EB84B9E785EB5
    Services           : None
    Status             : Valid
    Subject            : CN=WMSvc-WIN-0I5CIVVYBYH
    Thumbprint         : BCD74C1FB4ECED26F33DF581CC55D9FBDF4E6655

    AccessRules        : {System.Security.AccessControl.CryptoKeyAc
                         .Security.AccessControl.CryptoKeyAccessRul
                         ty.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {MAIL.ema.local}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=ema-MAIL-CA
    NotAfter           : 07.09.2016 11:54:24
    NotBefore          : 08.09.2015 11:54:24
    PublicKeySize      : 2048
    RootCAType         : Registry
    SerialNumber       : 61071582000000000003
    Services           : IMAP, POP, SMTP
    Status             : Valid
    Subject            : CN=MAIL.ema.local
    Thumbprint         : 129141E30435488E4F95B1FA031C61772390F9CA

    AccessRules        : {System.Security.AccessControl.CryptoKeyAc
                         .Security.AccessControl.CryptoKeyAccessRul
                         ty.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {Sites, MAIL.ema.local}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=ema-MAIL-CA
    NotAfter           : 07.09.2017 11:50:49
    NotBefore          : 08.09.2015 11:50:49
    PublicKeySize      : 2048
    RootCAType         : Registry
    SerialNumber       : 6103CD5C000000000002
    Services           : IMAP, POP, SMTP
    Status             : Valid
    Subject            : CN=Sites
    Thumbprint         : B87FA65C02B32B70D69889CAC223D94B59B96106

    AccessRules        : {System.Security.AccessControl.CryptoKeyAc
                         .Security.AccessControl.CryptoKeyAccessRul
    CertificateDomains : {ema-MAIL-CA}
    HasPrivateKey      : True
    IsSelfSigned       : True
    Issuer             : CN=ema-MAIL-CA
    NotAfter           : 08.09.2020 12:00:13
    NotBefore          : 08.09.2015 11:50:14
    PublicKeySize      : 2048
    RootCAType         : Registry
    SerialNumber       : 6D89B686FD80A09A4F40AAC49973174D
    Services           : None
    Status             : Valid
    Subject            : CN=ema-MAIL-CA
    Thumbprint         : DF0764B3C19D32F396867FF779DCD1A8FA999D50
    21 декабря 2015 г. 5:38
  • Покажите вывод команды

    get-exchangecertificate -Thumbprint 21E385125030ECE916C7E04E022CD5C4E55352D2 | fl

    Также укажите FQDN домена AD, в котором находятся ваши ПК.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    21 декабря 2015 г. 6:09
  • Покажите вывод команды

    get-exchangecertificate -Thumbprint 21E385125030ECE916C7E04E022CD5C4E55352D2 | fl

    Также укажите FQDN домена AD, в котором находятся ваши ПК.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    Что такое FQDN? вот данные по вашей команде.

    get-exchangecertificate -Thumbprint 21E385125030ECE916C7E04E022CD5C4E55352D2 | fl


    AccessRules        : {System.Security.AccessControl.CryptoKey
                         .Security.AccessControl.CryptoKeyAccessR
                         ty.AccessControl.CryptoKeyAccessRule, Sy
                         ssControl.CryptoKeyAccessRule}
    CertificateDomains : {remote.ema.kz}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=WoSign CA Free SSL Certificate G2, O=
                          C=CN
    NotAfter           : 08.09.2018 16:30:17
    NotBefore          : 08.09.2015 16:30:17
    PublicKeySize      : 2048
    RootCAType         : ThirdParty
    SerialNumber       : 3A75EBC7D68A4FE1327F887D8C17A616
    Services           : IIS, SMTP
    Status             : Valid
    Subject            : CN=remote.ema.kz
    Thumbprint         : 21E385125030ECE916C7E04E022CD5C4E55352D2

    21 декабря 2015 г. 8:07
  • FQDN - это полное доменное имя. Мне нужно знать, как ПОЛНОСТЬЮ называется ваш домен AD. Например, google.com.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    21 декабря 2015 г. 8:12
  • FQDN - это полное доменное имя. Мне нужно знать, как ПОЛНОСТЬЮ называется ваш домен AD. Например, google.com.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    ema.local
    21 декабря 2015 г. 8:18
  • Ну, вот мы и добрались, я полагаю, до источника проблемы. Суть в том, что у вас на сервере Exchange к службам IIS , через которые Outlook 2013 получает адресную книгу, привязан сертификат, выданный на имя remote.ema.kz, в то время как внутренний FQDN вашего сервера Exchange  заканчивается на ema.local. Соответственно, при подключении внутри сети данный сертификат является невалидным (не соответствует имени сервера), Outlook не принимает его и не может загрузить адресную книгу из-за недоверенного подключения к серверу.

    При этом проблема касается исключительно загрузки автономной адресной книги в Outlook и никак не касается собственно отправки и получения писем. Они выполняются иными средствами и с IIS никак не связаны.

    Полагаю, эта проблема возникла не позднее 8 сентября (дата начала действия текущего сертификата). Возможно, ранее внешний центр сертификации WoSign генерировал вам сертификат с множественными именами (SAN), включающими локальное имя сервера, но из-за изменений неких глобальных концепций с недавнего времени генерация сертификатов для имен в зоне .local больше невозможно (можете попробовать запросить, авось да сработает, но шансы невелики). Это очень серьезная проблема, поскольку Exchange не поддерживает переименование домена AD.

    Самый простой вариант решения - сгенерировать самоподписанный сертификат средствами вашего доменного центра сертификации и привязать его к службам IIS. В этом случае вы сможете включить в него произвольные альтернативные имена. Это сделает сертификат недоверенным с точки зрения пользователей в Интернете (им придется выполнять ручные операции, чтобы начать доверять ему, либо мириться с предупреждениями безопасности веб-броузера при подключении к OWA). Однако сама по себе процедура выполняется очень быстро и довольно просто. Вот ссылка на мою инструкцию: http://forum.ixbt.com/topic.cgi?id=7:42655

    Еще один вариант - перенести Exchange в дополнительно созданный домен с нормальным именем (скажем, в зоне .ru). Это потребует дополнительных танцев с бубном при настройке почты пользователей и потребует массы времени и усилий. Тогда вы сможете запросить у внешнего ЦС сертификат, валидный при доступе и внутри сети, и через Интернет. В этом случае, простите за констатцию факта, вашей квалификации недостаточно для решения проблемы, вам придется звать более умелого специалиста.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging


    21 декабря 2015 г. 8:37
  • А возможно ли сделать так чтобы аутлук работал через remote.ema.kz/owa?


    21 декабря 2015 г. 8:52
  • Мне такой способ неизвестен. Outlook работает через механизм автообнаружения серверов в текущем домене AD, и его название - отнюдь не ema.kz.

    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    21 декабря 2015 г. 8:53
  • то-есть 1 из вариантов выпустить новый сертификат с FQDN ema.local?
    21 декабря 2015 г. 8:58
  • формат сертификата какой должен быть ssl?
    21 декабря 2015 г. 9:23
  • Как я уже сказал, самый простой вариант - сгенерировать новый сертификат по первому варианту.

    Выражение "формат сертификата" быссмысленно. SSL - это протокол взаимодействия. У сертификата есть только используемый криптоалгоритм и пара из приватного и публичного ключа, ну, и некоторые дополнительные параметры. Не заморачивайте себе голову. Описанная процедура вполне однозначна и не требует знания основ криптографии с открытым ключом.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    21 декабря 2015 г. 9:28
  • Хорошо сейчас что мне сделать? сделать по вашей ссылке http://forum.ixbt.com/topic.cgi?id=7:42655? сгенирировать сертификат на mail.ema.local? данный сертификат имеется в IIS.

    просто сейчас я зашел в IIS->сертификаты и там я вижу что есть сертификат mail.ema.local ema-MAIL-CA

    21 декабря 2015 г. 9:42
  • Как следует из сводки по сертификатам чуть выше, у вас действительно есть сертификат для MAIL.ema.local (я верно понимаю, что это ваш почтовый сервер?), выданный центром сертификации ema-MAIL-CA. Что это за центр сертификации? Он был развернут специально для поддержки Exchange, если судить по имени? Он доменный?

    Чтобы все ПК в домене автоматически доверяли сертификату, выпустивший его ЦС должен быть доменным. Если ema-MAIL-CA - доменный ЦС, то можете использовать и этот сертификат. Однако он истекает в сентябре следующего года, и у вас все начнется сначала (а к тому времени вы забудете это обсуждение). Так что лучше сразу сделать и задействовать сертификат с длительным сроком действия.

    Но если хотите использовать именно этот существующий сертификат, то выполните в EMS следующую команду:

    Enable-exchangecertificate -server MAIL.ema.local -Thumbprint 129141E30435488E4F95B1FA031C61772390F9CA -Services IIS

    Проблема на стороне пользователей должна уйти сразу. После этого у вас будет время, чтобы спокойно изучить азы PKI в домене AD и использования сертификатов в Exchange.

    Если проблема не уйдет, снова покажите вывод команды get-exchangecertificate | fl


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging


    21 декабря 2015 г. 10:51
  • Как следует из сводки по сертификатам чуть выше, у вас действительно есть сертификат для MAIL.ema.local (я верно понимаю, что это ваш почтовый сервер?), выданный центром сертификации ema-MAIL-CA. Что это за центр сертификации? Он был развернут специально для поддержки Exchange, если судить по имени? Он доменный?

    Чтобы все ПК в домене автоматически доверяли сертификату, выпустивший его ЦС должен быть доменным. Если ema-MAIL-CA - доменный ЦС, то можете использовать и этот сертификат. Однако он истекает в сентябре следующего года, и у вас все начнется сначала (а к тому времени вы забудете это обсуждение). Так что лучше сразу сделать и задействовать сертификат с длительным сроком действия.

    Но если хотите использовать именно этот существующий сертификат, то выполните в EMS следующую команду:

    Enable-exchangecertificate -server MAIL.ema.local -Thumbprint 129141E30435488E4F95B1FA031C61772390F9CA -Services IIS

    Проблема на стороне пользователей должна уйти сразу. После этого у вас будет время, чтобы спокойно изучить азы PKI в домене AD и использования сертификатов в Exchange.

    Если проблема не уйдет, снова покажите вывод команды get-exchangecertificate | fl


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging


    mail.ema.local да это почтовик ответ на команду 

    Enable-ExchangeCertificate : Не удается найти параметр, соответствующий имени п
    араметра "server".
    В строка:1 знак:35
    + Enable-exchangecertificate -server  <<<< mail.ema.local -Thumbprint 129141E30
    435488E4F95B1FA031C61772390F9CA -Services IIS




    21 декабря 2015 г. 11:13
  • Тогда попробуйте без параметра -server:

    Enable-exchangecertificate -Thumbprint 129141E30435488E4F95B1FA031C61772390F9CA -Services IIS


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    21 декабря 2015 г. 12:39
  • Тогда попробуйте без параметра -server:

    Enable-exchangecertificate -Thumbprint 129141E30435488E4F95B1FA031C61772390F9CA -Services IIS


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    сертификат принял но outlok по прежнему просит пасс. оутлук сразу же попросил установить сертификат mail.ema.local установил и все ровно такая-же проблема.
    22 декабря 2015 г. 2:51
  • Если Outlook по-прежнему просит пароль, сертификат был выдан не доменным центром сертификации и не является доверенным. Варианта два: либо найти корневой публичный сертификат этого ЦС и распространить его по компьютерам организации с помощью групповой политики, либо сгенерировать новый сертификат, пользуясь указанной выше инструкцией.

    Кстати, попробуйте перезапустить службы IIS на сервере exchange командой iisreset в командной строке. Возможно, поможет.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    22 декабря 2015 г. 9:06
  • Если Outlook по-прежнему просит пароль, сертификат был выдан не доменным центром сертификации и не является доверенным. Варианта два: либо найти корневой публичный сертификат этого ЦС и распространить его по компьютерам организации с помощью групповой политики, либо сгенерировать новый сертификат, пользуясь указанной выше инструкцией.

    Кстати, попробуйте перезапустить службы IIS на сервере exchange командой iisreset в командной строке. Возможно, поможет.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    Установился сертификат перезапустил outlok перестал запрашивать но и с ним перестала работать owa выдает данное сообщение:

    404 - Файл или каталог не найден.

    Запрашиваемый ресурс перемещен, переименован либо временно недоступен.

    в узлах посмотрел sbs WA отключено при попытке запустить его выдает сообщение:

    Веб узел не может быть запущен, возможно имеется другой веб узел, который использует тот-же порт.

    23 декабря 2015 г. 3:18
  • есть вкладка default web site ее отключил и включил SBS WA запустился что за default web site за что она отвечает?
    23 декабря 2015 г. 4:55
  • IIS позволяет запускать несколько сайтов одновременно, но они должны быть привязаны к разным портам на сервере. Сайт по умолчанию создается при установке IIS, Exchange создает свои собственные сайты на тех же портах. Чтобы OWA мог работать, остановите веб-сайт по умолчанию и запустите сайт OWA. Собственно, это ситуация по умолчанию.

    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    23 декабря 2015 г. 6:13
  • IIS позволяет запускать несколько сайтов одновременно, но они должны быть привязаны к разным портам на сервере. Сайт по умолчанию создается при установке IIS, Exchange создает свои собственные сайты на тех же портах. Чтобы OWA мог работать, остановите веб-сайт по умолчанию и запустите сайт OWA. Собственно, это ситуация по умолчанию.

    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    Ну я остановил sbs WA и запустил owa но по какой-то причине owa грузится но при прохождении безопасности нет вкладки пропустить этот сайт, что он доверенный то-есть пишется якобы нет сертификата и т.п а пропустить нету(
    23 декабря 2015 г. 8:20
  • Вы описываете симптомы, возникающие в веб-броузере. Я вас об этом предупреждал.



    Каким образом броузер поступает с недоверенными сертификатами, зависит исключительно от броузера.Однако, насколько я в курсе, все без исключения броузеры позволяют работать с сайтом с недоверенными сертификатами. Если вы не знаете, как это сделать в вашем текущем броузере, прочитайте по нему инструкцию или используйте другой броузер. Для OWA настоятельно рекомендую использовать Internet Explorer.



    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    23 декабря 2015 г. 8:51