none
Проблема с подключением к Exchange 2013 с рабочей станции, не входящей в AD RRS feed

  • Вопрос

  • Добрый день, коллеги,

    Имеется в наличии:

    • 1 Mailbox и 1 CAS сервер на базе Exchange 2013 .
    • Настроен Outlook Anywhere
    • есть доступ по 443 порту из сети Интернет
    • настроен AutoDiscovery: создана SRV-запись в DNS провайдера и в локальном DNS
    • настроен CA, выданы сертификаты на CAS - сервер, рабочие станции в домене получили root- сертификат в трасты
    • при попытке зайти на https://autodiscover.contoso.com/autodiscover/autodiscover.xml  после ввода логина и пароля получаю ответ ErrorCode 600

    Описание проблемы:

    • Ситуация №1. Рабочая станция - член домена AD, подключаемся из сети предприятия.

    Все работает без проблем. autodiscovery  автоматически подставляет все настройки. Настройка Outlook 2013  проходит так как и должно быть.

    • Ситуация №2. Рабочая станция не в является членом домена AD, подключаемся за пределами сети предприятия

    ОС Mac OS X, клиент Microdoft Outlook 2011. При настройке учетной записи Exchange вводим название почтового ящика и пароль, остальные параметры подставляются автоматически, следовательно autodiscovery  работает правильно

    p.s. Сертификат центра сертификации добавлен в доверенные узлы

    • Ситуация №3. Клиенты на мобильных устройствах

    Подключаются как из сети предприятия, так и за ее пределами без проблем. Вводим название почтового ящика и пароль, получаем предупреждение о том что сертификат на имя autodiscover.contoso.com  выдан неизвестным центром сертификации, нажимаем продолжить и подключаемся к почтовому ящику.

    • Ситуация №4. Рабочая станция не является членом домена, подключаемся из сети предприятия

    При ручной настройке учетной записи Exchange Server  получаю сообщение об ошибке:

    "Отсутствует подключение к Microsoft Exchange. Для завершения операции требуется постоянное  или  временное  подключение Outlook  к серверу"

    Получаю GUID  почтового ящика, добавляю префикс домена (получается что-то типа a4f4cdac-0ce4-4dda-b1cf-aa5ac33c660f@contoso.com),вписываю этот GUID  вместо имени сервера, нажимаю кнопку "Проверить имя", ввожу логин и пароль и подключаюсь к почтовому ящику.

    Пробовал подключаться к autodiscover.contoso.com  через браузер, получаю ErrorCode 600 , ровно также как и на рабочих станциях. на которых все работает.  

    Настройки TCP/IP  на рабочей станции из Ситуации №1  и Ситуации №4 одинаковые, получают с DHCP сервера. Сертификат ЦС установлен в трасты, есть пользовательский сертификат, выданный этим же ЦС

    На сайте testconnectivity.microsoft.com все возможные тесты проходят успешно. Единственное сообщение об ошибке на недостоверный сертификат, выданный не проверенным ЦС.

    Есть какие-нибудь идеи в каком направлении копать? Перепробовал много всего, менял аутентификацию как на mailbox  так и на  cas  серверах, ничего не помогает. Так что буду признателен за любые предложения.


    • Изменено zed009 5 декабря 2013 г. 7:07 исправлено
    5 декабря 2013 г. 6:58

Ответы

  • Итак, сообщаю: проблема решена

    Если рабочая станция находится в домене, то Outlook  автоматически подставляет все параметры.

    Если рабочая станция не член домена, то необходимо ввести имя почтового ящика и пароль  и НЕ нажимать кнопку "Ручная настройка или дополнительные типы серверов".

    В моей ситуации настройка учетной записи заняла 2 минуты, именно такое количество времени потребовалось чтобы определить параметры почтового ящика.

    Не знаю почему так долго, но сам факт, что работает.

    В результате все настройки аутентификации IIS  на mailbox  и на  cas серверах вернул на значения по умолчанию.

    Теперь возникли следующие вопросы:

    • как прикрутить аутентификацию на сертификатах? В настройках IIS  на rpc установить параметр аутентификации на сертификатах и убрать все остальные типы аутентификации?
    • автонастройка  ПЯ не устанавливает шифрование трафика между клиентом и сервером (закладка "Безопасность" в доп. настройках) Если убрать анонимную проверку подлинности и установить Negotiate, то все работает без проблем. Как сделать так чтобы шифрование включалось автоматически?
    • Помечено в качестве ответа zed009 10 декабря 2013 г. 13:04
    • Изменено zed009 10 декабря 2013 г. 14:11
    10 декабря 2013 г. 13:03

Все ответы

  • Добрый день!

    ErrorCode 600 говорит о том, что все хорошо.

    N4 какой клиент используется? Как Вы настраивайте можете описать?

    5 декабря 2013 г. 7:11
  • На недоменный компьютер сертификат CA устанавливался?

    Do not multiply entities beyond what is necessary

    5 декабря 2013 г. 7:17
  • рабочая станция в в 4-ом случае ОС W8, Office 2013, установлены сертификаты на пользователя и root сертификат ЦС в доверенные узлы добавлен.

    В настройках учетной записи вписываю FQDN  имя CAS сервера и название почтового ящика, в дополнительных настройках указываю подключаться через прокси, также указываю  FQDN  имя CAS сервера в параметрах подключения,. а также установлен чек- бокс: подключаться только  к прокси-серверам...там вписано msstd:FQDN, все чек-боксы активны. Собственно настройки взяты из параметров подключения доменной станции, на которой нет проблем.

    Про ErrorCode 600  я знаю, что он говорит о том , что все хорошо, но как мне  кажется он должен выдавать листинг с именем пользователя и прочими настройками в формате .xml



    • Изменено zed009 5 декабря 2013 г. 7:51
    5 декабря 2013 г. 7:42
  • Да, в Ваших знаниях я не сомневаюсь. В дали исчерпывающую информацию изначально, спасибо Вам за это.

    А как Вы вводите логин пользователя? UPN?

    Может будет полезно

    5 декабря 2013 г. 7:55
  • да, естественно, UPN, но  как мне кажется не в нем дело....может быть где-нибудь в IIS  или настройках CAS  сервера есть разный тип аутентификации для внешних и внутренних клиентах? 

    Я пробовал играться с аутентификацией через Set-OutlookAnywhere c  параметрами ExternalClientAuthenticationMethod и InternalClientAuthenticationMethod , привело все к тому, что при установке аутентификации с параметром Basic  в обоих случаях доменные клиенты запрашивали пароль при запуске оутлука.

    Надо сказать, что внешние и внутренние клиенты аутентифицировались при любых настройках аутентификации. А не доменные станции не подключаются, при любом типе аутентификации. Пробовал даже оставлять только аутентификацию на сертификатах, все равно не помогает...

    Проблема не локальная, т.к, не работает на всех  рабочих станция, которые не включены домен, что Win7 и  Win8 на версиях офиса 2010 и 2013.

    А вот яблоко работает что при Basic, что при Negotiate ;) Забавно даже

    Может, я чего не понимаю, но мне кажется, что autodiscover  не отрабатывает как надо, т.е. не преобразовывает fqdn  имя cas  сервера в ExchangeGUID  почтового ящика...Пробовал даже anonimous access  ставить на виртуальную директорию в IIS  на обоих серверах -"Врагу не сдается наш гордый Варяг"


    • Изменено zed009 5 декабря 2013 г. 8:22 добавил
    5 декабря 2013 г. 8:16
  • Попробуйте в Hosts прописать Netbios  имена Exchange серверов.
    5 декабря 2013 г. 8:36
  • Попробовал ради интереса, конечно. Но это не помогло решить проблему. 

    Файлик hosts  помогает решить проблемы с DNS-ом, а у меня DNS  работает без проблем, как внутри так и снаружи, к нему как раз никаких претензий. 

    Плюс ко всему, при использовании NETBIOS  имен возникнут проблемы с SSL, т.к. сертификат выдан на FQDN  имя сервера.
    • Изменено zed009 5 декабря 2013 г. 8:51
    5 декабря 2013 г. 8:49
  • Приподниму, есть еще какие-нибудь соображения на этот счет?

    Рабочая станция в локальной сети, но не входящая в состав домена должна авторизоваться как внешний клиент или как внутренний? Я понимаю, что для Exchange  все клиенты внешние, но в Set-OutlookAnywhere они разграничены. Как думаете это проблема с аутентификацией в IIS ?

    6 декабря 2013 г. 5:46
  • Добавлено: установил wildcard-сертификат от Thawte  на сервер CAS. Хотя и до этого проблем с сертификатами не было, теперь на сайте testconnectivity.microsoft.com  все тесты проходят успешно.

    Тест подключения  в Outlook 2013 на проблемной рабочей станции показывает XML-файл, который выдает autodiscover. Вроде все работает, но только FQDN имя сервера не изменяется на GUID  при ручной настройке учетной записи.

    testconnectivity.microsoft.com имитирует внешнее подключение к ящику, а оно как раз работает без проблем. А как можно протестировать подключение из локальной сети с нуля?

    Настроенный профиль в Outlook (с вписанным GUID  ящика) проходит проверку подключения успешно, если пытаться подключиться под другим пользователем. Имею ввиду тест, который можно сделать в Outlook

    10 декабря 2013 г. 6:50
  • Итак, сообщаю: проблема решена

    Если рабочая станция находится в домене, то Outlook  автоматически подставляет все параметры.

    Если рабочая станция не член домена, то необходимо ввести имя почтового ящика и пароль  и НЕ нажимать кнопку "Ручная настройка или дополнительные типы серверов".

    В моей ситуации настройка учетной записи заняла 2 минуты, именно такое количество времени потребовалось чтобы определить параметры почтового ящика.

    Не знаю почему так долго, но сам факт, что работает.

    В результате все настройки аутентификации IIS  на mailbox  и на  cas серверах вернул на значения по умолчанию.

    Теперь возникли следующие вопросы:

    • как прикрутить аутентификацию на сертификатах? В настройках IIS  на rpc установить параметр аутентификации на сертификатах и убрать все остальные типы аутентификации?
    • автонастройка  ПЯ не устанавливает шифрование трафика между клиентом и сервером (закладка "Безопасность" в доп. настройках) Если убрать анонимную проверку подлинности и установить Negotiate, то все работает без проблем. Как сделать так чтобы шифрование включалось автоматически?
    • Помечено в качестве ответа zed009 10 декабря 2013 г. 13:04
    • Изменено zed009 10 декабря 2013 г. 14:11
    10 декабря 2013 г. 13:03