none
Не подключается Outlook с внешки RRS feed

  • Вопрос

  • Добрый день!

    Внутри сети Outlook автоматически подключается без проблем, телефоны также работают и все подключается, а вот с внешки не работает Outlook

    В Testing Outlook connectivit есть такие ошибки:



    7 марта 2018 г. 5:31

Ответы

  • Вот теперь видно, что сертификатов используется два. Если у подключающейся стороны нет доверия к ЦС, то получив список сертификатов подключаться они будут к вайдкарду, т.к. доверие к нему есть. И для IMAP и OA нужно будет делать шаги, которые я описал. Для ОА- менять урлы, для IMAP прописывать FQDN.

    Использовать сертификат local вообще смысла не имеет. Как и домен делать такой внутри )

    В общем, ничего страшного- рутина. Выбрать нерабочие часы, поменять/проверить, а потом все радуются и танцуют.

    13 марта 2018 г. 7:53
  • Кстати, на имапе то висит вайдкардовый сертификат, проверьте что там в настройках, и если имени нет, то надо поставить (и службы разумеется перезапустить). И имап заработает.

    set-IMAPSettings -X509CertificateName mail.domain.com


    14 марта 2018 г. 5:44

Все ответы

  • С внешки - комп не доменный? Сертификаты там необходимые присутствуют?
    7 марта 2018 г. 6:17
  • 1. Сертификат самоподписанный или коммерческий?

    2. Правкой кнопкой мыши в трее на значок Outlook и запустите "Test e-mail autoconfiguration". Какие ошибки он выдаёт?

    7 марта 2018 г. 6:36
  • С внешки - комп не доменный? Сертификаты там необходимые присутствуют?

    комп да не в домене. 1 серт вот такой, я положила его на клиенте в корневые 

    еще вот от wildcart 


    7 марта 2018 г. 7:09
  • 1. Сертификат самоподписанный или коммерческий?

    2. Правкой кнопкой мыши в трее на значок Outlook и запустите "Test e-mail autoconfiguration". Какие ошибки он выдаёт?

    Я не могу посмотреть Test e-mail autoconfiguration,  значка внизу нет

    Я мобильный оутлук настроила вот таким образом 

    и попробовала заново запустить оутлук, теперь вот что:

    7 марта 2018 г. 7:33
  • Клиент Outlook будет работать по IMAP. Рекомендую импортировать сертификат, который отвечает за службы IMAP.
    7 марта 2018 г. 7:39
  • Клиент Outlook будет работать по IMAP. Рекомендую импортировать сертификат, который отвечает за службы IMAP.

    ну я вот этот сертификат установила на клиенте:

    что еще делаю не так?

    7 марта 2018 г. 8:05
  • Скажите, если снаружи подключаться via OWA, то есть ли какие-нибудь проблемы?
    7 марта 2018 г. 8:12
  • Скажите, если снаружи подключаться via OWA, то есть ли какие-нибудь проблемы?

    нет проблем нет, подключается. он при этом использует сертификат который от wildcart  как я понимаю, но он назначен только для SMTP, а для подключения по iis и imap я же установила сертификат:

    почему ошибка, что сертификат не подходит не понимаю 


    7 марта 2018 г. 8:15
  • Ну, про публикацию виртуальных каталогов и DNS я спрашивать не буду, я думаю у Вас это настроено. 

    Банально, проверьте с этой машины телнетом порт IMAP. Я подобные ситуации(доступ через Outlook к почте с недоменных машин) решаю исключительно при помощи VPN. Возможно стоит посмотреть в эту сторону?

    7 марта 2018 г. 8:16
  • А почему вы не хотите wildcard также назначить на IIS?
    7 марта 2018 г. 8:23
  • А почему вы не хотите wildcard также назначить на IIS?
    а не отвалятся оутлуки, которые сейчас по mapi подключены к рабочим станциям в локальной сети, а не на внешней?
    7 марта 2018 г. 9:07
  • Текущие сессии могут отвалиться и приложение придётся переоткрыть, т.ч. лучше работы провести в вечернее время.  
    7 марта 2018 г. 9:26
  • Текущие сессии могут отвалиться и приложение придётся переоткрыть, т.ч. лучше работы провести в вечернее время.  
    страшно, там почти 500 клиентов. а нет других вариантов решения?
    7 марта 2018 г. 9:28
  • Сертификат, который используется при доступе к owa(ровно как и к ecp) нужно смотреть в маппингах, в настройках IIS Exchange сервера. Подключаться к owa используя сертификат назначенный службам SMTP, ИМХО, не получится.
    7 марта 2018 г. 11:14
  • что еще делаю не так?

    Еще до подключения нужно проверить имена.

    Ставлю доллар, что несоответствие имени в сертификате связано именно с провайдером. Но проверить первые две тоже не помешает, вдруг я проспорю )

    Get-OutlookAnywhere -ADPropertiesOnly | Format-Table -Property @("Server", "InternalHostname", "ExternalHostname") Get-MapiVirtualDirectory -ADPropertiesOnly | Format-Table -Property @("Server", "InternalUrl", "ExternalUrl") Get-OutlookProvider | Format-Table -Property @("Name", "CertPrincipalName", "OutlookProviderFlags")

    Ну и это, с праздником!

    P.S. Граждане отвечающие, IMAP подключение при живом Exchange советовать только вредители могут.

    Ну больше 30 лет протоколу, его закапывать нужно, а не советовать, как настроить. Я уж промолчу, что ТС изначально хочет настроить ОА. https://technet.microsoft.com/en-us/library/bb123741(v=exchg.150).aspx

    8 марта 2018 г. 13:05
  • что еще делаю не так?

    Еще до подключения нужно проверить имена.

    Ставлю доллар, что несоответствие имени в сертификате связано именно с провайдером. Но проверить первые две тоже не помешает, вдруг я проспорю )

    Get-OutlookAnywhere -ADPropertiesOnly | Format-Table -Property @("Server", "InternalHostname", "ExternalHostname") Get-MapiVirtualDirectory -ADPropertiesOnly | Format-Table -Property @("Server", "InternalUrl", "ExternalUrl") Get-OutlookProvider | Format-Table -Property @("Name", "CertPrincipalName", "OutlookProviderFlags")

    Ну и это, с праздником!

    P.S. Граждане отвечающие, IMAP подключение при живом Exchange советовать только вредители могут.

    Ну больше 30 лет протоколу, его закапывать нужно, а не советовать, как настроить. Я уж промолчу, что ТС изначально хочет настроить ОА. https://technet.microsoft.com/en-us/library/bb123741(v=exchg.150).aspx

    Может проблема в том, что у вилдкарт сертификата в дополнительном имени субъекта прописан только адрес *.домен.ru, а ExternalHostname mail.домен.ru? Если да, что делать теперь с этим?


    Ну и это, с праздником!

    Спасибо большое))



    12 марта 2018 г. 5:46
  • Может проблема в том, что у вилдкарт сертификата в дополнительном имени субъекта прописан только адрес *.домен.ru, а ExternalHostname mail.домен.ru? Если да, что делать теперь с этим?

    Нет, так и должно быть. Делать мои команды выше.

    12 марта 2018 г. 6:08
  • Может проблема в том, что у вилдкарт сертификата в дополнительном имени субъекта прописан только адрес *.домен.ru, а ExternalHostname mail.домен.ru? Если да, что делать теперь с этим?

    Нет, так и должно быть. Делать мои команды выше.

    12 марта 2018 г. 8:11
  • Меняем OutlookAnywhere и mapivirtualdirectory mail2.тратата.ru, в оснастке iis чистим app pool autodiscover, и пробуем подключиться из внешней сети.
    12 марта 2018 г. 8:15
  • Меняем OutlookAnywhere и mapivirtualdirectory mail2.тратата.ru, в оснастке iis чистим app pool autodiscover, и пробуем подключиться из внешней сети.
    не поняла, внешнее имя задаем такое же как локальное? mail2.f.local это локальное имя сервера, а mail.k.ru внешнее например. 
    12 марта 2018 г. 8:40
  • Меняем именно InternalUrl. Я понимаю, что mail2.f.local  это локальное имя, и сервер тоже понимает и выдает ошибку в несоответствии сертификата.

    Внутри же у Вас есть зона firma.ru и в ней запись mail2 ведущая на сервер, как я понимаю.

    12 марта 2018 г. 8:49
  • Меняем именно InternalUrl. Я понимаю, что mail2.f.local  это локальное имя, и сервер тоже понимает и выдает ошибку в несоответствии сертификата.

    Внутри же у Вас есть зона firma.ru и в ней запись mail2 ведущая на сервер, как я понимаю.

    так у меня же есть еще локальные пользователи, если я поменяю InternalUrl для mapi  на внешний, они отвалятся опять таки, т.к они используют другой сертификат, самоподписанный, а не вилдкарт

    12 марта 2018 г. 12:07
  • Нет.

    Exchnage может использовать только один сертификат для IIS. На сервере сколько угодно сертификатов может при этом быть, и локал и вайлдкард- неважно.

    Get-ExchangeCertificate | fl Services,Subject,Thumbprint

    Вот такой волшебной командой можно посмотреть какой сертификат назначен для какого сервиса.

    12 марта 2018 г. 12:51
  • Нет.

    Exchnage может использовать только один сертификат для IIS. На сервере сколько угодно сертификатов может при этом быть, и локал и вайлдкард- неважно.

    Get-ExchangeCertificate | fl Services,Subject,Thumbprint

    Вот такой волшебной командой можно посмотреть какой сертификат назначен для какого сервиса.

    Ну вот опять пришли к тому, что iis надо переставлять на вилдкарт, этого я делать не хочу. Значит мне надо все таки по imap  подключаться https://social.technet.microsoft.com/Forums/ru-RU/630c60fb-c34a-466a-b177-e082634a47d1/-smtp-587-?forum=exchange2013ru, но там тоже у меня пока проблемка))

    13 марта 2018 г. 3:45
  • Ну вот опять пришли к тому, что iis надо переставлять на вилдкарт, этого я делать не хочу.

    Пока вывода коменды не видел.

    И никакой проблемы не вижу, чтобы переназначить сертификат. Надо правильно было делать изначально, и проблемы бы не было :)

    Если Вы посмотрели отпечаток сертификата и видите, что вайлдкард не назначен для IIS, то 

    а) назначаем б) клиенты через автодискавер получают эти новые настройки в течение 60 минут самостоятельно в) автоматически переподключаются используя новое имя г) профит.

    Про имап ничего сказать не могу, ибо не знаю, какой сертификат назначен на нем.

    Но есть волшебная такая штука, как логи Set-ImapSettings -ProtocolLogEnabled $true -LogFileLocation "C:\Imap4Logging"

    Включили, перезапустили обе службы, пробуем подключиться и смотрим в файл журнала.

    Я и с имапом помогу, но не люблю распыляться на много проблем сразу. Слона надо есть бутербродами.

    13 марта 2018 г. 5:55

  • Про имап ничего сказать не могу, ибо не знаю, какой сертификат назначен на нем.


    Вот в этом и проблема, что там вилдкарт, который не назначен для imap)) получается и тут никак не обойти данную ситуацию? кстати imap у меня тоже не работает, интернет был ранее через керио оказывается предоставлен, когда проверила без него он сломался
    13 марта 2018 г. 7:10
  • Чтобы заработал имап по сертификату надо а) назначить сертификат б) в Set-ImapSettings прописать fqdn mail2.firma.ru  По поводу обхода ситуации: Светлана я могу надеяться увидеть хоть краем глаза вывод команды, о которой просил тремя сообщениями выше? Это мне нужно для понимания ситуации, которого пока нет чёткого. 
    13 марта 2018 г. 7:20
  • Чтобы заработал имап по сертификату надо а) назначить сертификат б) в Set-ImapSettings прописать fqdn mail2.firma.ru  По поводу обхода ситуации: Светлана я могу надеяться увидеть хоть краем глаза вывод команды, о которой просил тремя сообщениями выше? Это мне нужно для понимания ситуации, которого пока нет чёткого. 

    13 марта 2018 г. 7:26
  • Вот теперь видно, что сертификатов используется два. Если у подключающейся стороны нет доверия к ЦС, то получив список сертификатов подключаться они будут к вайдкарду, т.к. доверие к нему есть. И для IMAP и OA нужно будет делать шаги, которые я описал. Для ОА- менять урлы, для IMAP прописывать FQDN.

    Использовать сертификат local вообще смысла не имеет. Как и домен делать такой внутри )

    В общем, ничего страшного- рутина. Выбрать нерабочие часы, поменять/проверить, а потом все радуются и танцуют.

    13 марта 2018 г. 7:53
  • Вот теперь видно, что сертификатов используется два. Если у подключающейся стороны нет доверия к ЦС, то получив список сертификатов подключаться они будут к вайдкарду, т.к. доверие к нему есть. И для IMAP и OA нужно будет делать шаги, которые я описал. Для ОА- менять урлы, для IMAP прописывать FQDN.

    Использовать сертификат local вообще смысла не имеет. Как и домен делать такой внутри )

    В общем, ничего страшного- рутина. Выбрать нерабочие часы, поменять/проверить, а потом все радуются и танцуют.

    эхххх((( спасибо 
    13 марта 2018 г. 8:03
  • Да все элементарно делается, и это все мелочи.
    13 марта 2018 г. 8:17
  • Кстати, на имапе то висит вайдкардовый сертификат, проверьте что там в настройках, и если имени нет, то надо поставить (и службы разумеется перезапустить). И имап заработает.

    set-IMAPSettings -X509CertificateName mail.domain.com


    14 марта 2018 г. 5:44