none
Публикация и FireWall RRS feed

  • Вопрос

  • Помогите разобраться чайнику! 

    Поднял Exchange 2013 sp1 на win 2012r2.

    MBX/CAS на одном сервере (тестовая среда)

    Edge на отдельном сервере (как обычно) Exchange2013 SP1 на Win 2012 r2

    На Edge два сетевых интерфейса один в локалку другой в интернет. 

    Настроил правила на Брандмауэре  согласно вот этой статье Порты настройка

    Вопросы:

    - не могу из внешней сети достучаться до OWA. Так и должно быть? при настройке без Edge, OWA была доступна. Как вообще происходит соединение к Веб серверу почтовика? Через Edge или в обход?

    - не цепляется клиент outlook. В начале происходит соединение с сервером, предлагает установить    сертификат, потом ошибка "не возможно установить безопасное соединение", потом пытается без    безопасного соединения но тоже не получается.  

    Я только учусь. Принимаются все советы и критика...
    • Изменено dmz_m 3 декабря 2015 г. 14:46
    3 декабря 2015 г. 14:45

Ответы

  • Видимо невнимательно смотрели, или неправильно настроили :) Из вашей же ссылки, первый рисунок, 443 порт и остальные с этого рисунка должны пробрасываться с внешки на CAS.
    • Помечено в качестве ответа dmz_m 4 декабря 2015 г. 18:06
    3 декабря 2015 г. 14:53
  • Весть траффик по подключению к серверу идет через HTTPS через 443 порт. Т.е. все клиенты и снутри и снаружи должны видеть ваш сервер (разрешать dns имена типа mail.domain.com) и autodiscover.domain.com в ип адресс вашего сервера). Как вы это сделает дело ваше, пробросите на прямую или опубликуете каким-то приложением. Edge используется только для SMTP (25 порт) траффика (отправка и получение писем от сторонних серверов). 

    Для корректной работы вам нужно выпустить нормальный сертификат и настроить доверетильные отношения клиент-сервер-клиент. Так же нужно правильно настроить виртуальные каталоги и внутренние dns сервера.

    В общем еще много чего)) Для упрощения можно ознакомиться вот с этим: http://www.youtube.com/watch?v=WJFSovP5NwY

    Или вот с этим https://technet.microsoft.com/RU-RU/library/bb124397(v=exchg.160).aspx Не обращайте внимания на цифру 2016, с 2013 разница минимальна.

    • Помечено в качестве ответа dmz_m 4 декабря 2015 г. 18:06
    3 декабря 2015 г. 15:16

Все ответы

  • Видимо невнимательно смотрели, или неправильно настроили :) Из вашей же ссылки, первый рисунок, 443 порт и остальные с этого рисунка должны пробрасываться с внешки на CAS.
    • Помечено в качестве ответа dmz_m 4 декабря 2015 г. 18:06
    3 декабря 2015 г. 14:53
  • Весть траффик по подключению к серверу идет через HTTPS через 443 порт. Т.е. все клиенты и снутри и снаружи должны видеть ваш сервер (разрешать dns имена типа mail.domain.com) и autodiscover.domain.com в ип адресс вашего сервера). Как вы это сделает дело ваше, пробросите на прямую или опубликуете каким-то приложением. Edge используется только для SMTP (25 порт) траффика (отправка и получение писем от сторонних серверов). 

    Для корректной работы вам нужно выпустить нормальный сертификат и настроить доверетильные отношения клиент-сервер-клиент. Так же нужно правильно настроить виртуальные каталоги и внутренние dns сервера.

    В общем еще много чего)) Для упрощения можно ознакомиться вот с этим: http://www.youtube.com/watch?v=WJFSovP5NwY

    Или вот с этим https://technet.microsoft.com/RU-RU/library/bb124397(v=exchg.160).aspx Не обращайте внимания на цифру 2016, с 2013 разница минимальна.

    • Помечено в качестве ответа dmz_m 4 декабря 2015 г. 18:06
    3 декабря 2015 г. 15:16
  •    

    Ну с пробросом портов вроде картина прояснилась, чем нибудь проброшу. А насчет настройки виртуальных директорий и сертификата я дела вот по этой статье . 

    3 декабря 2015 г. 17:33
  • Все настроил, все работает кроме ActiveSync.

    Вроде все настроил как в статьях найденных в интернете. но при попытке подключиться  веб-папке /Microsoft-Server-ActiveSync авторизуюсь и получаю ошибку HTTP 505.0

    4 декабря 2015 г. 10:18
  • Если вы через браузер туда хотите зайти, то 505 это нормально. Браузер не мобильное устройство :)
    4 декабря 2015 г. 10:49
  • OK! куда рыть?

    вот результаты теста. Что с этим делать?

    Анализатор Microsoft Connectivity Analyzer тестирует службу Exchange ActiveSync.
      Не удалось выполнить проверку службы Exchange ActiveSync.
     
    Подробнее
      Затраченное время: 31774 мс.
     
    Этапы проверки
     
    Попытка проверки автообнаружения и Exchange Activesync (при необходимости).
      Автообнаружение для Exchange Activesync успешно проверено.
     
    Подробнее
      Затраченное время: 9500 мс.
     
    Этапы проверки
     
    Проверка каждого способа подключения к службе автообнаружения.
      Проверка службы автообнаружения прошла успешно.
     
    Подробнее
     
    Этапы проверки
    Проверка параметров Exchange ActiveSync.
      URL-адрес Exchange ActiveSync https://mail.mydomain.ru/Microsoft-Server-ActiveSync успешно прошел проверку.
     
    Подробнее
      Затраченное время: 0 мс.
    Попытка разрешить имя узла mail.mydomain.ru в службе DNS.
      Имя узла успешно разрешено.
     
    Подробнее
     
    Возвращено IP-адресов: <ip address>
    Затраченное время: 380 мс.
    Проверка порта TCP 443 на узле mail.mydomain.ru, чтобы убедиться, что он прослушивается или открыт.
      Порт успешно открыт.
     
    Подробнее
      Затраченное время: 231 мс.
    Проверка SSL-сертификата на действительность.
      Сертификат прошел все требования проверки.
     
    Подробнее
      Затраченное время: 547 мс.
     
    Этапы проверки
     
    Microsoft Connectivity Analyzer пытается получить SSL-сертификат от удаленного сервера mail.mydomain.ru через порт 443.
      Анализатору Microsoft Connectivity Analyzer удалось получить удаленный SSL-сертификат.
     
    Подробнее
     
    Субъект удаленного сертификата: CN=mail.mydomain.ru, OU=COMP, O=COMP, L=MOSCOW, S=MOSCOW, C=RU, издатель: CN=VMKH-CA-CA, DC=VMKH, DC=LOCAL.
    Затраченное время: 525 мс.
    Проверка имени сертификата.
      Имя сертификата успешно проверено.
     
    Подробнее
     
    Имя узла mail.mydomain.ru найдено в общем имени субъекта сертификата.
    Затраченное время: 0 мс.
    Проверка даты сертификата для подтверждения его допустимости.
      Проверка даты выполнена. Срок действия сертификата не истек.
     
    Подробнее
     
    Сертификат действителен. NotBefore = 12/2/2015 11:08:09 AM, NotAfter = 12/1/2017 11:08:09 AM
    Затраченное время: 0 мс.
    Проверка конфигурации IIS для проверки подлинности сертификата клиента.
      Проверка подлинности сертификата клиента не обнаружена.
     
    Подробнее
     
    Принятые и необходимые сертификаты клиентов не настроены.
    Затраченное время: 692 мс.
    Проверка методов проверки подлинности HTTP для URL-адреса https://mail.mydomain.ru/Microsoft-Server-ActiveSync.
      Методы проверки подлинности HTTP правильные.
     
    Подробнее
     
    Анализатор Microsoft Connectivity Analyzer обнаружил все ожидаемые способы проверки подлинности и не обнаружил запрещенных способов. Найденные способы: Basic
    Заголовки ответов HTTP:
    request-id: 1207f9e3-71a3-4850-83d5-e8b15a3715ef
    X-FEServer: EX
    Content-Length: 0
    Date: Fri, 04 Dec 2015 10:50:24 GMT
    Server: Microsoft-IIS/8.5
    WWW-Authenticate: Basic realm="mail.mydomain.ru"
    X-Powered-By: ASP.NET
    Затраченное время: 492 мс.
    Выполняется запуск сеанса ActiveSync на этом сервере.
      При проверке сеанса Exchange ActiveSync произошли ошибки.
     
    Подробнее
      Затраченное время: 19929 мс.
     
    Этапы проверки
     
    Попытка отправить команду OPTIONS на сервер.
      Не удалось выполнить проверку команды OPTIONS. Подробнее об этом: раздел "Дополнительные сведения".
     
    Подробнее
     
    Получен запрещенный ответ HTTP 403. Этот ответ отправлен IIS7. Текст ответа: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title>Подробные данные об ошибке IIS 8.5 - 403.0 - Forbidden</title> <style type="text/css"> <!-- body{margin:0;font-size:.7em;font-family:Verdana,Arial,Helvetica,sans-serif;} code{margin:0;color:#006600;font-size:1.1em;font-weight:bold;} .config_source code{font-size:.8em;color:#000000;} pre{margin:0;font-size:1.4em;word-wrap:break-word;} ul,ol{margin:10px 0 10px 5px;} ul.first,ol.first{margin-top:5px;} fieldset{padding:0 15px 10px 15px;word-break:break-all;} .summary-container fieldset{padding-bottom:5px;margin-top:4px;} legend.no-expand-all{padding:2px 15px 4px 10px;margin:0 0 0 -12px;} legend{color:#333333;;margin:4px 0 8px -12px;_margin-top:0px; font-weight:bold;font-size:1em;} a:link,a:visited{color:#007EFF;font-weight:bold;} a:hover{text-decoration:none;} h1{font-size:2.4em;margin:0;color:#FFF;} h2{font-size:1.7em;margin:0;color:#CC0000;} h3{font-size:1.4em;margin:10px 0 0 0;color:#CC0000;} h4{font-size:1.2em;margin:10px 0 5px 0; }#header{width:96%;margin:0 0 0 0;padding:6px 2% 6px 2%;font-family:"trebuchet MS",Verdana,sans-serif; color:#FFF;background-color:#5C87B2; }#content{margin:0 0 0 2%;;} .summary-container,.content-container{background:#FFF;width:96%;margin-top:8px;padding:10px;;} .content-container p{margin:0 0 10px 0; }#details-left{width:35%;float:left;margin-right:2%; }#details-right{width:63%;float:left;overflow:hidden; }#server_version{width:96%;_height:1px;min-height:1px;margin:0 0 5px 0;padding:11px 2% 8px 2%;color:#FFFFFF; background-color:#5A7FA5;border-bottom:1px solid #C1CFDD;border-top:1px solid #4A6C8E;font-weight:normal; font-size:1em;color:#FFF;text-align:right; }#server_version p{margin:5px 0;} table{margin:4px 0 4px 0;width:100%;border:none;} td,th{vertical-align:top;padding:3px 0;text-align:left;font-weight:normal;border:none;} th{width:30%;text-align:right;padding-right:2%;font-weight:bold;} thead th{background-color:#ebebeb;width:25%; }#details-right th{width:20%;} table tr.alt td,table tr.alt th{} .highlight-code{color:#CC0000;font-weight:bold;font-style:italic;} .clear{clear:both;} .preferred{padding:0 5px 2px 5px;font-weight:normal;background:#006633;color:#FFF;font-size:.8em;} --> </style> </head> <body> <div id="content"> <div class="content-container"> <h3>Ошибка HTTP 403.0 - Forbidden</h3> <h4>Вы не имеете разрешения на просмотр этого каталога пли страницы.</h4> </div> <div class="content-container"> <fieldset><h4>Наиболее вероятные причины:</h4> <ul> <li>Это стандартная ошибка 403, означающая, что прошедший процедуру проверки подлинности пользователь не имеет права просматривать данную страницу.</li> </ul> </fieldset> </div> <div class="content-container"> <fieldset><h4>Возможные решения:</h4> <ul> <li>Создайте правило трассировки, чтобы отслеживать невыполненные запросы для этого кода состояния HTTP. Чтобы получить дополнительные сведения о создании правила трассировки для невыполненных запросов, щелкните <a href="http://go.microsoft.com/fwlink/?LinkID=66439">здесь</a>. </li> </ul> </fieldset> </div> <div class="content-container"> <fieldset><h4>Подробные сведения об ошибке:</h4> <div id="details-left"> <table border="0" cellpadding="0" cellspacing="0"> <tr class="alt"><th>Модуль</th><td>&nbsp;&nbsp;&nbsp;ManagedPipelineHandler</td></tr> <tr><th>Уведомление</th><td>&nbsp;&nbsp;&nbsp;ExecuteRequestHandler</td></tr> <tr class="alt"><th>Обработчик</th><td>&nbsp;&nbsp;&nbsp;AirSyncHandler</td></tr> <tr><th>Код ошибки</th><td>&nbsp;&nbsp;&nbsp;0x00000000</td></tr> </table> </div> <div id="details-right"> <table border="0" cellpadding="0" cellspacing="0"> <tr class="alt"><th>Запрошенный URL-адрес</th><td>&nbsp;&nbsp;&nbsp;https://ex.vmkh.local:444/Microsoft-Server-ActiveSync/Proxy/default.eas</td></tr> <tr><th>Физический путь</th><td>&nbsp;&nbsp;&nbsp;C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\sync\Proxy\default.eas</td></tr> <tr class="alt"><th>Метод входа</th><td>&nbsp;&nbsp;&nbsp;Basic</td></tr> <tr><th>Пользователь, выполнивший вход</th><td>&nbsp;&nbsp;&nbsp;VMKH\Admin</td></tr> </table> <div class="clear"></div> </div> </fieldset> </div> <div class="content-container"> <fieldset><h4>Дополнительные сведения:</h4> Это стандартная ошибка 403, означающая, что прошедший процедуру проверки подлинности пользователь не имеет права обращаться к запрошенному ресурсу. Код подсостояния в журнальных файлах IIS должен указывать на причину появления ошибки 403. Если код подсостояния не существует, примите описанные выше меры для получения дополнительных сведений об источнике ошибки. <p><a href="http://go.microsoft.com/fwlink/?LinkID=62293&amp;IIS70Error=403,0,0x00000000,9600">Просмотреть дополнительные сведения &raquo;</a></p> </fieldset> </div> </div> </body> </html> Заголовки ответов HTTP:
    request-id: 9114e787-b0b0-403a-ba3a-702b18c12983
    X-CalculatedBETarget: ex.vmkh.local
    X-MS-BackOffDuration: L/-230
    X-DiagInfo: EX
    X-BEServer: EX
    X-FEServer: EX
    Content-Length: 6003
    Cache-Control: private
    Content-Type: text/html; charset=utf-8
    Date: Fri, 04 Dec 2015 10:50:43 GMT
    Set-Cookie: X-BackEndCookie=S-1-5-21-2411291845-279314204-2163776020-500=u56Lnp2ejJqBx8qaycnGncfSmszKnNLLxsaa0p7Jm8/Sxs/Nnc7PzcadnZzHgYHPztDPzNDNz87J387PxcrPxcvL; expires=Sun, 03-Jan-2016 07:50:44 GMT; path=/Microsoft-Server-ActiveSync; secure; HttpOnly
    Server: Microsoft-IIS/8.5
    X-AspNet-Version: 4.0.30319
    X-Powered-By: ASP.NET
    Затраченное время: 19928 мс.
    4 декабря 2015 г. 11:31
  •   Нужно ли отдельно прописывать AutoDiscoverServiceExternalUri?

    везде пишут что не нужно указывать т.к. все равно попадаешь на внутрений Uri

    4 декабря 2015 г. 12:55
  • Для external нужно Создать А запись во внешней зоне, которая бы указывала на ваш сервер.
    7 декабря 2015 г. 7:01