none
Проблема с Outlook Anywhere на связке TMG+FPE+Edge RRS feed

  • Общие обсуждения

  • Всем доброго времени суток. Пожалуйста, если кто-то уже сталкивался с такой проблемой, прошу помогите.

    В общем суть такая. Есть Exchange 2010 SP2, он был опубликован наружу по Pop3/Smtp а так же OWA и Outlook anywhere через TMG находящийся в домене. Все работало нормально. После этого было решено внедрить Edge. Поставил сервер Win2k8R2 + облегченный доступ к AD, оставил его в рабочей группе, установил Edge потом FPE и потом TMG. Создал пограничную подписку, ее проверил, все ок. Поменял на внешних DNS серверах записи на новый ip (Нового TMG). Опубликовал Exchage по Pop3/Smtp, OWA и Outlook Anywhere. И вот тут столкнулся с проблемой. OWA и Pop3 работает, а Anywhere нет. В логах на TMG ругается вот такой ошибкой:  

    "12309 Для выполнения запроса серверу требуется авторизация. Доступ к веб-серверу запрещен. Обратитесь к администратору сервера.

    Настройки сделал как полагается, в правиле публикации указал что связь будет с LDAP сервером и указал внутренние КД откуда брать учетки. Но это не помогло. Проверка самого правила публикации в оснастке TMG дает все зеленые галочки. Т.е.  якобы все ок. Причем заметил странность, на компьютерах на которых раньше был подключен и настроен Outlook anywhere он работает, но вот если удалить учетку и попытаться опять настроить ее она уже не заработает. Будет выдавать ошибку соединения с сервером, вернее с зашифрованным входом на сервер Exchange. Получается правило вроде бы работает а вроде бы и нет. Не понимаю куда копать?



    25 августа 2013 г. 12:44

Все ответы

  • Похоже, какие-то проблемы с autodiscover

    Для диагностики лучше проще всего использовать Microsoft Remote Connectivity Analyzer


    Слава России!

    25 августа 2013 г. 13:23
  • Мне тоже так кажется. Вот только какие?

    Кстати в журнале слежения TMG когда осуществляется подключение к OWA то в источнике: внешний IP адрес клиента а в назначении внутренний адрес Exchange сервера. А вот когда пробуем подключить outlook anywhere то в поле источник светится инет IP адрес клиента а в после назначение IP адрес autodiscover.firma.ru т.е. опять внешка. Так должно быть?

    Connectivity analyzer выдает все тоже самое что и раньше: Не удалось построить цепочку сертификатов. Требуемые промежуточные сертификаты могут отсутствовать.

    Но раньше с этой же ошибкой Anywhere работал отлично. Там этому анализатору вообще не понятно что нужно.


    Еще заметил вот что, когда заходим по OWA то в журнале слежения TMG в после пользователь стоит (LDAP)имя_пользователя а вот когда autodiscover подключается то в поле пользователь стоит anonymous. Вот наверное он-то и получает отлуп от сервера. 
    • Изменено Predator_3000 25 августа 2013 г. 14:03
    25 августа 2013 г. 13:46
  • У вас раньше TMG был в домене, а теперь стал в рабочей группе.

    Соответственно, ограниченное делегирование Kerberos теперь не работает, и для делегирования TMG должен получать логин и пароль в текстовом виде. 

    Проверяйте свои правила публикации - что прослушиватель использует базовую аутентификацию (или на основе форм), а делегирование настроено в соотвествии с настройками аутентификации вирутальных папок на CAS (базовая аутентификация или NTLM).

    Для Outlook Anywhere, по-видимому, придется выбрать базовую ауттентификацию (а, значит, клиенты должны, вообще голворя, будут вводить логин и пароль вручную).

    Во избежание засветки паролей прослушиватель должен работать исключительно по HTTPS.

    Альтернативой является отказ от проверки подлинности на TMG и проверка ее только на Exchange. D правилах публикации в таком случае следует разрешить его использование всем пользователям, а на вкладке Делегирование проверки подлинности - выбрать вариант "Без делегирования, но клиент может...."


    Слава России!

    25 августа 2013 г. 16:29
  • Хорошо, я попробую и отпишусь
    25 августа 2013 г. 17:11
  • В общем проблему не решил а ушел от нее. Ввел TMG в домен и проблема исчезла. Заставить работать эту связку в рабочей группе так и не удалось. Может я что-то не так делал а может хз. Вроде бы microsoft не отрицает возможность нахождения edge и TMG в домене, уважаемые профи, как считаете можно ли использовать мою связку на доменном сервере?
    26 августа 2013 г. 10:13
  • tmg без домена вообще мало смысла использовать.
    28 августа 2013 г. 12:18
  • tmg без домена вообще мало смысла использовать.
    Ну какбэ да, и если ставить просто TMG как шлюз в нет, то вообще рекомендуется его пихать в домен. Но тогда зачем в основной массе инфы по вопросу Edg-a, написано что связка Edge+TMG+FPE помещается в DMZ? Что все это хозяйство  работает в раб. группе и юзает во всю облегченный доступ к AD? Вот читаешь такие материалы и так все складно слетится, а когда начинаешь их воплощать в жизнь, начинается нервотрепка и красные глаза =). Но все же не отрицаю, может чего не так наделал, времени к сожалению нет на множество экспериментов, может когда-нибудь, когда будет время, можно будет побаловаться в песочнице и узнать, почему же все-таки у меня эта связка не заработала?


    • Изменено Predator_3000 29 августа 2013 г. 20:09
    29 августа 2013 г. 20:08