none
Невозможно подключить Outlook 2007 к северу Exchabge 2010 с помощью Anywhere RRS feed

  • Вопрос

  • Помогите решить проблему, уже весь лоб себе разбил.

    Существовал у меня Exchage 2007, все отлично работало. Решил я мигрировать на 2010, но так как дополнительное железо выделить не было возможности. то сделал так: поднял виртуальную машину, установил на нее 2010, перенес ящики, удалил 2007, переустановил систему на железе, установил туда 2010 и перенес ящики с виртуальной машины на железо, затем снес экчейндж с виртуальной машины и удалил ее.

    Все заработало просто шикарно, хотя я готовился к проблемам. Но на мое удивление их не было. Так как делал все в НГ праздники, то не сnал заморачиваться со всякими legacy ибо простой в пол дня был некритичен.

    Правила публикации на ISA оставил такими же как и были, за некоторыми исключениями
    1) сертификат был с одним именем узла раньше - повесил SAN
    2) добавил autodiscover в правило публикации Anywhere
    3) Изменил метод проверки от ISA к Exhange с NTLM на Базовый

    Собственно в чем проблема - Outlook 2010 снаружи цепляется отлично, а вот 2007 - никак, вообще никак, пробовал и методы аутентификации менять - ни в какую, причем не цепляется даже изнутри сети, это я по протоколу HTTP имею ввиду. Такое ощущение что CAS 2010 вообще Outlook 2007 не поддерживает. Проявляется в том, что постоянно выпадает запрос логина и пароля при попытке входа. 

    По TCP/IP и 2010 и 2007 клиенты работают без проблем.

    Подскажите, пожалуйста, в чем проблема может быть, устал биться уже.
    11 января 2010 г. 13:29

Ответы

  • Проблема оказалась в версии Операционной системы, с которой производилось подключение. О2010 у меня подключался с 7-ки, а все О2007 - с ХР.
    При этом на ISA Anywhere у меня был опубликован с помощью сертификата, у которого Common Name было domain.com, а все остальные имена были прописаны в subject:
    mail.domain.com
    autodiscoverdomain.com 
    и т.п.

    А теперь краткая справочная информация, выуженная с просторов Интернета:

    Prior to Windows Vista SP1, the Windows RPC/HTTP client-side component required that the Subject Name (aka Common Name) on the certificate match the "Certificate Principal Name" configured for the Outlook Anywhere connection in the Outlook profile. Therefore, as a best practice, you should ensure that mail.contoso.com is listed as the Subject Name in your certificate unless you plan on changing the configuration which can be achieved by using the Set-OutlookProvider cmdlet with the EXPR parameter as described inhttp://msexchangeteam.com/archive/2008/09/29/449921.aspx.

    БИНГО!!!!!!

    То есть если клиент Anywhere (любой версии) подключается с ОС ниже чем Vista SP2, а Общее имя сертификата не совпадает с именем публикуемого сервера, то ничего хорошего не выйдет. Если ОС >= Vista SP2, то можно подсовывать любой сертификат.
    Проблему решил выпуском сертификата SAN c Common Name = mail.domain.com и привязкой его к слушателю ISA.

    Теперь все работает. Но вообще конечно странно, никаких подобных оговорок я в руководстве по переходу с Е2007 на Е2010 не встречал
    12 января 2010 г. 11:57

Все ответы

  • "Outlook 2010 снаружи цепляется отлично, а вот 2007 - никак, вообще никак, пробовал и методы аутентификации менять - ни в какую"
    А внутри сетки O2007 Anywhere цепляется к E2010 напрямую? Без ISA сервера?
    http://www.exchangerus.ru
    11 января 2010 г. 13:35
    Модератор
  • Внутри - да, пытается напрямую зацепиться, у него же в качестве адреса сервера прописано FQDN внутреннее, раньше так же было, просто он потом при подключении выдавал предупреждение о сертификате, ибо сертификат висел на ISA и Outlook его не видел. Но все работало!!!! А теперь нет!!! ААААА!!!!!

    Просто была бы ошибка в конфигурации ISA или CAS не работало бы ничего, но O2010 то работает!

    IPv6 отключил, пробовал разные сертификаты назначать на службы CAS, и SAN и Wildcard, и SelfSigned
    11 января 2010 г. 13:38
  • Сертификат должен быть в доверенных на подключаемом компьютере и никаких предупреждений о сертификате выскакивать не должно при OWA. Если выскакивают OA работать не будет.
    http://www.exchangerus.ru
    11 января 2010 г. 13:58
    Модератор
  • Естественно я это знаю, корневому центру все клиенты доверяют, внутри домена по определению, снаружи - вручную себе ставили корневой сертификат. И причем тут OWA? С ней вообще проблем никаких. Предупреждение выпадало о том что имя сертификата не соответствует имени сервера и только при подключении по НТТР и только внутри сети, в самом Outlook. 

    Видимо Вы меня неправильно поняли, OWA и O2010 работают прекрасно, без ошибок и предупреждений, причем O2010 и по TCP и по HTTPS цепляется, на ISA стоит сертификат SAN, которому доверяют все клиенты. Проблема именно в подключении О2007 через RPC over HTTP. Не работает ни снаружи сети, ни внутри.

    На IIS стоит Wildcar сертификат.
    • Изменено Grooper 11 января 2010 г. 19:07
    11 января 2010 г. 14:08
  • Кстати, я тут вспомнил что на Exchange 2007 у меня тоже самое было, по Rpc over HTTP не подключался O2003, но там все честно было, я при установке не ставил поддержку устаревших клиентов. Но пару раз народ пытался зацепиться и получалось тоже самое, бесконечный запрос пароля. Но вот например к E2003 я цеплялся и 2003 и 2007 и даже 2010 Аутлуками.

    Что интересно, так это что О2010 все равно какой метод аутентификации выставлен на закладке Outlook Anywhere в настройках сервера клиентского доступа, NTLM или Basic, работает и так и этак без перенастройки.

    Вообще вкрадывается мысль об искусственном ограничении, обновили сервер - будьте добры обновить клиента. Я то в принципе не против, но хотелось как то плавно. А не резко и в пене. Просто я уже не знаю на что больше и думать. Ну если О2010 работает как часики, то что может мешать О2007 кроме такого вот ограничения?
    11 января 2010 г. 16:11
  • ПРОБЛЕМА РЕШЕНА!!!!!!!!!!!!   

    Завтра утром отпишусь.
    11 января 2010 г. 21:34
  • Проблема оказалась в версии Операционной системы, с которой производилось подключение. О2010 у меня подключался с 7-ки, а все О2007 - с ХР.
    При этом на ISA Anywhere у меня был опубликован с помощью сертификата, у которого Common Name было domain.com, а все остальные имена были прописаны в subject:
    mail.domain.com
    autodiscoverdomain.com 
    и т.п.

    А теперь краткая справочная информация, выуженная с просторов Интернета:

    Prior to Windows Vista SP1, the Windows RPC/HTTP client-side component required that the Subject Name (aka Common Name) on the certificate match the "Certificate Principal Name" configured for the Outlook Anywhere connection in the Outlook profile. Therefore, as a best practice, you should ensure that mail.contoso.com is listed as the Subject Name in your certificate unless you plan on changing the configuration which can be achieved by using the Set-OutlookProvider cmdlet with the EXPR parameter as described inhttp://msexchangeteam.com/archive/2008/09/29/449921.aspx.

    БИНГО!!!!!!

    То есть если клиент Anywhere (любой версии) подключается с ОС ниже чем Vista SP2, а Общее имя сертификата не совпадает с именем публикуемого сервера, то ничего хорошего не выйдет. Если ОС >= Vista SP2, то можно подсовывать любой сертификат.
    Проблему решил выпуском сертификата SAN c Common Name = mail.domain.com и привязкой его к слушателю ISA.

    Теперь все работает. Но вообще конечно странно, никаких подобных оговорок я в руководстве по переходу с Е2007 на Е2010 не встречал
    12 января 2010 г. 11:57
  • http://msexchangeteam.com/archive/2008/09/29/449921.aspx 
    Set-OutlookProvider EXPR -CertPrincipalName msstd:*.fouthcoffee.com

    MCSE:M 2003, MCITP:EA, EMA
    13 января 2010 г. 8:20