none
Помогите разобраться с проблемой Outlook Anywhere RRS feed

  • Общие обсуждения

  • Доброго времени суток.

    Есть сотрудники вне домена хотелось бы настроить им доступ к Exchange через Интрернет по MAPI.
    Установил Exchange сервер 2010. Так как у нас уже есть сертификат для web сервера применил данный сертификат. При входе в OWA ошибок безопасности нету.
    Внутри домена проблем нету тоже, проблемы возникают у внешних. 

    По инструкции настраиваю

    Клиент: в Outlook создаем новую учетку, указываем тип сервера - exchange, имя сервера (рядом с галкой про кеширование) пишем FQDN локальной сети (mail.company.com), в пользователе - логин. Дополнительные параметры - закладка подключение - внизу галка Подключение по HTTP - в верхней строке FQDN внешний (webmail.company.com), и внизу тот же тип авторизации что и в предыдущем пункте. Обе галки по быструю и медленную скорость так же отмечаем. Жму проверить, выскакивает окно "Подключение к webmail.company.com" ввожу логин DOMAIN\user пароль и жму ОК. Но ничего не происходит и так же выскакивает данное окно где предлагает авторизоваться.  

    Ну ладно думаю фиг с ним, пошел искать проблему. Почитал сообщения и нашел утилиту www.testexchangeconnectivity.com, заполнил, жму проверить. В результате:

    Проверка подключения RPC/HTTP.
      Не удалось выполнить проверку RPC/HTTP.
     
    Этапы проверки
     
    Attempting to resolve the host name webmail.company.com in DNS.
      The host name resolved successfully.
     
    Дополнительные сведения
    Testing TCP port 443 on host webmail.company.com to ensure it's listening and open.
      The port was opened successfully.
    Testing the SSL certificate to make sure it's valid.
      The certificate passed all validation requirements.
     
    Этапы проверки
    Проверка конфигурации IIS для проверки подлинности сертификата клиента.
      Проверка подлинности сертификата клиента не обнаружена.
     
    Дополнительные сведения
    Проверка методов проверки подлинности HTTP для URL-адреса https://webmail.company.com/rpc/rpcproxy.dll.
      Методы проверки подлинности HTTP правильные.
     
    Дополнительные сведения
    Проверка взаимной проверки подлинности SSL с помощью прокси-сервера RPC.
      Взаимная проверка подлинности успешно проверена.
     
    Дополнительные сведения
    Попытка проверки связи прокси RPC webmail.company.com.
      Не удается проверить связь с прокси-сервером RPC с помощью команды Ping.
     
    Дополнительные сведения
      An HTTP 401 Unauthorized response was received from the remote Unknown server. This is usually the result of an incorrect username or password. If you are attempting to log onto an Office 365 service, ensure you are using your full User Principal Name (UPN).

    В чем может быть проблема?

    25 апреля 2012 г. 15:23

Все ответы

  • Решил протестировать через Exchange Management Shell

    [PS] C:\Windows\system32>RPCPing -t ncacn_http -o RpcProxy=webmail.comcany.com -P "proba,corp,1234567890" -

    H 1 -u 10 -a connect -F 2 -q -E -v 3
    RPCPing v6.0. (C) Корпорация Майкрософт (Microsoft Corp.), 2002-2006
     Проверка связи с прокси-сервером ??????????????? командой RPCPing. Отправка пакета запроса эха
     Установка для политики автовхода значения высокий
     Произведен вызов WinHttpSetCredentials для целевого сервера
     Отправка пакетов к серверу для проверки связи
     От сервера получен ответ: 401
     Клиент не авторизован для проверки связи с RPC-прокси
     Проверка связи завершилась с ошибкой

     [PS] C:\Windows\system32>RPCPing -t ncacn_http -o RpcProxy=mail.corp.company.com -P "proba,corp,1234567890
    " -H 1 -u 10 -a connect -F 2 -q -E -v 3
    RPCPing v6.0. (C) Корпорация Майкрософт (Microsoft Corp.), 2002-2006
     Проверка связи с прокси-сервером ???????????????? командой RPCPing. Отправка пакета запроса эха
     Установка для политики автовхода значения высокий
     Произведен вызов WinHttpSetCredentials для целевого сервера
     Отправка пакетов к серверу для проверки связи
     От сервера получен ответ: 403
     HTTP/1.1 403 Forbidden
    Cache-Control: private
    Content-Type: text/html; charset=utf-8
    Server: Microsoft-IIS/7.0
    X-Powered-By: ASP.NET
    Date: Wed, 25 Apr 2012 15:39:53 GMT
    Content-Length: 6547

    25 апреля 2012 г. 15:45
  • У вас Outlook Anywhere включен на CAS-сервере? По умолчанию он выключен.
    26 апреля 2012 г. 6:48
  • Включен, настроен на webmail.comcany.com Обычная проверка подлинности 
    26 апреля 2012 г. 7:37
  • если в браузере вводить https://webmail.company.com/rpc - окно ввода логина/пароля появляется?

    26 апреля 2012 г. 7:49
  • Ошибка HTTP 503
    26 апреля 2012 г. 8:15
  • Дмитрий. Чем у вас сделана публикация OWA в мир ?

    26 апреля 2012 г. 9:02
  • Ubuntu + Apache 
    26 апреля 2012 г. 9:03
  • Напрямую опубликовать можете? Или через ISA/TMG?

    26 апреля 2012 г. 9:04
  • Дмитрий ваш Apache не проксирует папку rpc.

    Outlook в режиме RPC over HTTPS (Outlook Anywhere) общается с URL https://mailserver/rpc/rprproxy.dll. А дальше уже данная длл преобразует https трафик в RPC и отправляет на сервера exchange.

    Соотвестственно вам необходимо настроить на Apache реверс прокси для всего пути /rpc.

    26 апреля 2012 г. 9:09
  • спасибо что навели на мысль, буду разбираться в чем проблема. Если что еще напишу, ну или как минимум по результатам проблемы.
    26 апреля 2012 г. 9:18
  • Да, еще одно дополнение. Если у вас есть клиенты с Macintosh то эти звери общаются с Exchange через папку EWS. так что ее тоже надо будет проксировать.

    Полный список папок для публикции Outlook Anywhere слудующий: rpc; OAB; ews; AutoDiscover.

    26 апреля 2012 г. 9:27
  • спасибо
    26 апреля 2012 г. 9:30
  • Да, еще одно дополнение. Если у вас есть клиенты с Macintosh то эти звери общаются с Exchange через папку EWS. так что ее тоже надо будет проксировать.

    Полный список папок для публикции Outlook Anywhere слудующий: rpc; OAB; ews; AutoDiscover.

    Ну даже не знаю, включил реверс прокси на Apache2, прописал 

    ProxyPass / https://10.0.0.1/rpc/
    ProxyPassReverse / https://10.0.0.1/rpc/
    ProxyPass / https://10.0.0.1/ews/
    ProxyPassReverse / https://10.0.0.1/ews/
    ProxyPass / https://10.0.0.1/AOB/
    ProxyPassReverse / https://10.0.0.1/AOB/
    ProxyPass / https://10.0.0.1/AutoDiscover/
    ProxyPassReverse / https://10.0.0.1/AutoDiscover/
    ProxyPass https://10.0.0.1/Microsoft-Server-ActiveSync
    ProxyPassReverse https://10.0.0.1/Microsoft-Server-ActiveSynс

    Результат тот же 

      Не удается проверить связь с прокси-сервером RPC с помощью команды Ping.
     
    Дополнительные сведения
     

    An HTTP 401 Unauthorized response was received from the remote Unknown server. This is usually the result of an incorrect username or password. If you are attempting to log onto an Office 365 service, ensure you are using your full User Principal Name (UPN).

    Так же проверил Microsoft-Server-ActiveSynс, результат тоже не утешительный : 

    Analyzing the certificate chains for compatability problems with Windows Phone devices.

    Potential compatibility problems were identified with some versions of Windows Phone.

    26 апреля 2012 г. 15:35
  • Я не силен в Apache, поэтому вопрос: проксируют ли данные правила все запросы на подпапки ? Может необходимо добавить * для описания wildcard

    Также проверьте следующее:

    1. Включен ли у вас на CAS сервере Outlook Anywhere ?
    2. Правильный ли внешний адрес настроен для Outlook Anywhere?
    3. Выдает ли вам запрос на винодовую аутентификацию если вы заходите по адресу https://externalname/rcp/rpcproxy.dll ?

    Воспользуйтесь утилитой RPCping для более детальной диагностики проблемы. Руководство тут.

    И еще один интересный момент. Activesync и Anywhere используют SSL. То есть у вас на лицо двойной SSL: от клиента до апача и от апача до CAs. поэтому проверьте действительно ли ваш Apache сервер доверяет сертификату CAS сервера на уровне apache приложения.

    По поводу ActiveSync на мой взгляд у вас все нормально. Единственное что судя по всему ваш сертификат выдан не совсем "модным" центром сертификации типа Verisign и т.д. и Данная ошибка может описывать то, что некоторые устройства, у которых ваш центр сертификации не числится в корневых, могут не работать.



    26 апреля 2012 г. 17:15
  • Итак, нашел статью https://issues.apache.org/bugzilla/show_bug.cgi?id=40029 где сказано RPC over HTTPS doesn’t work on Apache > 2.0.54 

    Обновил Apache до 2.2.14 и картина показалась.

    Сейчас 

    Проверка подключения RPC/HTTP.
      Не удалось выполнить проверку RPC/HTTP.
     
    Этапы проверки
     
    Attempting to resolve the host name webmail.company.com in DNS.
      The host name resolved successfully.
     
    Дополнительные сведения
    Testing TCP port 443 on host webmail.company to ensure it's listening and open.
      The port was opened successfully.
    Testing the SSL certificate to make sure it's valid.
      The certificate passed all validation requirements.
     
    Этапы проверки
    Проверка конфигурации IIS для проверки подлинности сертификата клиента.
      Проверка подлинности сертификата клиента не обнаружена.
     
    Дополнительные сведения
    Проверка методов проверки подлинности HTTP для URL-адреса https://webmail.company.com/rpc/rpcproxy.dll.
      Методы проверки подлинности HTTP правильные.
     
    Дополнительные сведения
    Проверка взаимной проверки подлинности SSL с помощью прокси-сервера RPC.
      Взаимная проверка подлинности успешно проверена.
     
    Дополнительные сведения
    Попытка проверки связи прокси RPC webmail.company.com.
      Связь с прокси-сервером RPC успешно проверена с помощью команды Ping.
     
    Дополнительные сведения
    Попытка проверки связи с конечной точкой RPC 6001 (Exchange Information Store) на сервере mail.company.local.
      Не удалось выполнить проверку связи с конечной точкой.
     
    Дополнительные сведения
      Ошибка RPC вызвана процессом исполняемого модуля RPC. Ошибка 1818 1818

    По поводу ActiveSync, настроил на телефоне (андроид) но ругается постоянно на безопасность (аккаунт требует обновления настроек безопасности)

    26 апреля 2012 г. 17:50
  • Пожалуйста покажите вывод команды get-OutlookAnywhere
    А также выполните следуйщий командлет:

    Test-OutlookConnectivity -RpcProxyServer: [ваше внутренне имя CAS сервера]  -RpcProxyAuthenticationType:[ваш типа утентификации на Anywhere]

    Когда предложит ввести GetDefaultsFromAutodiscover введите $false.

    27 апреля 2012 г. 9:41
  • [PS] C:\Windows\system32>Test-OutlookConnectivity -RpcProxyServer:mail.company.local  -RpcProxyAuthenticationTy
    pe: basic

    Командлет Test-OutlookConnectivity в конвейере команд в позиции 1
    Укажите значения для следующих параметров:
    GetDefaultsFromAutodiscover: $false
    Не удалось найти почтовый ящик 'extest_d5d96256d7844@company.local'.
        + CategoryInfo          : OperationStopped: (Microsoft.Excha...onnectivityTask:TestOutlookConnectivityTask) [Test-
       OutlookConnectivity], MailboxNotFoundException
        + FullyQualifiedErrorId : 96685EAC,Microsoft.Exchange.Monitoring.TestOutlookConnectivityTask

    [PS] C:\Windows\system32>
    27 апреля 2012 г. 11:06
  • Тогда выполните следующее Test-OutlookConnectivity -RpcProxyServer:mail.company.local  -RpcProxyAuthenticationType: basic -MailboxCredential:(get-credential Domain\User)

    В качестве Domain\User укажите существующего пользователя. После будет дан запрос на пароль.

    27 апреля 2012 г. 11:33
  • [PS] C:\Windows\system32>Test-OutlookConnectivity -RpcProxyServer:mail.company.local  -RpcProxyAuthenticat
    ionType: basic -MailboxCredential:(get-credential domain\proba)

    Командлет Test-OutlookConnectivity в конвейере команд в позиции 1
    Укажите значения для следующих параметров:
    GetDefaultsFromAutodiscover: $false
    Не удалось найти почтовый ящик 'extest_d5d96256d7844@mail.company.local'.
        + CategoryInfo          : OperationStopped: (Microsoft.Excha...onnectivityTask:TestOutlookConnectivityTask) [Test-
       OutlookConnectivity], MailboxNotFoundException
        + FullyQualifiedErrorId : 97E2EBED,Microsoft.Exchange.Monitoring.TestOutlookConnectivityTask

    При этом выскочило окно где предложило ввести мне пароль для proba 

    27 апреля 2012 г. 12:32
  • New-TestCasConnectivityUser.ps1 запустите перед запуском теста.
    27 апреля 2012 г. 13:00
  • [PS] C:\Windows\system32>TestCasConnectivityUser.ps1
    Имя "TestCasConnectivityUser.ps1" не распознано как имя командлета, функции, файла скрипта или выполняемой программы. Проверьте правильность написания имени, а также наличие и правильность пути, после чего повторите попытку. строка:1 знак:28 

    + TestCasConnectivityUser.ps1 <<<<
        + CategoryInfo          : ObjectNotFound: (TestCasConnectivityUser.ps1:String) [], CommandNotFoundException
        + FullyQualifiedErrorId : CommandNotFoundException

    Блин я так понимаю прав нету на выполнения команды?

    27 апреля 2012 г. 14:11
  • Неправильно понимаете. Скрипт этот находится в стандартной папке скриптов эксченджа. Запускать его надо оттуда.
    Полное имя скрипта - New-TestCasConnectivityUser.ps1, а не TestCasConnectivityUser.ps1.
    27 апреля 2012 г. 14:12
  • Спасибо за подсказку.


    [PS] C:\Program Files\Microsoft\Exchange Server\V14\Scripts>Test-OutlookConnectivity -RpcProxyServer:mail.company.local  -RpcProxyAuthenticationType: basic -MailboxCredential:(get-credential domain\test-new)

    Командлет Test-OutlookConnectivity в конвейере команд в позиции 1
    Укажите значения для следующих параметров:
    GetDefaultsFromAutodiscover: $false

    ClientAccessServer   ServiceEndpoint                               Scenario                            Result  Latency
                                                                                                                      (MS)
    ------------------   ---------------                               --------                            ------  -------
    MAIL.company.local                                               Автообнаружение: запрос веб-службы. Ошибка    -1.00
    Командлету не удалось найти всю информацию о сервере через обмен пакетами с поставщиками служб и другие методы обнаруже
    ния топологии внутри домена. Продолжить выполнение командлета невозможно. TopologyDiscoverMode = 'UseAutodiscover, Spec
    ified'.
        + CategoryInfo          : OperationStopped: (Microsoft.Excha...onnectivityTask:TestOutlookConnectivityTask) [Test-
       OutlookConnectivity], TopologyDiscoverException
        + FullyQualifiedErrorId : CA2A9755,Microsoft.Exchange.Monitoring.TestOutlookConnectivityTask



    [PS] C:\Program Files\Microsoft\Exchange Server\V14\Scripts>


    • Изменено Dima Yushkov 27 апреля 2012 г. 14:41
    27 апреля 2012 г. 14:40
  • У вас, похоже, не до конца настроена служба автообнаружения.
    28 апреля 2012 г. 9:30
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий