none
публикация OWA на ISA2006 и обновление сертификата RRS feed

  • Вопрос

  • OWA Exch2007(сервер2 Win2003SP2 R2 х64) опубликовано на ISA2006(сервер1 Win2003SP2 х32).
    сервер1 в домене и на нем установлен сертификат вэб-сервера OWA от внутреннего ЦС(сервер2).
    установлен вручную (экспорт-импорт) и нужно следить за своевременным его обновлением, а легко можно забыть.
    не публиковать OWA на ISA2006 только из-за сертификата не вариант, безопасность важнее.

    можно ли автоматизировать это обновление сертификата?
    вроде бы это позволяет сделанный, именно через веб-ЦС, запрос на сертификат вэб-сервера(шаблон "Веб-сервер") с сервера1, но там нет опции "Использовать локальное хранилище компьютера для сертификата"(в результате сертификат снова надо вручную импортировать в нужное хранилище) и не доступна опция "Пометить ключ как экспортируемый".
    читал что функционал веб-ЦС различается и зависит от версии Windows. проясните этот момент, кто в курсе.
    • Перемещено Hengzhe Li 12 марта 2012 г. 6:55 forum merge (От:Exchange Server 2007)
    24 июня 2010 г. 8:03

Ответы

  • В исе есть алерт на подобное событие, настройте и получите уведомление в почту, о том, что срок действия сертификата скоро закончится. Думаю, что при использовании внутреннего ЦС, вы вполне можете настроить нужный вам шаблон сертификата, который ИСА сама будет обновлять через autoenrollment. Но тут надо дождаться ответа гуру по сертификатам или попробовать продублировать вопрос в ветке по виндовз.
    24 июня 2010 г. 8:40
  • У вас в сети с ИСА нет smtp сервера? в чем проблема настроить для ИСЫ smtp без авторизации?

    Касаемо ЦС, есть отличная книга по этой теме, в ней страниц 800, так что изложить в 2-ух словах, как настроить корпоративный ЦС не выйдет))

    Зависит от версии Windows естественно.

    24 июня 2010 г. 12:05
  • Коннектор можете созлать новый на любом порту, именно для подобных случаев:

    New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -PermissionGroups AnonymousUsers -Bindings 10.2.3.4:5566 -RemoteIpRanges 192.168.5.77

    Книга в электронном - http://www.microsoft.com/learning/en/us/book.aspx?ID=9549&locale=en-us

    24 июня 2010 г. 13:48
  • Если желаете можете внутренней сетью ограничить, либо конкретными IP, с которых будет анонимная рассылка.
    25 июня 2010 г. 5:17

Все ответы

  • В исе есть алерт на подобное событие, настройте и получите уведомление в почту, о том, что срок действия сертификата скоро закончится. Думаю, что при использовании внутреннего ЦС, вы вполне можете настроить нужный вам шаблон сертификата, который ИСА сама будет обновлять через autoenrollment. Но тут надо дождаться ответа гуру по сертификатам или попробовать продублировать вопрос в ветке по виндовз.
    24 июня 2010 г. 8:40
  • В исе есть алерт на подобное событие, настройте и получите уведомление в почту, о том, что срок действия сертификата скоро закончится. Думаю, что при использовании внутреннего ЦС, вы вполне можете настроить нужный вам шаблон сертификата, который ИСА сама будет обновлять через autoenrollment. Но тут надо дождаться ответа гуру по сертификатам или попробовать продублировать вопрос в ветке по виндовз.

    про аллерт - в ИСЕ используется SMTP-сервер с без авторизации. а где ж такой отыскать то?

    про сертификат - да можно я тоже думаю, но вот все ОКОЛО, а точной схемы нету. вот рецепты тут пишут про вэб-ЦС, а у меня нужных опций нету, получается что вэб-ЦС разный (то ли от редакции Win2003, то ли от языка, непонятно)

    24 июня 2010 г. 11:34
  • У вас в сети с ИСА нет smtp сервера? в чем проблема настроить для ИСЫ smtp без авторизации?

    Касаемо ЦС, есть отличная книга по этой теме, в ней страниц 800, так что изложить в 2-ух словах, как настроить корпоративный ЦС не выйдет))

    Зависит от версии Windows естественно.

    24 июня 2010 г. 12:05
  • У вас в сети с ИСА нет smtp сервера? в чем проблема настроить для ИСЫ smtp без авторизации?

    Касаемо ЦС, есть отличная книга по этой теме, в ней страниц 800, так что изложить в 2-ух словах, как настроить корпоративный ЦС не выйдет))

    Зависит от версии Windows естественно.

    дык есть. НО в свойствах SMTP-коннектора разрешение "ms-exch-smtp-accept-authoritative-domain-sender" для "NT AUTHORITY\АНОНИМНЫЙ ВХОД" УБРАНО. обратно не хочется ставить.

    книга в каком виде? бумажном или электронном? есть ли ссылка?

    24 июня 2010 г. 12:12
  • Коннектор можете созлать новый на любом порту, именно для подобных случаев:

    New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -PermissionGroups AnonymousUsers -Bindings 10.2.3.4:5566 -RemoteIpRanges 192.168.5.77

    Книга в электронном - http://www.microsoft.com/learning/en/us/book.aspx?ID=9549&locale=en-us

    24 июня 2010 г. 13:48
  • Коннектор можете созлать новый на любом порту, именно для подобных случаев, ограничить по IP(хотя внутри приватной сети особого смысла в этом нет):
    New-ReceiveConnector -Name "Anonymous Relay" -Usage Custom -PermissionGroups AnonymousUsers -Bindings 10.2.3.4:25 -RemoteIpRanges 192.168.5.77
    Get-ReceiveConnector "Anonymous Relay" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
    а если Exch2007 один включая все роли, то ограничение по IP(указать внутренние) желательно. так ведь?
    24 июня 2010 г. 14:08
  • Если желаете можете внутренней сетью ограничить, либо конкретными IP, с которых будет анонимная рассылка.
    25 июня 2010 г. 5:17