none
Outlook 2013 внутри корпоративной сети соединяется на внешний URL => проблемы RRS feed

  • Вопрос

  • День добрый коллеги.

    Очень такой сумбурный вопрос будет.

    Имеем Outlook 2013 + Exchange 2013.

    У почтового сервера как положено 2 адреса: внешний – mail.domain.ru и внутренний mail.domain.local

    Купленного многодоменного сертификата нет, поэтому стоит установочный самоподписанный сертификат на имя MAIL.domain.local (уши самой проблемы, которая далее, торчат отсюда)

    Настроены все виртуальные каталоги(ну кроме ecp и powershell, те только внутри):

    InternalUrl: https://mail.domain.local/<service>

    ExternalUrl: https://mail.domain.ru/<service>

    Внешний адрес mail.domain.ru по порту 443 внутри локальной сети заблокирован на шлюзе, так как при включении Outlook 2013(да да новый тип соединения MAPI over https, не так как в 2010 и ниже) он каждый раз выдает предупреждение о том, обращается на адрес mail.domain.ru, а получает сертификат mail.domain.local и внесение этого сертификата в любой доверенный каталог сертификатов картину не меняет (при первичной настройке я создал подписанный сертификат сервисом OpenSSl на имя mail.domain.ru и получил обратную картину, Outlook подключался на адрес mail.domain.local, а получал сертификат mail.domain.ru и добавление в доверенные так же не помагало, в итоге пришлось убить внешний адрес и оставить сертификат на локальное имя(он то как раз отлично ложится в доверенные и больше вопросов не возникает), из-за этого браузеры, смартфоны конектясь к OWA снаружи грязно ругаются на сертификат, но жить можно, работают)

    Теперь сам вопрос:

    Возникла необходимость настроить комнаты конференций.

    Все сделал как в различных инструкциях:

    1. Создал румлист
    2. Создал 2 комнаты
    3. Прописал локальный адрес в настройках автодискавери

    set-clientaccessserver -Identity MAIL –AutodiscoverServiceInternalURI https://mail.domain.local/autodiscover/autodiscover.xml

      4.Прописал в DNS запись SRV _autodiscover 443 mail.domain.local

    Outlook не видит комнат и расписания в помощнике планирования. Просто пустые окошки.

    И тут я решил открыть внешний адрес:

    Раскоментировал на шлюзе

    #$IPT -t nat -A PREROUTING -i $LAN -p tcp --dport 443 -j DNAT --to $MailIP:443

    #$IPT -t nat -A POSTROUTING -o $LAN -p tcp -d $MailIP --dport 443 -j SNAT --to-source 192.168.0.1

    Это для всей компании, локальным аналогом является правка файла hosts

    192.168.0.ХХ mail.domain.ru

    И о чудо, сертификат поломался, но помощник увидел все комнаты и расписание.


    Почему он это сделал? Зачем для работы в локальной сети ему вдруг так понадобился внешний адрес? Почему автодискавери не смотря на то что всюду где только можно я его отправляю на внутренний адрес, ломится на внешний? И кстати, не особо работает, проверка настроек OWA от Microsoft выдает полный fail по всем этапам подключения, кажется именно из-за сертификата.

    Я уже все передумал, ничего не могу поделать.

    Есть ли способ решить эту проблему, без многодоменного сертификата? 






    21 января 2015 г. 7:24

Ответы

  • 1. По сертификатам:

    • Внешний сертификат похоже самоподписанный. Выпустите сертификат внутренним CA и поместите сертификат корневого CA на все гаджеты.

    2. По стуку на внешний сервер:

    • Создайте на внутреннем DNS зону внешнего домена.
    • Создайте сервисную запись для autodiscover на внутренний cas
    • Помечено в качестве ответа Vitaly.Demchenko 22 января 2015 г. 21:16
    21 января 2015 г. 16:08
  • 1. По сертификатам:

    • Внешний сертификат похоже самоподписанный. Выпустите сертификат внутренним CA и поместите сертификат корневого CA на все гаджеты.

    2. По стуку на внешний сервер:

    • Создайте на внутреннем DNS зону внешнего домена.
    • Создайте сервисную запись для autodiscover на внутренний cas

    Правильно ли я вас понял?

    1) Устанавливаю локальный СА

    2) Генерирую на почтовом сервере новый сертификат который покрывает все службы и включает в себя все доменные имена (как локальные, так и внешние)

    3) Подписываю его локальным СА, таким образом его 100% можно будет отнести к доверенным.

    4) Заменяю сервис IIS с установочного сертификата на новоподписанный

    5) В локальной DNS заворачиваю все запросы на <subdomain>.domain.ru на локальные имена.

    6) Снимаю запрет на просмотр внешнего адреса.

    7) Устанавливаю на всех машинах новый сертификат в доверенные.

    UPD. Сделал так, все заработало. Пункт 6 вообще вырезал из файрвола.

    Теперь Outlook на доменных компьютерах должен работать и вне офиса. Ибо сертификат =)



    • Помечено в качестве ответа Vitaly.Demchenko 22 января 2015 г. 21:16
    • Изменено Vitaly.Demchenko 22 января 2015 г. 21:18
    22 января 2015 г. 11:10

Все ответы

  • покажите вывод Get-OutlookAnywhere | FL Int*,Ext*

    Do not multiply entities beyond what is necessary

    21 января 2015 г. 8:44
  • покажите вывод Get-OutlookAnywhere | FL Int*,Ext*

    Do not multiply entities beyond what is necessary

    InternalHostname                   : mail.domain.local
    InternalClientAuthenticationMethod : Ntlm
    InternalClientsRequireSsl          : True
    ExternalHostname                   : mail.domain.ru
    ExternalClientAuthenticationMethod : Negotiate
    ExternalClientsRequireSsl          : True
    ExtendedProtectionTokenChecking    : None
    ExtendedProtectionFlags            : {}
    ExtendedProtectionSPNList          : {}
    21 января 2015 г. 8:55
  • если посмотреть в свойствах подключения Outlook, куда происходит подключение?

    Заодно посмотрите журнал автоконфигурации (проверка автоконфигурации эл. почты). Такое ощущение, что через autodiscover не совсем правильные параметры на клиента передаются.

    Так же можно попробовать подключиться через веб интерфейс (OWA), и посмотреть свойства сертификата. И, кстати, при подключении через OWA ошибка в сертификате появляется?


    Do not multiply entities beyond what is necessary

    21 января 2015 г. 9:27
  • если посмотреть в свойствах подключения Outlook, куда происходит подключение?

    Заодно посмотрите журнал автоконфигурации (проверка автоконфигурации эл. почты). Такое ощущение, что через autodiscover не совсем правильные параметры на клиента передаются.

    Так же можно попробовать подключиться через веб интерфейс (OWA), и посмотреть свойства сертификата. И, кстати, при подключении через OWA ошибка в сертификате появляется?


    Do not multiply entities beyond what is necessary

    Да вроде как работает autodiscovery:

    Get-ClientAccessServer | Test-OutlookWebServices -Identity user@domain.ru -MailboxCredential (Get-Credential) | fl 

    Вот что касается автодискавера:

    ScenarioDescription : Автообнаружение: поставщик Outlook
    Result              : Success
    Latency             : 67
    Error               : 
    Verbose             : [2015-01-21 10:11:13Z] Подключение Автообнаружение к "https://MAIL.domain.local/AutoDiscover/AutoDiscover.xml".
                          [2015-01-21 10:11:13Z] Тестовая учетная запись: user Пароль: ******
                          [2015-01-21 10:11:13Z] Запрос Автообнаружение:
                          User-Agent: MAIL/Test-OutlookWebServices/user@domain.ru
                          Content-Type: text/xml; charset=utf-8
                          Authorization: Negotiate 

    Видит все.
    Автообнаружение: поставщик ... Success      82
    Веб-службы Exchange            Success      42
    Служба доступности             Success      92
    Автономная адресная книга      Success      31

    В свойствах подключения в настройках Outlook 2013 написано что-то вроде такого:

    05042fa3-ff0e-4a0a-8e48-dfd486f00510@domain.ru

    И имя пользователя user@domain.ru

    Не local.

    Я уже задавал тут вопрос на эту тему, сказали - это ок.

    Сертификат да, ругается.

    Проверил журнал, вообще все отлично, автодискавер в локальной сети ищет, ошибок ноль.

    <?xml version="1.0" encoding="utf-8"?>
    <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006">
      <Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
        <User>
          <DisplayName>User</DisplayName>
          <LegacyDN>/o=domain Communications/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=258ff1cc46e64ad3a8bba0de882e0aa9-V</LegacyDN>
          <AutoDiscoverSMTPAddress>user@domain.ru</AutoDiscoverSMTPAddress>
          <DeploymentId>50be95c1-eab2-4dc6-ac74-85b1c39304da</DeploymentId>
        </User>
        <Account>
          <AccountType>email</AccountType>
          <Action>settings</Action>
          <MicrosoftOnline>False</MicrosoftOnline>
          <Protocol>
            <Type>EXCH</Type>
            <Server>05042fa3-ff0e-4a0a-8e48-ddf486f00510@domain.ru</Server>
            <ServerDN>/o=domain Communications/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=05042fa3-ff0e-4a0a-8e48-cba486f00510@domain.ru</ServerDN>
            <ServerVersion>73C0834F</ServerVersion>
            <MdbDN>/o=domain Communications/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=05042fa3-ff0e-4a0a-8e48-cba486f00510@domain.ru/cn=Microsoft Private MDB</MdbDN>
            <PublicFolderServer>mail.domain.ru</PublicFolderServer>
            <AD>SDC.domain.local</AD>
            <AuthPackage>Anonymous</AuthPackage>
            <ASUrl>https://mail.domain.local/EWS/Exchange.asmx</ASUrl>
            <EwsUrl>https://mail.domain.local/EWS/Exchange.asmx</EwsUrl>
            <EmwsUrl>https://mail.domain.local/EWS/Exchange.asmx</EmwsUrl>
            <EcpUrl>https://mail.domain.local/ecp/</EcpUrl>
            <EcpUrl-um>?rfr=olk&amp;p=customize/voicemail.aspx&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-um>
            <EcpUrl-aggr>?rfr=olk&amp;p=personalsettings/EmailSubscriptions.slab&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-aggr>
            <EcpUrl-mt>PersonalSettings/DeliveryReport.aspx?rfr=olk&amp;exsvurl=1&amp;IsOWA=&lt;IsOWA&gt;&amp;MsgID=&lt;MsgID&gt;&amp;Mbx=&lt;Mbx&gt;&amp;realm=domain.local</EcpUrl-mt>
            <EcpUrl-ret>?rfr=olk&amp;p=organize/retentionpolicytags.slab&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-ret>
            <EcpUrl-sms>?rfr=olk&amp;p=sms/textmessaging.slab&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-sms>
            <EcpUrl-publish>customize/calendarpublishing.slab?rfr=olk&amp;exsvurl=1&amp;FldID=&lt;FldID&gt;&amp;realm=domain.local</EcpUrl-publish>
            <EcpUrl-photo>PersonalSettings/EditAccount.aspx?rfr=olk&amp;chgPhoto=1&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-photo>
            <EcpUrl-tm>?rfr=olk&amp;ftr=TeamMailbox&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-tm>
            <EcpUrl-tmCreating>?rfr=olk&amp;ftr=TeamMailboxCreating&amp;SPUrl=&lt;SPUrl&gt;&amp;Title=&lt;Title&gt;&amp;SPTMAppUrl=&lt;SPTMAppUrl&gt;&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-tmCreating>
            <EcpUrl-tmEditing>?rfr=olk&amp;ftr=TeamMailboxEditing&amp;Id=&lt;Id&gt;&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-tmEditing>
            <EcpUrl-extinstall>Extension/InstalledExtensions.slab?rfr=olk&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-extinstall>
            <OOFUrl>https://mail.domain.local/EWS/Exchange.asmx</OOFUrl>
            <UMUrl>https://mail.domain.local/EWS/UM2007Legacy.asmx</UMUrl>
            <OABUrl>https://mail.domain.local/OAB/78620add-4c70-4b91-af80-2e8f9f32f7ec/</OABUrl>
            <ServerExclusiveConnect>off</ServerExclusiveConnect>
          </Protocol>
          <Protocol>
            <Type>EXPR</Type>
            <Server>mail.domain.ru</Server>
            <SSL>On</SSL>
            <AuthPackage>Negotiate</AuthPackage>
            <ASUrl>https://mail.domain.ru/ews/exchange.asmx</ASUrl>
            <EwsUrl>https://mail.domain.ru/ews/exchange.asmx</EwsUrl>
            <EmwsUrl>https://mail.domain.ru/ews/exchange.asmx</EmwsUrl>
            <OOFUrl>https://mail.domain.ru/ews/exchange.asmx</OOFUrl>
            <UMUrl>https://mail.domain.ru/ews/UM2007Legacy.asmx</UMUrl>
            <OABUrl>https://mail.domain.ru/OAB/78620add-4c70-4b91-af80-2e8f9f32f7ec/</OABUrl>
            <ServerExclusiveConnect>on</ServerExclusiveConnect>
            <EwsPartnerUrl>https://mail.domain.ru/ews/exchange.asmx</EwsPartnerUrl>
            <GroupingInformation>Default-First-Site-Name</GroupingInformation>
          </Protocol>
          <Protocol>
            <Type>WEB</Type>
            <Internal>
              <OWAUrl AuthenticationMethod="Basic, Fba">https://mail.domain.local/owa/</OWAUrl>
              <Protocol>
                <Type>EXCH</Type>
                <ASUrl>https://mail.domain.local/EWS/Exchange.asmx</ASUrl>
              </Protocol>
            </Internal>
            <External>
              <OWAUrl AuthenticationMethod="Fba">https://mail.domain.ru/owa/</OWAUrl>
              <Protocol>
                <Type>EXPR</Type>
                <ASUrl>https://mail.domain.ru/ews/exchange.asmx</ASUrl>
              </Protocol>
            </External>
          </Protocol>
          <Protocol>
            <Type>EXHTTP</Type>
            <Server>mail.domain.local</Server>
            <SSL>On</SSL>
            <AuthPackage>Ntlm</AuthPackage>
            <ASUrl>https://mail.domain.local/EWS/Exchange.asmx</ASUrl>
            <EwsUrl>https://mail.domain.local/EWS/Exchange.asmx</EwsUrl>
            <EmwsUrl>https://mail.domain.local/EWS/Exchange.asmx</EmwsUrl>
            <EcpUrl>https://mail.domain.local/ecp/</EcpUrl>
            <EcpUrl-um>?rfr=olk&amp;p=customize/voicemail.aspx&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-um>
            <EcpUrl-aggr>?rfr=olk&amp;p=personalsettings/EmailSubscriptions.slab&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-aggr>
            <EcpUrl-mt>PersonalSettings/DeliveryReport.aspx?rfr=olk&amp;exsvurl=1&amp;IsOWA=&lt;IsOWA&gt;&amp;MsgID=&lt;MsgID&gt;&amp;Mbx=&lt;Mbx&gt;&amp;realm=domain.local</EcpUrl-mt>
            <EcpUrl-ret>?rfr=olk&amp;p=organize/retentionpolicytags.slab&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-ret>
            <EcpUrl-sms>?rfr=olk&amp;p=sms/textmessaging.slab&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-sms>
            <EcpUrl-publish>customize/calendarpublishing.slab?rfr=olk&amp;exsvurl=1&amp;FldID=&lt;FldID&gt;&amp;realm=domain.local</EcpUrl-publish>
            <EcpUrl-photo>PersonalSettings/EditAccount.aspx?rfr=olk&amp;chgPhoto=1&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-photo>
            <EcpUrl-tm>?rfr=olk&amp;ftr=TeamMailbox&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-tm>
            <EcpUrl-tmCreating>?rfr=olk&amp;ftr=TeamMailboxCreating&amp;SPUrl=&lt;SPUrl&gt;&amp;Title=&lt;Title&gt;&amp;SPTMAppUrl=&lt;SPTMAppUrl&gt;&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-tmCreating>
            <EcpUrl-tmEditing>?rfr=olk&amp;ftr=TeamMailboxEditing&amp;Id=&lt;Id&gt;&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-tmEditing>
            <EcpUrl-extinstall>Extension/InstalledExtensions.slab?rfr=olk&amp;exsvurl=1&amp;realm=domain.local</EcpUrl-extinstall>
            <OOFUrl>https://mail.domain.local/EWS/Exchange.asmx</OOFUrl>
            <UMUrl>https://mail.domain.local/EWS/UM2007Legacy.asmx</UMUrl>
            <OABUrl>https://mail.domain.local/OAB/78620add-4c70-4b91-af80-2e8f9f32f7ec/</OABUrl>
            <ServerExclusiveConnect>On</ServerExclusiveConnect>
          </Protocol>
          <Protocol>
            <Type>EXHTTP</Type>
            <Server>mail.domain.ru</Server>
            <SSL>On</SSL>
            <AuthPackage>Negotiate</AuthPackage>
            <ASUrl>https://mail.domain.ru/ews/exchange.asmx</ASUrl>
            <EwsUrl>https://mail.domain.ru/ews/exchange.asmx</EwsUrl>
            <EmwsUrl>https://mail.domain.ru/ews/exchange.asmx</EmwsUrl>
            <OOFUrl>https://mail.domain.ru/ews/exchange.asmx</OOFUrl>
            <UMUrl>https://mail.domain.ru/ews/UM2007Legacy.asmx</UMUrl>
            <OABUrl>https://mail.domain.ru/OAB/78620add-4c70-4b91-af80-2e8f9f32f7ec/</OABUrl>
            <ServerExclusiveConnect>On</ServerExclusiveConnect>
          </Protocol>
        </Account>
      </Response>
    </Autodiscover>
    Может быть дело в чем-то еще?


    21 января 2015 г. 10:28
  • так стоп. Get-OutlookProvider | FL покажите, пожалуйста.

    Do not multiply entities beyond what is necessary

    21 января 2015 г. 12:02
  • так стоп. Get-OutlookProvider | FL покажите, пожалуйста.

    Do not multiply entities beyond what is necessary

    [PS] C:\Windows\system32>Get-OutlookProvider | FL
    
    RunspaceId             : 9a8db4f6-c50a-49a7-bda0-a6d8675827c6
    CertPrincipalName      :
    Server                 :
    TTL                    : 1
    OutlookProviderFlags   : None
    RequiredClientVersions :
    AdminDisplayName       :
    ExchangeVersion        : 0.1 (8.0.535.0)
    Name                   : EXCH
    DistinguishedName      : CN=EXCH,CN=Outlook,CN=AutoDiscover,CN=Client Access,CN=domain Communications,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=local
    Identity               : EXCH
    Guid                   : aad25d9a-4aec-4a6c-894f-e3adb5a669e8
    ObjectCategory         : domain.local/Configuration/Schema/ms-Exch-Auto-Discover-Config
    ObjectClass            : {top, msExchAutoDiscoverConfig}
    WhenChanged            : 16.01.2014 23:30:03
    WhenCreated            : 16.01.2014 23:30:03
    WhenChangedUTC         : 16.01.2014 19:30:03
    WhenCreatedUTC         : 16.01.2014 19:30:03
    OrganizationId         :
    OriginatingServer      : PDC.domain.local
    IsValid                : True
    ObjectState            : Unchanged
    
    RunspaceId             : 9a8db4f6-c50a-49a7-bda0-a6d8675827c6
    CertPrincipalName      :
    Server                 :
    TTL                    : 1
    OutlookProviderFlags   : None
    RequiredClientVersions :
    AdminDisplayName       :
    ExchangeVersion        : 0.1 (8.0.535.0)
    Name                   : EXPR
    DistinguishedName      : CN=EXPR,CN=Outlook,CN=AutoDiscover,CN=Client Access,CN=domain Communications,CN=Microsoft Exc
                             hange,CN=Services,CN=Configuration,DC=domain,DC=local
    Identity               : EXPR
    Guid                   : a6d4dee1-0fd0-4ae2-8ba7-80243b685421
    ObjectCategory         : domain.local/Configuration/Schema/ms-Exch-Auto-Discover-Config
    ObjectClass            : {top, msExchAutoDiscoverConfig}
    WhenChanged            : 16.01.2014 23:30:03
    WhenCreated            : 16.01.2014 23:30:03
    WhenChangedUTC         : 16.01.2014 19:30:03
    WhenCreatedUTC         : 16.01.2014 19:30:03
    OrganizationId         :
    OriginatingServer      : PDC.domain.local
    IsValid                : True
    ObjectState            : Unchanged
    
    RunspaceId             : 9a8db4f6-c50a-49a7-bda0-a6d8675827c6
    CertPrincipalName      :
    Server                 :
    TTL                    : 1
    OutlookProviderFlags   : None
    RequiredClientVersions :
    AdminDisplayName       :
    ExchangeVersion        : 0.1 (8.0.535.0)
    Name                   : WEB
    DistinguishedName      : CN=WEB,CN=Outlook,CN=AutoDiscover,CN=Client Access,CN=domain Communications,CN=Microsoft Exch
                             ange,CN=Services,CN=Configuration,DC=domain,DC=local
    Identity               : WEB
    Guid                   : ce0962ab-0827-44f4-b2ac-114468643ce9
    ObjectCategory         : domain.local/Configuration/Schema/ms-Exch-Auto-Discover-Config
    ObjectClass            : {top, msExchAutoDiscoverConfig}
    WhenChanged            : 16.01.2014 23:30:03
    WhenCreated            : 16.01.2014 23:30:03
    WhenChangedUTC         : 16.01.2014 19:30:03
    WhenCreatedUTC         : 16.01.2014 19:30:03
    OrganizationId         :
    OriginatingServer      : PDC.domain.local
    IsValid                : True
    ObjectState            : Unchanged
    Вот так выглядит.

    21 января 2015 г. 12:11
  • да нет, вроде бы все нормально внешне.

    Сертификат ругается на несоответствие имен в нем имени сайта?


    Do not multiply entities beyond what is necessary

    21 января 2015 г. 12:29
  • да нет, вроде бы все нормально внешне.

    Сертификат ругается на несоответствие имен в нем имени сайта?


    Do not multiply entities beyond what is necessary

    Да, конечно.  Вот отсюда https://testconnectivity.microsoft.com/

    Проверка SSL-сертификата на действительность.
     	Не удалось выполнить одну или несколько проверок SSL-сертификата.
     	
    	Подробнее
     	
    Затраченное время: 2259 мс.
     	
    	Этапы проверки
     	
    	Microsoft Connectivity Analyzer пытается получить SSL-сертификат от удаленного сервера mail.domain.ru через порт 443.
     	Анализатору Microsoft Connectivity Analyzer удалось получить удаленный SSL-сертификат.
     	
    	Подробнее
     	
    Субъект удаленного сертификата: CN=MAIL, издатель: CN=MAIL.
    Затраченное время: 698 мс.
    	Проверка имени сертификата.
     	Не удалось проверить имя сертификата.
     	 Подробные сведения об этой проблеме и способах ее устранения
     	
    	Подробнее
     	
    Имя узла mail.domain.ru не совпадает ни с одним именем, найденным в сертификате сервера CN=MAIL.
    Затраченное время: 630 мс.

    21 января 2015 г. 12:38
  • я не про RCA. Попробуйте подключиться через OWA (https://mail.domain.local/owa) и кликните на замочек справа от адресной строки. А то что RCA ругается на сертификат выданный внутренним CA это так и должно быть, если только вы не поделились c MS рутовым сертификатом своего СА :)

    Do not multiply entities beyond what is necessary

    21 января 2015 г. 12:51
  • я не про RCA. Попробуйте подключиться через OWA (https://mail.domain.local/owa) и кликните на замочек справа от адресной строки. А то что RCA ругается на сертификат выданный внутренним CA это так и должно быть, если только вы не поделились c MS рутовым сертификатом своего СА :)

    Do not multiply entities beyond what is necessary

    =)

    Слева - локальный, справа - внешний адрес

    Может все дело в файрволе? Не все пакеты доходят?

    Вот все что у меня связано с почтой:

    # Разрешаем доступ из внутренней сети наружу
    $IPT -A FORWARD -i $LAN -o $WAN -j ACCEPT

    # Запрещаем доступ снаружи во внутреннюю сеть
    $IPT -A FORWARD -i $WAN -o $LAN -j REJECT

    # Запрещаем доступ снаружи в гостевую сеть
    $IPT -A FORWARD -i $WAN -o $GUEST -j REJECT

    # Открытие 443 порта
    $IPT -A INPUT -p tcp --dport 443 -j ACCEPT

    # Пробрасываем порты для почтового сервера:
    $IPT -t nat -A PREROUTING -p tcp -d $ExtIP --dport 25 -j DNAT --to-destination $MailIP:25
    $IPT -A FORWARD -i $WAN -d $MailIP -p tcp --dport 25 -j ACCEPT

    $IPT -t nat -A PREROUTING -p tcp -d $ExtIP --dport 443 -j DNAT --to-destination $MailIP:443
    $IPT -A FORWARD -i $WAN -d $MailIP -p tcp --dport 443 -j ACCEPT

    $IPT -A FORWARD -i $LAN -o $LAN -j ACCEPT

    #Проброс OWA из локальной сети, но ломается сертификат
    #$IPT -t nat -A PREROUTING -i $LAN -p tcp --dport 443 -j DNAT --to $MailIP:443
    #$IPT -t nat -A POSTROUTING -o $LAN -p tcp -d $MailIP --dport 443 -j SNAT --to-source 192.168.0.1

    Повторюсь, что при снятии последних двух комментариях - решается проблема комнат, но появляется проблема работы Outlook'a при каждом чихе ругается на несоответствие имени сертификата.

    21 января 2015 г. 13:26
  • 1. По сертификатам:

    • Внешний сертификат похоже самоподписанный. Выпустите сертификат внутренним CA и поместите сертификат корневого CA на все гаджеты.

    2. По стуку на внешний сервер:

    • Создайте на внутреннем DNS зону внешнего домена.
    • Создайте сервисную запись для autodiscover на внутренний cas
    • Помечено в качестве ответа Vitaly.Demchenko 22 января 2015 г. 21:16
    21 января 2015 г. 16:08
  • 1. По сертификатам:

    • Внешний сертификат похоже самоподписанный. Выпустите сертификат внутренним CA и поместите сертификат корневого CA на все гаджеты.

    2. По стуку на внешний сервер:

    • Создайте на внутреннем DNS зону внешнего домена.
    • Создайте сервисную запись для autodiscover на внутренний cas

    Правильно ли я вас понял?

    1) Устанавливаю локальный СА

    2) Генерирую на почтовом сервере новый сертификат который покрывает все службы и включает в себя все доменные имена (как локальные, так и внешние)

    3) Подписываю его локальным СА, таким образом его 100% можно будет отнести к доверенным.

    4) Заменяю сервис IIS с установочного сертификата на новоподписанный

    5) В локальной DNS заворачиваю все запросы на <subdomain>.domain.ru на локальные имена.

    6) Снимаю запрет на просмотр внешнего адреса.

    7) Устанавливаю на всех машинах новый сертификат в доверенные.

    UPD. Сделал так, все заработало. Пункт 6 вообще вырезал из файрвола.

    Теперь Outlook на доменных компьютерах должен работать и вне офиса. Ибо сертификат =)



    • Помечено в качестве ответа Vitaly.Demchenko 22 января 2015 г. 21:16
    • Изменено Vitaly.Demchenko 22 января 2015 г. 21:18
    22 января 2015 г. 11:10