Outlook 2013 внутри корпоративной сети соединяется на внешний URL => проблемы
Вопрос
-
День добрый коллеги.
Очень такой сумбурный вопрос будет.
Имеем Outlook 2013 + Exchange 2013.
У почтового сервера как положено 2 адреса: внешний – mail.domain.ru и внутренний mail.domain.local
Купленного многодоменного сертификата нет, поэтому стоит установочный самоподписанный сертификат на имя MAIL.domain.local (уши самой проблемы, которая далее, торчат отсюда)
Настроены все виртуальные каталоги(ну кроме ecp и powershell, те только внутри):
InternalUrl: https://mail.domain.local/<service>
ExternalUrl: https://mail.domain.ru/<service>
Внешний адрес mail.domain.ru по порту 443 внутри локальной сети заблокирован на шлюзе, так как при включении Outlook 2013(да да новый тип соединения MAPI over https, не так как в 2010 и ниже) он каждый раз выдает предупреждение о том, обращается на адрес mail.domain.ru, а получает сертификат mail.domain.local и внесение этого сертификата в любой доверенный каталог сертификатов картину не меняет (при первичной настройке я создал подписанный сертификат сервисом OpenSSl на имя mail.domain.ru и получил обратную картину, Outlook подключался на адрес mail.domain.local, а получал сертификат mail.domain.ru и добавление в доверенные так же не помагало, в итоге пришлось убить внешний адрес и оставить сертификат на локальное имя(он то как раз отлично ложится в доверенные и больше вопросов не возникает), из-за этого браузеры, смартфоны конектясь к OWA снаружи грязно ругаются на сертификат, но жить можно, работают)
Теперь сам вопрос:
Возникла необходимость настроить комнаты конференций.
Все сделал как в различных инструкциях:
- Создал румлист
- Создал 2 комнаты
- Прописал локальный адрес в настройках автодискавери
set-clientaccessserver -Identity MAIL –AutodiscoverServiceInternalURI https://mail.domain.local/autodiscover/autodiscover.xml
4.Прописал в DNS запись SRV _autodiscover 443 mail.domain.local
Outlook не видит комнат и расписания в помощнике планирования. Просто пустые окошки.
И тут я решил открыть внешний адрес:
Раскоментировал на шлюзе
#$IPT -t nat -A PREROUTING -i $LAN -p tcp --dport 443 -j DNAT --to $MailIP:443
#$IPT -t nat -A POSTROUTING -o $LAN -p tcp -d $MailIP --dport 443 -j SNAT --to-source 192.168.0.1
Это для всей компании, локальным аналогом является правка файла hosts
192.168.0.ХХ mail.domain.ru
И о чудо, сертификат поломался, но помощник увидел все комнаты и расписание.
Почему он это сделал? Зачем для работы в локальной сети ему вдруг так понадобился внешний адрес? Почему автодискавери не смотря на то что всюду где только можно я его отправляю на внутренний адрес, ломится на внешний? И кстати, не особо работает, проверка настроек OWA от Microsoft выдает полный fail по всем этапам подключения, кажется именно из-за сертификата.
Я уже все передумал, ничего не могу поделать.
Есть ли способ решить эту проблему, без многодоменного сертификата?
- Изменено Vitaly.Demchenko 21 января 2015 г. 7:40
Ответы
Все ответы
-
я не про RCA. Попробуйте подключиться через OWA (https://mail.domain.local/owa) и кликните на замочек справа от адресной строки. А то что RCA ругается на сертификат выданный внутренним CA это так и должно быть, если только вы не поделились c MS рутовым сертификатом своего СА :)
Do not multiply entities beyond what is necessary
=)
Слева - локальный, справа - внешний адрес
Может все дело в файрволе? Не все пакеты доходят?
Вот все что у меня связано с почтой:
# Разрешаем доступ из внутренней сети наружу
$IPT -A FORWARD -i $LAN -o $WAN -j ACCEPT
# Запрещаем доступ снаружи во внутреннюю сеть
$IPT -A FORWARD -i $WAN -o $LAN -j REJECT
# Запрещаем доступ снаружи в гостевую сеть
$IPT -A FORWARD -i $WAN -o $GUEST -j REJECT
# Открытие 443 порта
$IPT -A INPUT -p tcp --dport 443 -j ACCEPT
# Пробрасываем порты для почтового сервера:
$IPT -t nat -A PREROUTING -p tcp -d $ExtIP --dport 25 -j DNAT --to-destination $MailIP:25
$IPT -A FORWARD -i $WAN -d $MailIP -p tcp --dport 25 -j ACCEPT
$IPT -t nat -A PREROUTING -p tcp -d $ExtIP --dport 443 -j DNAT --to-destination $MailIP:443
$IPT -A FORWARD -i $WAN -d $MailIP -p tcp --dport 443 -j ACCEPT
$IPT -A FORWARD -i $LAN -o $LAN -j ACCEPT
#Проброс OWA из локальной сети, но ломается сертификат
#$IPT -t nat -A PREROUTING -i $LAN -p tcp --dport 443 -j DNAT --to $MailIP:443
#$IPT -t nat -A POSTROUTING -o $LAN -p tcp -d $MailIP --dport 443 -j SNAT --to-source 192.168.0.1Повторюсь, что при снятии последних двух комментариях - решается проблема комнат, но появляется проблема работы Outlook'a при каждом чихе ругается на несоответствие имени сертификата.
