none
Публикация Outlook Anywhere и Autodiscover не работает авторизация из Китая RRS feed

  • Вопрос

  • Всем привет.

    С любой точки мира все работает за исключением Китая, может кто сталкивался? Куда копать ? Какие настройки надо привести чтобы больше было инфы ? 443 порт походу режит китайская стена =( какие есть варианты ?



    Сначала Вас игнорируют, потом над Вами смеются, потом с Вами борются, а затем Вы победили.


    • Изменено MR.Minion 10 сентября 2012 г. 11:45
    10 сентября 2012 г. 11:30

Ответы

  • Настройка External Host для Outlook Anywhere задает только единственный адрес. Хотя не совсем понятно зачем это, ведь все равно клиенты полезут на 443 порт.

    Насчет редиректа клиента на другой порт, думаю, это делалось с помощью программ на подобие Proxifier.

    А вариант использовать OWA не подходит для таких пользователей?

    • Помечено в качестве ответа MR.Minion 12 сентября 2012 г. 12:23
    12 сентября 2012 г. 11:46
    Отвечающий
  • Вдруг пригодиться кому:

    Поднял Squid3 c поддержкой SSL завернул весь трафик PC через Proxifier на прокси publicIP:3128 авторизация basic ( логин пароль или ip ) и все воркает.


    Сначала Вас игнорируют, потом над Вами смеются, потом с Вами борются, а затем Вы победили.

    • Помечено в качестве ответа MR.Minion 21 сентября 2012 г. 6:20
    21 сентября 2012 г. 6:20

Все ответы

  • День добрый.

    Проверьте доступ по RDP на IP адрес. Как вариант терминальный сервер с опубликованым OWA или Outlook.


    MCITP. Знание - не уменьшает нашей глупости.

    10 сентября 2012 г. 11:50
    Модератор
  • День добрый.

    Проверьте доступ по RDP на IP адрес. Как вариант терминальный сервер с опубликованым OWA или Outlook.


    MCITP. Знание - не уменьшает нашей глупости.


    Олег терминальный сервер работает , проблема в голове начальства(которое не хочет работать в терминале) хочет чтобы на м*ке в лицензионном офисе все работало =(

    Сначала Вас игнорируют, потом над Вами смеются, потом с Вами борются, а затем Вы победили.

    10 сентября 2012 г. 11:53
  • Как вариант.

    Взять список IP адресов и написать письмо к провайдеру в Китае с просьбой, ответить, почему нет доступа к данным IP из территории Китая. Будет официальный ответ. На основании ответа действовать дальше.


    MCITP. Знание - не уменьшает нашей глупости.

    10 сентября 2012 г. 11:58
    Модератор
  • Вот пытаюсь сделать такие настройки  получается должно работать 80 порту , не получается подключится к серверу

    мб нужно как-то сделать чтобы IIS мог авторизовать без SSL и SSL , но как такое сделать , мне не приходит в голову =(

    Вот настройки OutlookAnywhere:

    [PS] C:\Windows\system32>Get-OutlookAnywhere
    
    
    RunspaceId                      : 2ac451af-20cb-43e2-8957-706f605cea83
    ServerName                      : MAIL
    SSLOffloading                   : False
    ExternalHostname                : mail.domain.com
    ClientAuthenticationMethod      : Basic
    IISAuthenticationMethods        : {Basic}
    XropUrl                         :
    MetabasePath                    : IIS://MAIL.domain.local/W3SVC/1/ROOT/Rpc
    Path                            : C:\Windows\System32\RpcProxy
    ExtendedProtectionTokenChecking : None
    ExtendedProtectionFlags         : {}
    ExtendedProtectionSPNList       : {}
    Server                          : MAIL
    AdminDisplayName                :
    ExchangeVersion                 : 0.10 (14.0.100.0)
    Name                            : Rpc (Default Web Site)
    DistinguishedName               : CN=Rpc (Default Web Site),CN=HTTP,CN=Protocols,CN=MAIL,CN=Servers,CN=Exchange Adminis
                                      trative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=First Organization,CN=Mic
                                      rosoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=local
    Identity                        : MAIL\Rpc (Default Web Site)
    Guid                            : d864be22-adbe-4684-93e4-756bc3fb5409
    ObjectCategory                  : domain.local/Configuration/Schema/ms-Exch-Rpc-Http-Virtual-Directory
    ObjectClass                     : {top, msExchVirtualDirectory, msExchRpcHttpVirtualDirectory}
    WhenChanged                     : 09.07.2012 23:55:24
    WhenCreated                     : 09.07.2012 23:55:24
    WhenChangedUTC                  : 09.07.2012 19:55:24
    WhenCreatedUTC                  : 09.07.2012 19:55:24
    OrganizationId                  :
    OriginatingServer               : DOM2.domain.local
    IsValid                         : True
    

    Вот результаты проверки подключения RPC/HTTP (тест не проходит ) с сайта :

    Проверка подключения RPC/HTTP. Не удалось выполнить проверку RPC/HTTP. Этапы проверки Анализатором ExRCA выполняется попытка проверки службы автообнаружения для justbox@domain.com. Не удалось выполнить проверку автообнаружения. Этапы проверки Проверка каждого способа подключения к службе автообнаружения. Не удалось успешно подключиться к службе автообнаружения каким-либо способом. Этапы проверки Попытка проверить потенциальный URL-адрес автообнаружения https://domain.com/AutoDiscover/AutoDiscover.xml Не удалось выполнить проверку потенциального URL-адреса автообнаружения. Этапы проверки Attempting to resolve the host name domain.com in DNS. The host name resolved successfully. Дополнительные сведения IP addresses returned: XXX.XX.XXX.XXX Testing TCP port 443 on host domain.com to ensure it's listening and open. The port was opened successfully. Testing the SSL certificate to make sure it's valid.

    The SSL certificate failed one or more certificate validation checks.

    Этапы проверки

    ExRCA is attempting to obtain the SSL certificate from remote server domain.com on port 443.

    ExRCA successfully obtained the remote SSL certificate. Дополнительные сведения

    Remote Certificate Subject: CN=mail.domain.com, OU=Dep. IT, O="Ltd. ""DOMAIN""", L=Moscow, S=RU, C=RU, Issuer: CN=domain-DOM1-CA, DC=domain, DC=local. Validating the certificate name.

    The certificate name was validated successfully. Дополнительные сведения Host name domain.com was found in the Certificate Subject Alternative Name entry. Certificate trust is being validated. Certificate trust validation failed. Этапы проверки

    ExRCA is attempting to build certificate chains for certificate CN=mail.domain.com, OU=Dep. IT, O="Ltd. ""DOMAIN""", L=Moscow, S=RU, C=RU. A certificate chain couldn't be constructed for the certificate. Дополнительные сведения The certificate chain couldn't be built. You may be missing required intermediate certificates. Попытка проверить потенциальный URL-адрес автообнаружения https://autodiscover.domain.com/AutoDiscover/AutoDiscover.xml

    Не удалось выполнить проверку потенциального URL-адреса автообнаружения.

    Этапы проверки

    Attempting to resolve the host name autodiscover.domain.com in DNS. The host name resolved successfully. Дополнительные сведения IP addresses returned: XXX.XX.XXX.XXX

    Testing TCP port 443 on host autodiscover.domain.com to ensure it's listening and open. The port was opened successfully.

    Testing the SSL certificate to make sure it's valid.

    The SSL certificate failed one or more certificate validation checks.

    Этапы проверки

    ExRCA is attempting to obtain the SSL certificate from remote server autodiscover.domain.com on port 443. ExRCA successfully obtained the remote SSL certificate. Дополнительные сведения

    Remote Certificate Subject: CN=mail.domain.com, OU=Dep. IT, O="Ltd. ""DOMAIN""", L=Moscow, S=RU, C=RU, Issuer: CN=domain-DOM1-CA, DC=domain, DC=local.

    Validating the certificate name. The certificate name was validated successfully.

    Дополнительные сведения

    Host name autodiscover.domain.com was found in the Certificate Subject Alternative Name entry.

    Certificate trust is being validated. Certificate trust validation failed. Этапы проверки ExRCA is attempting to build certificate chains for certificate CN=mail.domain.com, OU=Dep. IT, O="Ltd. ""DOMAIN""", L=Moscow, S=RU, C=RU. A certificate chain couldn't be constructed for the certificate. Дополнительные сведения The certificate chain couldn't be built. You may be missing required intermediate certificates. Попытка подключения к службе автообнаружения с помощью метода перенаправления HTTP.

    Не удалось подключиться к службе автообнаружения с помощью метода перенаправления HTTP.

    Этапы проверки Attempting to resolve the host name autodiscover.domain.com in DNS. The host name resolved successfully.

    Дополнительные сведения IP addresses returned: XXX.XX.XXX.XXX Testing TCP port 80 on host autodiscover.domain.com to ensure it's listening and open. The port was opened successfully. Анализатором ExRCA проверяется узел autodiscover.domain.com для перенаправления HTTP в службу автообнаружения.

    Анализатору ExRCA не удалось получить ответ о перенаправлении HTTP для службы автообнаружения. Дополнительные сведения

    Получен запрещенный ответ HTTP 403. Этот ответ отправлен Unknown. Текст ответа: Вы не имеете разрешения на просмотр этого каталога пли страницы. Попытка подключения к службе автообнаружения с помощью метода перенаправления DNS SRV.

    Анализатору ExRCA не удалось подключиться к службе автообнаружения с помощью метода перенаправления DNS SRV. Этапы проверки Попытка найти SRV-запись record _autodiscover._tcp.domain.com в службе DNS. SRV-запись автообнаружения успешно получена из службы DNS. Дополнительные сведения

    Поиск записи расположения службы (SRV) возвратил узел mail.domain.com.

    Попытка проверить потенциальный URL-адрес автообнаружения https://mail.domain.com/Autodiscover/Autodiscover.xml

    Не удалось выполнить проверку потенциального URL-адреса автообнаружения. Этапы проверки Attempting to resolve the host name mail.domain.com in DNS. The host name resolved successfully. Дополнительные сведения IP addresses returned: XXX.XX.XXX.XXX Testing TCP port 443 on host mail.domain.com to ensure it's listening and open. The port was opened successfully. Testing the SSL certificate to make sure it's valid. The SSL certificate failed one or more certificate validation checks. Этапы проверки

    ExRCA is attempting to obtain the SSL certificate from remote server mail.domain.com on port 443.

    ExRCA successfully obtained the remote SSL certificate.

    Дополнительные сведения Remote Certificate Subject: CN=mail.domain.com, OU=Dep. IT, O="Ltd. ""DOMAIN""", L=Moscow, S=RU, C=RU, Issuer: CN=domain-DOM1-CA, DC=domain, DC=local. Validating the certificate name. The certificate name was validated successfully. Дополнительные сведения

    Host name mail.domain.com was found in the Certificate Subject Common name.

    Certificate trust is being validated. Certificate trust validation failed. Этапы проверки

    ExRCA is attempting to build certificate chains for certificate CN=mail.domain.com, OU=Dep. IT, O="Ltd. ""DOMAIN""", L=Moscow, S=RU, C=RU.

    A certificate chain couldn't be constructed for the certificate.

    Дополнительные сведения The certificate chain couldn't be built. You may be missing required intermediate certificates.

    Заранее благодарен за помощь !


    Сначала Вас игнорируют, потом над Вами смеются, потом с Вами борются, а затем Вы победили.



    • Изменено MR.Minion 10 сентября 2012 г. 19:07
    10 сентября 2012 г. 15:51
  • Если я ничего не путаю, то вам поможет Exchange OWA SSL RedirectРедирект OWA в Exchange 2010 (вариант №2)
    10 сентября 2012 г. 19:33
    Отвечающий
  • Если я ничего не путаю, то вам поможет Exchange OWA SSL RedirectРедирект OWA в Exchange 2010 (вариант №2)

    Максим спасибо ,я это уже пробовал когда я в браузере набираю http://mail.domain.com попадаю https://mail.domain.com/owa , да может как-то можно поменять в адресной строке чтобы не менялся путь на https а оставался http ?

    Сначала Вас игнорируют, потом над Вами смеются, потом с Вами борются, а затем Вы победили.

    10 сентября 2012 г. 20:02
  • Как вариант используйте VPN. В офисе китая ставите Route и VPN Site to Site. Для пользователей создать пул VPN подключений. 


    MCITP. Знание - не уменьшает нашей глупости.

    11 сентября 2012 г. 5:52
    Модератор
  • Еще из воркэраундов можно попробовать создать в IIS дополнительный сайт, с биндингом например https 1443 порт. Потом в Exchange создать все новые виртуальные каталоги и установить требование SSL. Не факт конечно, что и так заработает из Китая, но в тестовой конфигурации работает.

    Вот пример (тут описано для owa, но думаю аналогично можно сделать и для rpc и autodiscover): Changing Outlook Web App Port Breaks OWA

    11 сентября 2012 г. 6:01
    Отвечающий
  • Сталкивался с проблемой недоступности 443 в Китае (в разных местах). 

    Разговор с провайдером ничего не дал, ответили что на их стороне проблем нет.

    Решили редиректом на другой порт.

    11 сентября 2012 г. 7:52
  • Сталкивался с проблемой недоступности 443 в Китае (в разных местах). 

    Разговор с провайдером ничего не дал, ответили что на их стороне проблем нет.

    Решили редиректом на другой порт.


    Если не затруднит ,как Вы настроили оутлук на другой порт ?

    Сначала Вас игнорируют, потом над Вами смеются, потом с Вами борются, а затем Вы победили.


    • Изменено MR.Minion 12 сентября 2012 г. 10:57
    12 сентября 2012 г. 10:49
  • Насколько я знаю, порт для Outlook Anywhere в клиенте изменить нельзя.
    12 сентября 2012 г. 11:12
    Отвечающий
  • а можно сделать дополнительную А запись в ДНС типа china-mail.domain.com и в экченже сделать долнительные сылки для Outlook Anywhere , чтобы старые настройки не менять ?

    Сначала Вас игнорируют, потом над Вами смеются, потом с Вами борются, а затем Вы победили.

    12 сентября 2012 г. 11:35
  • Настройка External Host для Outlook Anywhere задает только единственный адрес. Хотя не совсем понятно зачем это, ведь все равно клиенты полезут на 443 порт.

    Насчет редиректа клиента на другой порт, думаю, это делалось с помощью программ на подобие Proxifier.

    А вариант использовать OWA не подходит для таких пользователей?

    • Помечено в качестве ответа MR.Minion 12 сентября 2012 г. 12:23
    12 сентября 2012 г. 11:46
    Отвечающий
  • нет ,все руводители хотят пользоваться своми ноутами и своим лицензионным офисом =)


    Сначала Вас игнорируют, потом над Вами смеются, потом с Вами борются, а затем Вы победили.

    12 сентября 2012 г. 11:54
  • Вдруг пригодиться кому:

    Поднял Squid3 c поддержкой SSL завернул весь трафик PC через Proxifier на прокси publicIP:3128 авторизация basic ( логин пароль или ip ) и все воркает.


    Сначала Вас игнорируют, потом над Вами смеются, потом с Вами борются, а затем Вы победили.

    • Помечено в качестве ответа MR.Minion 21 сентября 2012 г. 6:20
    21 сентября 2012 г. 6:20