none
Проблема с аутентификацией по SMTP протоколов IMAP/POP3 RRS feed

  • Вопрос

  • Доброе время суток. Пытаюсь настроить Exchange для двух лесов. Зашел в тупик, хотя облазил половину интернета. Нужна помощь.

     

    Что есть.

    В двух разных сетях два независимых леса (domain1 и domain2) по контроллеру домена в каждом (dc1.domain1 и dc2.domain2). Между доменами полные доверительные отношения. DNS-сервера обоих доменов настроены на передачу зон. Обе сети видят друг друга без проблем.

    В mse.domain2 (не контроллер домена) установлен почтовый сервер MS Exchange 2016 Standard.

     

    Задача.

    Получить возможность подключения пользователей из domain1 к постовому серверу на domain2. Эти пользователи должны иметь все «блага», что и пользователи domain2 как то: свои группы рассылки, контакты, календари и т.п., в общем все возможности MS Exchange. Также они должны иметь доступ к некоторым ресурсам (группам рассылки, контактам, календарям и т.д.), настроенным для пользователей domain2. Пользователи используют локально - MS Outlook (по MAPI), удаленно – тот же Outlook (не знаю пока, получится ли по MAPI, если нет, сойдут и IMAP с POP3), а также OWA и ActiveSync. Соответственно и адреса почты у них должны быть в соответствии с их доменами (например user@domain1.ru и user@domain2.ru).

     

    Что сделано.

    1. Установлен MS Exchange и настроен по рекомендуемым параметрам (по видеокурсам из интернета).

    2. Настроены InternalUrl и ExternalUrl для виртуальных катологов.

    3. Выполнена команда «Export-AutoDiscoverConfig -DomainController dc2.domain2 -TargetForestDomainController dc1.domain1». Посмотрел на dc1.domain1 в ADSIEDIT (CN=Services, CN=Configuration, CN=domain, CN=local)). Ветка «CN=Microsoft Exchange Autodiscover» есть, в ней есть ветка «CN=domain2», но уже в этой ветке все пусто (так и должно быть?).

    4. Добавлены обслуживаемые домены domain1.ru и domain2.ru,

    5. Добавлены пользователи из domain2 и связанные пользователи из domain1 (домен domain1 без проблем определяется при добавлении связанных пользователей).

     

    Что работает.

    1. Пользователи домена domain2 работают с почтовым сервером через Outlook без проблем (тестировалась 2016 версия). Обнаружение в домене domain2 по Autodiscover идет без проблем, работают как MAPI, так и IMAP, и POP3. В целом для домена domain2 все хорошо. Как внутри сети, так и извне.

    2. Через OWA работают все пользователи из обоих доменов без проблем.

    3. В domain1 после бубнов, отозвался autodiscover, Outlook 2013 подхватил MAPI, Outlook 2007 дал сбой. Но вроде бы что-то Microsoft говорил о проблемах на этом клиенте ниже версии 2010. Поэтому есть необходимость подключать таких пользователей через IMAP или POP3.

     

    Что не работает.

    Проблемы со связанными пользователями из домена domain1. Не работает ни IMAP, ни POP3. Т.е. работает на половину. При указании, например, в IMAP (imap: ssl 993, smtp: 587 без шифрования) адреса почты связанного пользователя (например, user), в качестве серверов mse.domain2, в качестве логина domain1\user, то тест получения сообщений отрабатывает, а тест отправки сообщений постоянно запрашивает пароль. Голову сломал. Где копать?

     

    Что пытался сделать:

    1. Менял типы проверки подлинности в виртуальных каталогах. Положительного результата не было.

    2. Пробовал отключать в разделе безопасности соединителей получения «Предлагать обычную проверку подлинности только после запуска TLS» (вычитал на каком то сайте). Не помогло, вернул все обратно.

    3. Перевыпускал сертификат (они у меня пока самоподписные), куда включал все домены (domain1, domain2, domain1.ru, domain2.ru) для служб SMTP, IMAP, POP3. Никакого эффекта.

    4. Запускал командлет Add-AvailabilityAddressSpace -Forestname domain1 -AccessMethod PerUserFB -UseServiceAccount:$trueничего не поменялось.

    5. Менял настройки SMTP в самом Outlook – порты 25, 587, без шифрования, с SSL, с TLS. Бесполезно.

     

     

    По конфигурации (пишу затем, что экспериментировал, мог накосячить):

    1. Виртуальный каталог Autodiscover – Проверка подлинности: Встроенная проверка Windows и обычная (Didgest-проверка выключена).

    2. Виртуальный каталог MAPI – Проверка подлинности: NTLM и согласование.

    3. Виртуальный каталог EWS – Только встроенная проверка Windows.

    Остальное вроде сразу ставил обратно, как было.

     

    Прошу ткнуть носом, где рыть?

    27 июня 2017 г. 11:07

Ответы

  • В общем и с IMAP вопрос решился командой Set-ImapSettings -EnableGSSAPIAndNTLMAuth $false.

    Хотя странно, этот параметр у POP3 в $true. Проверю еще внешние подключения, но в обоих лесах POP3 и IMAP работают. Тему можно закрывать.

    28 июня 2017 г. 13:30

Все ответы

  • В общем задача решилась настройкой в MS Outlook для SMTP: порт 587 и тип шифрования TLS. Хотя мне казалось, что до этого я этот вариант пробовал. Правда в соединителе «Client Frontend» во вкладке «Безопасность» включил "Партнеры" в группу разрешений, но не уверен в жесткой необходимости этого действия.

     

    Правда после моих манипуляций перестал работать IMAP (опять таки только для связанных ящиков). POP3 работает, SMTP работает, IMAP запрашивает пароль и уходит в дисконнект с сообщением «Соединение с сервером было прервано». До всех манипуляций с SMTP соединение по IMAP работало. Причем IMAP для ящиков domain2 так и работает на ура. Карточный домик какой-то.

    Ладно, буду копать дальше.  Если что, создам новую тему.

    28 июня 2017 г. 13:14
  • В общем и с IMAP вопрос решился командой Set-ImapSettings -EnableGSSAPIAndNTLMAuth $false.

    Хотя странно, этот параметр у POP3 в $true. Проверю еще внешние подключения, но в обоих лесах POP3 и IMAP работают. Тему можно закрывать.

    28 июня 2017 г. 13:30