none
публикация autodiscover через TMG 2010 RRS feed

  • Вопрос

  • Собственно обгуглился уже, нигде ничего толкового нет по данной теме.

    OWA опубликовал, активсинк тоже работает

    но вот клиенты извне с outlook не подцепляются

    ну и хотелось бы чтобы настройки на мобильных устройствах сами подтягивались, но это второстепенно

    наставьте пожалуйста на путь истинный

    при открытии снаружи

    https://autodiscover.имя.ru/Autodiscover/Autodiscover.xml

    TMG запрашивает логин и пароль, после этого открывает файл

    внутри нормально открывается

    анализатор говорит

    Этапы проверки

    Анализатор Microsoft Connectivity Analyzer пытается получить XML-ответ от службы автообнаружения с URL-адреса https://autodiscover.имя.ru:443/Autodiscover/Autodiscover.xml для пользователя test@имя.ru.

    Получен запрещенный ответ HTTP 403. Этот ответ отправлен Unknown. Текст ответа: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
    <HTML dir=ltr><HEAD><TITLE>Не удается отобразить страницу</TITLE>
    <STYLE id=L_defaultr_1>A:link {
    FONT: 8pt/11pt verdana; COLOR: #ff0000
    }
    A:visited {
    FONT: 8pt/11pt verdana; COLOR: #4e4e4e
    }
    </STYLE>

    <META content=NOINDEX name=ROBOTS>
    <META http-equiv=Content-Type content="text-html; charset=UTF-8">

    <META content="MSHTML 5.50.4522.1800" name=GENERATOR></HEAD>
    <BODY bgColor=#ffffff>
    <TABLE cellSpacing=5 cellPadding=3 width=410>
    <TBODY>
    <TR>
    <TD id=L_defaultr_0 valign=middle align=left width=360>
    <H1 id=L_defaultr_2 style="FONT: 13pt/15pt verdana; COLOR: #000000"><ID id=L_defaultr_3><!--Problem-->Не удается отобразить страницу
    </ID></H1></TD></TR>
    <TR>
    <TD width=400 colSpan=2><FONT id=L_defaultr_4
    style="FONT: 8pt/11pt verdana; COLOR: #000000"><ID id=L_defaultr_5><B>Объяснение: </B>при попытке доступа к этой странице произошла ошибка, страницу отобразить невозможно.</ID></FONT></TD></TR>
    <TR>
    <TD width=400 colSpan=2><FONT id=L_defaultr_6 
    style="FONT: 8pt/11pt verdana; COLOR: #000000">
    <HR color=#c0c0c0 noShade>

    <P id=L_defaultr_7><B>Попробуйте следующее:</B></P>
    <UL>
    <LI id=L_defaultr_8><B>Обновление страницы:</B> выполните повторный поиск страницы, нажав кнопку "Обновить". Возможно, тайм-аут произошел из-за перегрузки Интернета.
    <LI id=L_defaultr_9><B>Проверка написания:</B> проверьте правильность написания адреса веб-узла. Возможны ошибки при вводе адреса.
    <LI id=L_defaultr_10><B>Доступ из ссылки:</B> если имеется ссылка на искомую страницу, попробуйте получить доступ к странице с помощью этой ссылки.

    </UL>
    <HR color=#c0c0c0 noShade>

    <P id=L_defaultr_11>Технические сведения (для персонала службы поддержки)</P>
    <UL>
    <LI id=L_defaultr_12>Код ошибки: 403 Запрет доступа. Сервер отклонил указанный URL-адрес. Обратитесь к администратору сервера. (12202)

    </UL></FONT></TD></TR></TBODY></TABLE></BODY></HTML>

    Заголовки ответов HTTP:
    Connection: close
    Pragma: no-cache
    Content-Length: 2640
    Cache-Control: no-cache
    Content-Type: text/html
    Затраченное время: 1090 мс.


    • Изменено modd 7 июля 2015 г. 14:05
    7 июля 2015 г. 12:48

Ответы


  • Идти туда, где не ждут, Атаковать там, где не подготовились.

    • Помечено в качестве ответа modd 10 июля 2015 г. 18:31
    10 июля 2015 г. 8:16
  • извиняюсь, глянул, так я не понял, в чем проблема "все пользователи" выставить?

    "вообще я насколько понимаю, TMG проходит соединение" не факт, в локалке работает на ура? если так то проблема в TMG, если все остальное что спрашивал верно. у меня два правила, на одном все пользователи, то что скрины кидал, другое прошедшие проверку, не с проста я не впихал все в одно, долго тестил по безопасности, не проходит авторизацию exchange через tmg если на rpc, oab, autodiscover не стоит все пользователи.


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    • Помечено в качестве ответа modd 10 июля 2015 г. 18:31
    10 июля 2015 г. 17:07

Все ответы

  • День Добрый!

    Перепроверьте плиз у Вас на сервере TMG в правиле публикации Outlook Anywhere указан метод делегирования проверки подлинности "Обычная проверка подлинности"?

    А в настройках  Outlook Anywhere на сервере Exchange указан метод проверки подлинности для внешних клиентов "Обычная"?


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

    7 июля 2015 г. 14:11
  • День Добрый!

    Перепроверьте плиз у Вас на сервере TMG в правиле публикации Outlook Anywhere указан метод делегирования проверки подлинности "Обычная проверка подлинности"?

    А в настройках  Outlook Anywhere на сервере Exchange указан метод проверки подлинности для внешних клиентов "Обычная"?


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

    на TMG в правиле стоит Обычная проверка

    а вот по второму пункту подскажите, мы о настройках виртуальных каталогов в разделе серверы говорим? или о чем то другом?

    если об этом то в настройках авторизации для autodiscover стоит встроенная и обычная проверка

    да, забыл упомянуть, т.к. внешний белый IP один, то слушатель для ова и автодискавер тоже один

    и авторизация стоит там на основе форм.




    • Изменено modd 7 июля 2015 г. 14:19
    7 июля 2015 г. 14:16
  • подключаюсь извне с помощью аутлука

    параметры сервера

    mail.имя.ru

    имя пользователя 

    test

    нажал проверить имя

    пишет отсутствует подключение к exchange

    иду в дополнительные настройки

    подключение, ставлю галку на подключение через http

    параметры прокси сервера exchange


    далее появляется окошка запроса пароля

    и пароль не принимает в виде

    локальный_домен\test ни просто test и пароль

    пароль точно верный, в OWA с ним тут же захожу, все в порядке

    • Изменено modd 9 июля 2015 г. 11:04
  • А вот эту статью Вы смотрели?

    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

  • читал перевод, попробую почитать первоисточник
    9 июля 2015 г. 11:33
  • подключаюсь извне с помощью аутлука

    параметры сервера

    mail.имя.ru

    имя пользователя 

    test

    нажал проверить имя

    пишет отсутствует подключение к exchange

    иду в дополнительные настройки

    подключение, ставлю галку на подключение через http

    параметры прокси сервера exchange

    далее появляется окошка запроса пароля

    и пароль не принимает в виде

    локальный_домен\test ни просто test и пароль

    пароль точно верный, в OWA с ним тут же захожу, все в порядке

    Сори конечно за глупый вопрос... Сертификат на клиента в доверенные установили?

    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

    9 июля 2015 г. 12:40
  • сертификат да, установлен

    еще нюанс, проверяю с компьютера, который в другом домене с другим exchange

    может как то влиять?

    OWA работает

    активсинк тоже, правда сам не подцепляет настройки, приходится вручную править



    • Изменено modd 9 июля 2015 г. 13:16
    9 июля 2015 г. 13:15
  • если в анализаторе подключения ввести все параметры руками

    то ошибка только одна

    Не удалось проверить сертификат на доверие.

    Не удалось создать для сертификата цепочку сертификатов.

    Не удалось построить цепочку сертификатов. Требуемые промежуточные сертификаты могут отсутствовать.

    Затраченное время: 18 мс.

    остальные пункты все зеленые

    это в пункте

    Подключение Outlook


    • Изменено modd 9 июля 2015 г. 13:30
    9 июля 2015 г. 13:23
  • скриншоты сделайте правила, выложите куда-нибудь. сертификат локального ЦС или коммерческий? san записи есть? имя внутреннее почтовика и внешняя dns запись присутствуют в сертификате? dns записи сделали на внешнем хосте? в настройках exchange через ecp виртуальные каталоги настроены корректно, внешнее имя присутствует? 

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    9 июля 2015 г. 16:45
  • сертификат локального ЦС

    сан записи есть

    внутреннее и внешнее в сертификате есть

    виртуальные каталоги настроены, внешнее имя присутствует

    днс записи сделаны в nic.ru, обратная у провайдера

    скриншоты

    32 скрин это проверка правила OWA



    • Изменено modd 9 июля 2015 г. 19:53
    9 июля 2015 г. 18:55
  • когда 2013 аутлуком подключаюсь

    на втором этапе запрашивает пароль, ввожу 

    локальный_домен\юзер

    пароль

    принимает и идет на третий этап

    там опять спрашивает пароль, но уже тот же самый пароль не принимает


    • Изменено modd 9 июля 2015 г. 22:44
    9 июля 2015 г. 22:43

  • Идти туда, где не ждут, Атаковать там, где не подготовились.

    • Помечено в качестве ответа modd 10 июля 2015 г. 18:31
    10 июля 2015 г. 8:16
  • все пользователи никак не получаются

    слушатель один , и для ова и для дискавера

    mapi я кстати не включал
    • Изменено modd 10 июля 2015 г. 9:12
    10 июля 2015 г. 9:10
  • у меня тоже один, при этом он работает и для exchange 2013 и Skype for business и RD gateway. все прекрасно работает. тогда скрины прослушивателя давайте.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    10 июля 2015 г. 9:55
  • они там же по ссылке

    начиная с 24 картинки

    • Изменено modd 10 июля 2015 г. 10:17
    10 июля 2015 г. 10:16
  • вообще я насколько понимаю, TMG проходит соединение

    а вот в exchange где-то застревает, либо не согласовывается по авторизации

    10 июля 2015 г. 16:59
  • извиняюсь, глянул, так я не понял, в чем проблема "все пользователи" выставить?

    "вообще я насколько понимаю, TMG проходит соединение" не факт, в локалке работает на ура? если так то проблема в TMG, если все остальное что спрашивал верно. у меня два правила, на одном все пользователи, то что скрины кидал, другое прошедшие проверку, не с проста я не впихал все в одно, долго тестил по безопасности, не проходит авторизацию exchange через tmg если на rpc, oab, autodiscover не стоит все пользователи.


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    • Помечено в качестве ответа modd 10 июля 2015 г. 18:31
    10 июля 2015 г. 17:07
  • если выставляешь все пользователи, то это конфликтует со слушателем, там стоит авторизация по формам, иначе OWA не работает

    в локалке все работает нормально


    • Изменено modd 10 июля 2015 г. 18:13
    10 июля 2015 г. 18:12
  • всем спасибо, все работает

    на ова правда пока что только окно с паролем вылезает, но сейчас формы включу у сайта и тоже будет все красиво

    10 июля 2015 г. 18:26