none
доступ к OWA через ISA2006 RRS feed

  • Вопрос

  • при попытке открыть страницу, https://xxx.ru/owa появляется сообщение об ошибке
    Сертификат безопасности этого веб-узла был выпущен для веб-узла с другим адресом.

    на компе с ISA установлены сертификаты, в слушателе он стоит.  OWA по внутреннему имени открывается.
    причем, когда отключаю данное правило и пытаюсь выйти браузером - ошибка сохраняется. в чем может быть причина??
    9 декабря 2009 г. 10:56

Ответы

Все ответы

  • В сертификате у Вас SAN на "внешний" FQDN указан?..

    9 декабря 2009 г. 11:10
    Отвечающий
  • да, xxx.ru
    9 декабря 2009 г. 11:25
  • так же в сети развернут ТСГ, и у него свой сертификат и свое правило. я пробовал его выключать, но в браузере та же ошибка.
    9 декабря 2009 г. 11:36
  • А в слушателе (Web Listener) именно этот сертификат указан?
    9 декабря 2009 г. 11:40
    Отвечающий
  • да, 2 слушателя, 2 сертификата.
    9 декабря 2009 г. 11:54
  • Ну и, соответственно, подключаетесь Вы к слушателю на IP-адрес, в который разрешается FQDN, указанное в SAN сертификата этого слушателя?..

    9 декабря 2009 г. 11:55
    Отвечающий
  • 2 провайдера, 2 зоны А. к исе инет подходит, одним кабелем из маршрутизатора. на исе в Wan интерфейсе, добавлен еще один ИП адрес. получается для OWA используется свой ИП адрес, для TSG - свой. все это указанно в слушателях.
    9 декабря 2009 г. 11:59
  • больше всего мне не понятно, почему при отключении правила, все равно идет сообщение об ошибке сертификата. по идее, должна выдаваться 404
    9 декабря 2009 г. 12:10
  • Так в слушателе указан этот конкретный IP-адрес, или у Вас слушатели без указания конкретного адреса настроены?..

    9 декабря 2009 г. 12:12
    Отвечающий
  • в каждом слушателе указан конкретный ИП адрес, Ван интерфейса.
    9 декабря 2009 г. 12:13
  • Проверяйте, должно работать.

    Кстати, а правило создавали вручную или с помощью мастера?
    9 декабря 2009 г. 12:23
    Отвечающий
  • с помощью мастера. да и до вчерашнего дня все работало. а со вчера лег провайдер, на котором ОВА, сегодня поднялся и не работает. nsllokup проверил - все зоны и ИП правильно отображаются.
    9 декабря 2009 г. 12:29
  • У Вас IP-адрес не менялся?

    9 декабря 2009 г. 12:37
    Отвечающий
  • нет, статика.
    9 декабря 2009 г. 12:54
  • Хочется сказать, что такого не бывает... Попробуйте перевыпустить сертификат для OWA.
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    10 декабря 2009 г. 14:59
    Модератор
  • Насколько я помню, ISA не поддерживает конфигурации с двумя IP на одном интерфейсе....

    22 декабря 2009 г. 11:26
  • косяк был в моем маршрутизаторе - он не правильно перенаправлял запросы с одного провайдера на ИСА. тему можно закрывать.
    22 декабря 2009 г. 11:29
  • Добрый день!

    Прошу помощи - не получается опубликовать OWA.

    Топология: 

    сервер dc.inet.local: MS Exchange 2003, DC, DNS, CA, IIS 6.0

    сервер isa.inet.local: 2 сетевые карты, MS ISA 2006

    Внешний ip-адрес: 87.103.133.32

    На ISA настроено правило публикации web-клиента Exchange для внешней сети, центром сертификации сгенерированы сертификаты для web-сервера: один сертификат с именем 87.103.133.32  -привязан к листнеру на ISA, другой  - с именем dc.inet.local установлен для Default Web Site на IIS.

    На IIS настроено требование использовать SSL и требовать сертификат клиента.

    Клиент получил сертификат от CA через веб-интерфейс (тип - user).

    Картина такая: при входе "изнутри" по адресу https://dc.inet.local/exchweb возникает диалог выбора цифорвого сертификата, затем html-форма входа, после чего мы успешно попадаем в свой ящик. При входе извне с этой же машины по адресу https://87.103.133.32/exchweb мы видим стандартную форму входа в OWA, после авторизации возникает ошибка:

    HTTP Error 403.7 - Forbidden: SSL client certificate is required.
    Internet Information Services (IIS)

    при этом диалога выбора клиентского сертификата не проиcходит. 

    Т.е. сертификат на клиенте имеется, на форму авторизации ISA по Https мы попадаем, но дальше дело не идёт.

    Если в настройках IIS я ставлю "Ignore client sertificates" или "Accept client sertificates" на OWA я попадаю, но требования такие, что доступ должны иметь только клиенты с "правильными" сертификатами.

    В чем может быть проблема? Возможно сертификат на клиента надо каким-то другим образом ставить?