none
публикация Exchange Anywhere RRS feed

  • Вопрос

  • Такая проблема: Exchange 2010 публикуется через TMG 2010. Сервисы OWA и ActiveSync работают безупречно, а вот с Anywhere есть некоторые сложности (со стороны локальной сети всё хорошо).

    Работать работает, а вто автономная адресная книга не загружается... И есть подозрение, что Audodiscover тоже не работает.

    TMG тестирует правила публикации на отлично. При открытии в браузере https://mail.domain.ru/oab, /autodiscover, https://autodiscover.domain.ru/autodiscover появляется веб-форма MicrosoftForefrontTMG. После ввода домен\пользователь - пароль: autodiscover говорит ошибка 600, oab открывается...

    почему клиент Outlook не обновляет адресную книгу? направьте в нужное русло...

    25 января 2011 г. 11:59

Ответы

  • заработало послетого, как изменил в правиле публикации параметры делегирования проверки подлинности на "Без делегирования, но клиент может выполнять проверку подлинности"

    C точки зрения безопасности это нормально?

    • Помечено в качестве ответа petru440 1 февраля 2011 г. 6:05
    31 января 2011 г. 13:47

Все ответы

  • TMG тестирует правила публикации на отлично. При открытии в браузере https://mail.domain.ru/oab, /autodiscover, https://autodiscover.domain.ru/autodiscover появляется веб-форма MicrosoftForefrontTMG. После ввода домен\пользователь - пароль: autodiscover говорит ошибка 600, oab открывается...

    оно так должно быть?

    25 января 2011 г. 17:26
  • Да, это нормально. Попробуйте проверить через https://www.testexchangeconnectivity.com/ там xml должен правильно отображаться.
    MCSE, MCITP:EMA2007
    25 января 2011 г. 18:33
  • ответ от  https://www.testexchangeconnectivity.com/ на Тесты на возможность подключения Microsoft Office Outlook -> Служба автообнаружения Outlook:

    Попытка проверить потенциальный URL-адрес автообнаружения https://autodiscover.domain.ru/AutoDiscover/AutoDiscover.xml

      Не удалось выполнить проверку потенциального URL-адреса автообнаружения.

       Этапы проверки

       Попытка разрешить имя узла autodiscover.domain.ru в службе DNS.

      Имя узла успешно разрешено.

       Дополнительные сведения

      Возвращено IP-адресов: 78.*.*.*

    Проверка порта TCP 443 на узле autodiscover.domain.ru, чтобы убедиться, что он прослушивается или открыт.

      Порт успешно открыт.

     Проверка SSL-сертификата на действительность.

      Не удалось выполнить одну или несколько проверок SSL-сертификата.

       Этапы проверки

       Проверка имени сертификата.

      Имя сертификата успешно проверено.

       Дополнительные сведения

      Имя узла autodiscover.domain.ru было найдено в дополнительном имени субъекта сертификата.

     

     Сертификат проверяется на доверие.

      Не удалось проверить сертификат на доверие.

       Дополнительные сведения

      Не удалось построить цепочку сертификатов. Требуемые промежуточные сертификаты могут отсутствовать.

     

    26 января 2011 г. 5:52
  • Выберите - Автообнаружение Exchange ActiveSync и попробуйте снова. Для outlook anywhere анализатор проверяет действительность сертификата.

    Касаемо вашего вопроса, нужно больше данных.


    MCSE, MCITP:EMA2007
    26 января 2011 г. 5:58
  • если сертики свои, от своего СА, как у меня то забей на проверку валидации цепочки. о твоем СА рут центре https://www.testexchangeconnectivity.com/

    понятия не имеет. там есть крыжик, пропустить валидацию сертификата.

    второе, я тестировал свой энивере на ноуте который принадлежит домену. запускаешь аутлук пропускаешшь астройку почты и далее через Ctrl+Right Mouse click на иконке в систем трее - Тест Соединения.

    третье, нужно отдельное правило для Энивере, Автодисковер, ОАВ, ЕВС, в которое листнер ходит не через веб форму а через ХТТП авторизацию/Интегрейт

    четвертое, у меня не получилось настроить и помоему это не возможно, работу всех внешних служб Эксченжа через один внешний ИП. НАДО как минимум ДВА!!!

    пятое. у меня на ТМГ 3 правила: 1. для Энивере см. выше; 2. АктивСинк; 3. ОВА (пуб,эксченж,ова,ецп - пути к ИИС)

    ЗЫ: у меня Энивере работает даже с домашнего айМАКа из Аутлука 2011, который как ясно в домен ваще ни как не входит.

    • Изменено ibGrass 26 января 2011 г. 7:03
    26 января 2011 г. 7:00
  • да, тестовый ноут есно смотрит во внешку.
    26 января 2011 г. 7:02
  • 1. самоподписные сертификаты он все равно проверяет, не смотря на галку пропустить валидацию сертификата.

    2. на ноуте внутри сети ?

    3. это вопрос ?

    4. все службы эксч на одном ИПе можно.

    5. прекрасно

    6. если работает , в чем проблема ?


    MCSE, MCITP:EMA2007
    26 января 2011 г. 7:08
  • 1. несамоподписные, а выданные вашим корпоративным центром СА. на их проверке он и стопарится сверить валидность сертика он(тест сервис) не может.

    2. второй пост. ноут во внешке. при этом он до этого был в локалке, введен в домен. хотя жто если керберос проверять. можно и без домена, все равно лог с ошибками увидите.

    3. нет, там все ответы. :) я написал как у меня сделано и работает.

    4. живой пример можно? в личку это не потеме. особенно чтобы вы умудрились сделать доступ для проверки валидности ваших сертиков. конечно если вы купили сертификаты от вериСайн ну тогда может и не надо.

    5. я тоже так считаю.

    6. проблем нет. что за наезд? я ответил человеку как я сделал и это работает.

    26 января 2011 г. 8:05
  • 1. об этом я и говорю, подписанные "не доверенным ЦС" (ваш внутренний), о котором не занет анализатор. Только что проверял, мне xml показывает при проверке "Служба автообнаружения Outlook". Сертификат также от внутреннего ЦС.

    3. Как у вас работает, не знаю. Сделать можно по разному. 3 правила оптимально (Outlook Anywhere+autodiscover+OAB, OWA/ECP, ActiveSync).

    4. живых примеров достаточно в интернет. Один IP + все службы exchange. (если желаете делать авторизацию по сертификатам, да нужно 2)

    6. не вижу наездов, перепутал вас с топикстартером.

     


    MCSE, MCITP:EMA2007
    26 января 2011 г. 8:39
  • 1. сертификат самоподписной

    2. тестовая машина не в домене

    5. у меня аналогично

    Выберите - Автообнаружение Exchange ActiveSync и попробуйте снова:

    Попытка проверить потенциальный URL-адрес автообнаружения https://autodiscover.domain.ru/AutoDiscover/AutoDiscover.xml

      Не удалось выполнить проверку потенциального URL-адреса автообнаружения.

       Этапы проверки

       Попытка разрешить имя узла autodiscover.domain.ru в службе DNS.

      Имя узла успешно разрешено.

       Дополнительные сведения

      Возвращено IP-адресов: 78.*.*.*

     

     Проверка порта TCP 443 на узле autodiscover.domain.ru, чтобы убедиться, что он прослушивается или открыт.

      Порт успешно открыт.

     Проверка SSL-сертификата на действительность.

      Сертификат прошел все требования проверки.

       Этапы проверки

       Проверка имени сертификата.

      Имя сертификата успешно проверено.

       Дополнительные сведения

      Имя узла autodiscover.domain.ru было найдено в дополнительном имени субъекта сертификата.

     

     Проверка даты сертификата для подтверждения его допустимости.

      Проверка даты выполнена. Срок действия сертификата не истек.

       Дополнительные сведения

      Сертификат действителен. NotBefore = 1/21/2011 5:55:31 AM, NotAfter = 1/20/2013 5:55:31 AM

      

     Проверка конфигурации IIS для проверки подлинности сертификата клиента.

      Проверка подлинности сертификата клиента не обнаружена.

       Дополнительные сведения

      Принятые и необходимые сертификаты клиентов не настроены.

    ^ отсюда можно заключить, что autodiscover работает... Тогда что же с /OAB (ошибка при попытке загрузки 0x8004010F)?

    26 января 2011 г. 8:43
  • У вас проблема только с загрузкой OAB ? Внутри загрузка работает ?

    Клиент не важно при этом доменный или нет.

    Какой внешний URL настроен для распространения OAB ?


    MCSE, MCITP:EMA2007
    26 января 2011 г. 11:30
  • Да проблема только с загрузкой oab. Внутри всё работает и по TCP/IP и по HTTPS.

    внутренний адрес: http://exchange.domain.local/OAB

    внешний адрес: https://mail.domain.ru/OAB

    26 января 2011 г. 11:57
  • 2. тестовая машина не в домене

    это основная причина может быть ошибки синхрогизации ОАВ.

    смотрите какая авторизация на ВиртКаталоге в ИИС. включите аноним и проверьте пашет или нет. опять таки как распространяете через ПУБ фолдер или Веб? куча нюансов!

    у меня только Веб. и иногда выдает ошибку загрузки 0х8000000А а иногда скачивается.

    далее посмотрите открывается ли прямой линк из внешки, когда вы аноним включите или надо будет авторизироваться если басик авторизация будет. явно проблема с авторизацией имхо

    26 января 2011 г. 12:38
  • Ну а авторизовавшись, к примеру через браузер, вы видите адресную книгу?

    Как опубликована OAB, какой метод авторизации используется в TMG и в IIS? Правило публикации для OAB одно с Outlook Anywhere, что говорит тест в правиле на TMG? Есть ли при скачивании книги ошибки ?


    MCSE, MCITP:EMA2007
    26 января 2011 г. 14:11
  • это основная причина может быть ошибки синхрогизации ОАВ.

    Не может это быть основной причиной ошибки. prooflink ?

    Outlook Anywhere предназначен в основном для доступа из интернета и "клиенты" не всегда доменные. К примеру, облачные хостеры exchange, для которых компьютеры клиентов опять же в домен не входят.


    MCSE, MCITP:EMA2007
    26 января 2011 г. 14:20
  • В IIS включил анонимную проверку - результат: открываю через браузер - вижу каталог guid и всё что в нём есть, из каталога OAB файлы качаются хорошо

    OAB публикуется через WEB и Общие папки (пробовал и только через веб). Правило с AnyWhere одно. Тест в TMG говорит, что всё хорошо. .

    • Изменено petru440 27 января 2011 г. 11:47
    27 января 2011 г. 5:06
  • правила публикации в TMG настроено по http://www.alexxhost.ru/2010/07/outlook-anywhere-autodiscover.html

    с сертификатами проблем нет

     

    27 января 2011 г. 9:27
  • Проведя очередной TestExchangeConnectivity обнаружил следующee:

    Попытка отправить запрос POST автообнаружения на потенциальные URL-адреса автообнаружения.

      Не удалось получить параметры службы автообнаружения при отправке запроса POST в эту службу.

       Этапы проверки

       Анализатором ExRCA выполняется попытка получения XML-ответа от службы автообнаружения с URL-адреса https://autodiscover.domain.ru/AutoDiscover/AutoDiscover.xml для пользователя admin@domain.ru.

      Анализатору ExRCA не удалось получить XML-ответ службы автообнаружения.

       Дополнительные сведения

      Получен запрещенный ответ HTTP 403. Этот ответ отправлен Unknown. Текст ответа: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

    <HTML dir=ltr><HEAD><TITLE>Не удается отобразить страницу</TITLE>

    <STYLE id=L_defaultr_1>A:link {FONT: 8pt/11pt verdana; COLOR: #ff0000}

    A:visited {FONT: 8pt/11pt verdana; COLOR: #4e4e4e}

    </STYLE><META content=NOINDEX name=ROBOTS>

    <META http-equiv=Content-Type content="text-html; charset=UTF-8">

    <META content="MSHTML 5.50.4522.1800" name=GENERATOR></HEAD>

    <BODY bgColor=#ffffff>

    <TABLE cellSpacing=5 cellPadding=3 width=410>

    <TBODY><TR>

    <TD id=L_defaultr_0 valign=middle align=left width=360>

    <H1 id=L_defaultr_2 style="FONT: 13pt/15pt verdana; COLOR: #000000"><ID id=L_defaultr_3><!--Problem-->Не удается отобразить страницу

    </ID></H1></TD></TR><TR>

    <TD width=400 colSpan=2><FONT id=L_defaultr_4

    style="FONT: 8pt/11pt verdana; COLOR: #000000"><ID id=L_defaultr_5><B>Объяснение: </B>при попытке доступа к этой странице произошла ошибка, страницу отобразить невозможно.</ID></FONT></TD></TR><TR>

    <TD width=400 colSpan=2><FONT id=L_defaultr_6

    style="FONT: 8pt/11pt verdana; COLOR: #000000">

    <HR color=#c0c0c0 noShade>

    <P id=L_defaultr_7><B>Попробуйте следующее:</B></P>

    <UL><LI id=L_defaultr_8><B>Обновление страницы:</B> выполните повторный поиск страницы, нажав кнопку "Обновить". Возможно, тайм-аут произошел из-за перегрузки Интернета.

    <LI id=L_defaultr_9><B>Проверка написания:</B> проверьте правильность написания адреса веб-узла. Возможны ошибки при вводе адреса.

    <LI id=L_defaultr_10><B>Доступ из ссылки:</B> если имеется ссылка на искомую страницу, попробуйте получить доступ к странице с помощью этой ссылки.

    </UL><HR color=#c0c0c0 noShade>

    <P id=L_defaultr_11>Технические сведения (для персонала службы поддержки)</P><UL>

    <LI id=L_defaultr_12>Код ошибки: 403 Запрет доступа. Сервер отклонил указанный URL-адрес. Обратитесь к администратору сервера. (12202)

    </UL></FONT></TD></TR></TBODY></TABLE></BODY></HTML>

    тоже самое пишет HTTP sniffer на клиенте с outlook. Где у меня косяк?

    28 января 2011 г. 11:03
  • проблема решилась соданием нового правила публикации для autodiscover.domain.ru

    • Помечено в качестве ответа petru440 28 января 2011 г. 14:29
    • Снята пометка об ответе petru440 31 января 2011 г. 5:18
    28 января 2011 г. 14:29
  • Вот что за дела?! полчаса поработало и снова сломалось!

    Итак, не работает https://autodiscover.domain.ru/autodiscover/autodiscover.xml.

    При запросе Outlook ом возвращается ответ в виде "Код ошибки: 403 Запрет доступа. Сервер отклонил указанный URL-адрес. Обратитесь к администратору сервера. (12202)". При открытии из браузера появляется окно TMG. Сама почта ходит.

    31 января 2011 г. 5:19
  • в TMG при просмотре логов по правилу публикации:

    Отклоненное соединение
    Тип журнала: Веб-прокси (обратный)
    Состояние: 12202 Компонент Forefront TMG отклонил указанный URL-адрес.
    Правило: Exchange Autodiscover
    Источник: Внешняя (78.*.*.*:49546)
    Назначение: Локальный компьютер (192.168.*.*:443)
    Запрос: POST http://autodiscover.domain.ru/autodiscover/autodiscover.xml
    Информация фильтра: Req ID: 0ba77da7; Compression: client=No, server=No, compress rate=0% decompress rate=0% ; FBA cookie: exists=no, valid=no, updated=no, logged off=no, client type=unknown, user activity=yes
    Протокол: https
    Пользователь: anonymous

    31 января 2011 г. 6:36
  • ему предшевствует:

    Разрешенное соединение
    Тип журнала: Веб-прокси (обратный)
    Состояние: 401 Нет авторизации
    Правило: Exchange Autodiscover
    Источник: Внешняя (78.31.97.44:50091)
    Назначение: Локальный компьютер (192.168.1.135:443)
    Запрос: POST http://autodiscover.domain.ru/autodiscover/autodiscover.xml
    Информация фильтра: Req ID: 0baa52bd; Compression: client=No, server=No, compress rate=0% decompress rate=0% ; FBA cookie: exists=no, valid=no, updated=no, logged off=no, client type=unknown, user activity=yes
    Протокол: https
    Пользователь: anonymous

    31 января 2011 г. 11:26
  • почему везде пользователь: anonymous?

    а проблема мне кажется в : Состояние: 401 Нет авторизации

    31 января 2011 г. 11:28
  • заработало послетого, как изменил в правиле публикации параметры делегирования проверки подлинности на "Без делегирования, но клиент может выполнять проверку подлинности"

    C точки зрения безопасности это нормально?

    • Помечено в качестве ответа petru440 1 февраля 2011 г. 6:05
    31 января 2011 г. 13:47