none
Не работает Outlook c Exchange RRS feed

  • Вопрос

  • пишет ошибку сертификата, хотя все необходимые меры сделал добавил msstd:*domen.com

    анализатор показывает:

    Анализатор Microsoft Connectivity Analyzer пытается получить XML-ответ от службы автообнаружения с URL-адреса https://domen.com/AutoDiscover/AutoDiscover.xml для пользователя user@domen.com.
      Анализатору Microsoft Connectivity Analyzer не удалось получить XML-ответ службы автообнаружения.
     
    Подробнее
     
    От удаленного сервера Unknown получен HTTP-ответ "401 Несанкционированный". Обычно это происходит в результате ошибки в имени пользователя и пароле. Если вы пытаетесь войти в службу Office 365, убедитесь, что вы используете полное имя пользователя-субъекта (UPN).
    Получены заголовки:
    Connection: keep-alive
    request-id: b44012a3-5b91-4397-b76b-f8a5075e35e8
    X-CasErrorCode: UnauthenticatedRequest
    X-FEServer: EXSERV
    Content-Length: 0
    Cache-Control: private
    Date: Mon, 03 Feb 2014 07:38:59 GMT
    Server: nginx/1.0.6
    WWW-Authenticate: Digest qop="auth",algorithm=MD5-sess,nonce="+Upgraded+v1f64247e52c913b853a7abefbfb82770543747600b320cf0175ec5e24a7583a4da12311d69bfa1f1c50f1ea662e8961a7f840c5d1d39660f4",charset=utf-8,realm="Digest"
    X-AspNet-Version: 4.0.30319
    X-Powered-By: ASP.NET

    Затраченное время: 985 мс. 

    Анализатору Microsoft Connectivity Analyzer не удалось получить XML-ответ службы автообнаружения.
     
    Подробнее
      Сведения об исключении:
    Сообщение: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.
    Тип: System.Net.WebException
    Трассировка стека:
    at System.Net.HttpWebRequest.GetResponse()
    at Microsoft.Exchange.Tools.ExRca.Extensions.RcaHttpRequest.GetResponse()
    Сведения об исключении:
    Сообщение: The remote certificate is invalid according to the validation procedure.
    Тип: System.Security.Authentication.AuthenticationException
    Трассировка стека:
    at System.Net.Security.SslState.StartSendAuthResetSignal(ProtocolToken message, AsyncProtocolRequest asyncRequest, Exception exception)
    at System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult)
    at System.Threading.ExecutionContext.RunInternal(ExecutionContext executionContext, ContextCallback callback, Object state, Boolean preserveSyncCtx)
    at System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state, Boolean preserveSyncCtx)
    at System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state)
    at System.Net.TlsStream.ProcessAuthentication(LazyAsyncResult result)
    at System.Net.TlsStream.Write(Byte[] buffer, Int32 offset, Int32 size)
    at System.Net.PooledStream.Write(Byte[] buffer, Int32 offset, Int32 size)
    at System.Net.ConnectStream.WriteHeaders(Boolean async)

    3 февраля 2014 г. 7:46

Ответы

  • Хаха.....ребята, заработало testconnectivity прошел успешно!Все что я сделал поменял Активацию с дайджеста на басик!Но, после того как я сделал Digest $False, а Basic $True, на запрос https://mail.domen.com/autodiscover/autodiscover.xml он мне выдвал виндовую аутентификацию, пришлось ее вырубить!А теперь интересное внутренний доменный пользователь запускаю Outlook внутри домена просит логин и пароль!Как в Autodiscover поменять параметр для InternalAuthenticationMethods сделать WindowsAuth, а для ExternaAuthenticationMethods Basic!?
    5 февраля 2014 г. 7:20

Все ответы

  • Подключение внешнее или внутреннее (в домене)? 

    Сертификат какой используете?


    Do not multiply entities beyond what is necessary

    3 февраля 2014 г. 7:52
  • Подключение внутренне в домене, сертификат используется wildcard типа *domen.com

    Еще такой вопрос если смотреть в ECP то сертификата для служб IMAP, POP нет, создавать для них самодподписанный, все сертификаты которые были созданы при установке exchange я грохнул

    3 февраля 2014 г. 10:52
  • У вас домен .local а в сертификат *.domain.com 

    Для внутреннего использования необходимо создать запрос сертификата Exchange и выпустить его внутренним ЦС (если его нет - развернуть). wildcard используйте для внешнего доступа.

    И не надо было удалять все сертификаты Exhcnage. Там есть те, которые лучше бы вообще не трогать.


    Do not multiply entities beyond what is necessary

    3 февраля 2014 г. 10:58
  • есть еще программе специальная по тесту подключения, незнаете где взять?

    Самое главное забыл сказать есть relay из freebsd на котором тоже установлен сертификат, но не тот, щас пока не представляется возможным подставить тот кототрый я выпустил с своего PKI.......поэтому скорее всего из за этого наверное и не состыковки?

    3 февраля 2014 г. 11:00
  • на скриншоте у вас "проверка автоконфигурации электронной почты". При запущенном Outlook правый клик по значку в трее с нажатым "Ctrl" и выбрать из контекстного меню.

    Relay на клиентский доступ не влияет никак. Только та транспортировку почты из/в интернет.


    Do not multiply entities beyond what is necessary

    3 февраля 2014 г. 11:13
  • Первая ошибка про несовпадения имен ушла и Outlook к Exchange приконнектился, но!Автообнаружение так и не работает, помогите ребята я уже в конец запутался, если обращатся к XML по внутреннему или внешнему адресу то все нормально, возвращает ошибку 600 значит доступ к XML есть, а тут лог пишет что httpStatus=401, я так понимаю что доступ запрещен....почему??

    4 февраля 2014 г. 7:55
  • уберите все галочки при проверке автоконфигурации. Укажите валидное имя пользователя и пароль.

    Выполните командлет Get-AutodiscoverVirtualDirectory | FL

    Посмотрите какие методы аутентификации разрешены, а так же Internal и Excternal URL.


    Do not multiply entities beyond what is necessary

    4 февраля 2014 г. 8:10
  • Я выставлял дайджеста, может другие убрать....

    А кстати вот URL

    Они пустые!!!

    4 февраля 2014 г. 9:26
  • У вас не сконфигурирована служба автообнаружения. 

    Методы аутентификации

    URL's


    Do not multiply entities beyond what is necessary

    4 февраля 2014 г. 9:35
  • для Внешнего доступа мне обязательно нужен Дайджест, поэтому виндовс и обычная не подходит, а анонимная тем более
    4 февраля 2014 г. 9:40
  • для autodiscover? Digest? хм.. ну разрешите ее. Через EMS. Не забудьте после изменения сделать iisreset

    Do not multiply entities beyond what is necessary

    4 февраля 2014 г. 9:43
  • Делаю так 

    Set-AutoDiscoverVirtualDirectory -Identity autodiscover(default web site) -WindowsAuthentication $false -BasicAuthentication $false -DigestAuthentication $true

    Он ее исполняет делаю iisreset и все опять на месте!

    пытаюсь еще так

    Set-AutoDiscoverVirtualDirectory -Identity autodiscover(default web site) -InternaUrl https://exchange.local а он отвечает что не может найти параметр internalurl

    Уже EMS и от админа запускал бестолку,а через менеджер IIS нельзя это сделать

    И почему в менеджере IIS у меня стоят методы проверки подлинности одни а тут другие?Они же как то должны быть связаны....

    4 февраля 2014 г. 10:28
  • Через EMS не получится сконфигурировать URL. Посмотрите статью которая поможет вам сделать правильную конфигурацию.

    Do not multiply entities beyond what is necessary

    4 февраля 2014 г. 11:19
  • Видимо да, цитата из статьи: "Setting the InternalURL and ExternalURL on the Autodiscover Virtual Directory is not required, and has no effect on your configuration."

    Да, я Жук, три пары лапок и фасеточные глаза :))


    4 февраля 2014 г. 13:18
    Модератор
  • Из прочитанного ясно что для службы автообнаружения можно задать только одну запись либо domen.local либо  domen.com, вслучаи если внешние и внтуренние имена отличаются то пишет в параметр AutoDiscoverServiceInternalUri  domen.com а для внутренней сети созадем SRV записи?Так?
    4 февраля 2014 г. 13:24
  • Все заработало клиент внутри нашел свои параметры для подключения к Exchange, но testconnectivity по прежнему кажет ошибку, как только я поменял AutoDiscoverServiceInternalUri на domen.com он начал запрашивать постоянно логин и пароль и в конце концов сказ что нет возможности подключится, то есть он пытался подклчится уже по внешнему адресу. Как это урегулировать?Как сказать клиентам в внутренней сети ходить  domen.local?И еще маленький ньюанс почему скорее всего не работает дайджест почему он раз пять просит пароль а в конце не пускает, скорее всего это из за FreeBSD, именно через нее сейчас настроено проксирование на внутр адрес чанги сервера, есть практика публикации Outlook AnyWhere через FreebSD?
    4 февраля 2014 г. 13:36
  • Цитаты:

    1. "Machines that are not domain joined or are outside of the corporate network cannot get to AD to issue any queries.  For such scenarios DNS name resolution to well known names is the only way to locate the Autodiscover endpoint.  As covered on more detail here the flow looks like this:

    With this update installed the SRV query is added:

    • https://<<var>smtpdomain</var>>/Autodiscover/Autodiscover.xml

    • https://autodiscover.<<var>smtpdomain</var>>/Autodiscover/Autodiscover.xml

    • http://autodiscover.<<var>smtpdomain</var>>/Autodiscover/Autodiscover.xml

    • SRV record query for _autodiscover._tcp.<smtpdomain>"

    2. "For external domain joined machines, or those in a workgroup they both have no method to directly query AD for the SCP so they will only use DNS to locate the Autodiscover endpoint. Again this is mentioned in the previous Autodiscover post."?


    Да, я Жук, три пары лапок и фасеточные глаза :))

    4 февраля 2014 г. 13:55
    Модератор
  • Все получается ровным счетом наоборот?Для местных машин DNS запись а для внешних DNS и SRV запись
    4 февраля 2014 г. 14:57
  • :( К сожалению, я совсем не владею английским. Но во второй цитате, приведённой в предыдущем сообщении говорится, что для внешних и рабочих групп используется только DNS ;)

    Да, я Жук, три пары лапок и фасеточные глаза :))


    4 февраля 2014 г. 16:02
    Модератор
  • Моей английский хуже вашего явно и я чето в конец запутался!Мой перевод такой: для Машин которые не могут делать запросы к AD и получать сведения по SCP записи, для них нужно использовать след сценарий: 1. .... 2. .... 3. ...

    И дальше во втором обзаце он говорит про опять же них про машины External или машины рабочей группы они не имеют метода загрузки запросов в AD и т.д.

    Сегодня пробую сделать SRV запись для своего домена, потом отпишусь!

    И позову переводчика, у нас он тут есть на работе :)

    • Изменено NVHOST 5 февраля 2014 г. 4:04
    5 февраля 2014 г. 4:03
  • Не совсем так. Сценарий использует почтовый клиент, перебирая указанные URL. Не найдя xml файла по указанным URL клиент использует SRV запись в DNS. 

    Do not multiply entities beyond what is necessary

    5 февраля 2014 г. 4:31
  • И самое главное, не забудьте не только поделиться результатом, но отметить сообщения нашего Сообщества, то которое на Ваш взгляд помогло Вам в решении задачи. Проголосовав за соответствующее сообщение нажав "Голосование" или\и "Пометить как ответ".

    С нетерпением ждём результата, а то обсуждение уже превратилось в свиток :))


    Да, я Жук, три пары лапок и фасеточные глаза :))

    5 февраля 2014 г. 4:31
    Модератор
  • От удаленного сервера Unknown получен HTTP-ответ "401 Несанкционированный". Обычно это происходит в результате ошибки в имени пользователя и пароле. Если вы пытаетесь войти в службу Office 365, убедитесь, что вы используете полное имя пользователя-субъекта (UPN).
    Получены заголовки:
    Connection: keep-alive
    request-id: 479b2f89-1dc4-41f9-8d36-ad6c3679acca
    Date: Wed, 05 Feb 2014 04:34:42 GMT
    Server: nginx/1.0.6
    WWW-Authenticate: Digest qop="auth",algorithm=MD5-sess,nonce="+Upgraded+v1f64247e52c913b853a7abefbfb82770577e663972b22cf01a61ffc072269e233d923434174aa51252b6e20d95cb364c62fce58ff6b61be24",charset=utf-8,realm="Digest",Negotiate,NTLM
    X-Powered-By: ASP.NET
    X-FEServer: EXSERV
    Content-Length: 0

    У меня по прежнему валятся ошибки!ТО есть вы хотите сказать даже если я сейчас добавлю SRV запись то это ничего не даст?Почему тогда ошибки?МОжет все таки нельзя использовать в качестве публикации FreeBSD?

    5 февраля 2014 г. 4:44
  • Как вариант попробуйте в качестве публикующего сервера поднять обратный прокси на базе IIS ARR.

    Do not multiply entities beyond what is necessary

    5 февраля 2014 г. 5:11
  • Вы обещали привести настоящего переводчика ;) :)) который поможет с переводом всей предложенной Вам статьи, в которой не только объясняется на примерах такое поведение, но и даны рекомендации по устранению.

    Да, я Жук, три пары лапок и фасеточные глаза :))

    5 февраля 2014 г. 5:13
    Модератор
  • А я думаю все дело именно в аутентификации, я же использую не стандартные настройки, а Дайджест!Надо выяснить при дайджесте каким юзером он пытается получить доступ к папке, мне кажется что в этом вся проблема!Попробую поменять аутентификации и подобовлять группы пользвоателей!

    5 февраля 2014 г. 5:30
  • Хаха.....ребята, заработало testconnectivity прошел успешно!Все что я сделал поменял Активацию с дайджеста на басик!Но, после того как я сделал Digest $False, а Basic $True, на запрос https://mail.domen.com/autodiscover/autodiscover.xml он мне выдвал виндовую аутентификацию, пришлось ее вырубить!А теперь интересное внутренний доменный пользователь запускаю Outlook внутри домена просит логин и пароль!Как в Autodiscover поменять параметр для InternalAuthenticationMethods сделать WindowsAuth, а для ExternaAuthenticationMethods Basic!?
    5 февраля 2014 г. 7:20