none
Проблема с публикацией Exchange 2010 OWA на TMG (авторизация проходит со второго раза) RRS feed

  • Вопрос

  • Добрый день.

    Exchange 2010 OWA опубликован на TMG SP1 стандартным образом через Exchange Publishing Rule Wizard.

    OWA опубликован как https://mail.domain.ru/OWA

    При открытии https://mail.domain.ru/OWA открывается страница авторизации OWA: 

    https://mail.domain.ru/CookieAuth.dll?GetLogon?reason=0&formdir=1&curl=Z2FowaZ2F

    Ввожу верные логин и пароль, Enter - вход не происходит, введенные данные стираются из полей и открывается та же страница авторизации OWA, но уже по другой ссылке:

    https://mail.domain.ru/OWA/auth/logon.aspx?replaceCurrent=1&url=https%3a%2f%2fmail.domain.ru%2fOWA%2f

    Здесь уже авторизация проходит с первого раза.

     

    Из локальной сети OWA доступен по тому же имени,  mail.domain.ru разрешается во внутренний адрес. Так вот, если открывать https://mail.domain.ru/OWA/ из локальной сети, то сразу открывается 

    https://mail.domain.ru/OWA/auth/logon.aspx?replaceCurrent=1&url=https%3a%2f%2fmail.domain.ru%2fOWA%2f

    и все нормально.

     

    В чем проблема, коллеги?

     

Ответы

  • Нужно отключить Form-based аутентификацию на самом Exchange, а на TMG для веб-листенера настроить HTML Form аутентификацию и в правиле публикации на authentification delegation выбрать Basic.

    То есть клиент получает форму аутентификации от TMG, и дальше уже TMG передает учетные данные Exchange.

    Либо наоборот - для листенера сделать No Authentification, в правиле - No Authentification, but clients can authentificate directly, а на сервере оставить Form-based. Тогда клиенты не будут аутентифицироваться на TMG, а будут уже на сервере - но это считается менее секьюрно.

     

    У вас же получается, что клиент получает форму аутентификации от TMG, а потом такую же форму уже от Exchange. Это можно даже проверить: при первом вводе пароля на форме будет картинка "Powered by Forefront TMG", а потом она исчезнет.


    MVP: Virtual Machine
    • Помечено в качестве ответа Valery Grishko 19 мая 2011 г. 14:28
  • Проблема решалась.

    Дело было в том, что на закладке Users было указано All Authenticated Users. Поставил All Users и все заработало как надо.

    Спасибо!

    • Помечено в качестве ответа Valery Grishko 19 мая 2011 г. 14:29

Все ответы

  • Нужно отключить Form-based аутентификацию на самом Exchange, а на TMG для веб-листенера настроить HTML Form аутентификацию и в правиле публикации на authentification delegation выбрать Basic.

    То есть клиент получает форму аутентификации от TMG, и дальше уже TMG передает учетные данные Exchange.

    Либо наоборот - для листенера сделать No Authentification, в правиле - No Authentification, but clients can authentificate directly, а на сервере оставить Form-based. Тогда клиенты не будут аутентифицироваться на TMG, а будут уже на сервере - но это считается менее секьюрно.

     

    У вас же получается, что клиент получает форму аутентификации от TMG, а потом такую же форму уже от Exchange. Это можно даже проверить: при первом вводе пароля на форме будет картинка "Powered by Forefront TMG", а потом она исчезнет.


    MVP: Virtual Machine
    • Помечено в качестве ответа Valery Grishko 19 мая 2011 г. 14:28
  • Все так и было, "Powered by Forefront TMG", спасибо.

    Только после того как я сделал для листенера No Authentification и в правиле No delegation, but clients can authentificate directly страница OWA не открывается вообще:

    Error Code: 403 Forbidden. The server denied the specified Uniform Resource Locator (URL). 

  • а в правиле аутенфикацию выключил? там аутенфикация есть и в листенере и в правиле
    Отвечающий
  • В правиле есть Authentication Delegation, там я поставил No delegation, but clients can authentificate directly.
  • Проблема решалась.

    Дело было в том, что на закладке Users было указано All Authenticated Users. Поставил All Users и все заработало как надо.

    Спасибо!

    • Помечено в качестве ответа Valery Grishko 19 мая 2011 г. 14:29
  • Проблема решалась.

    Дело было в том, что на закладке Users было указано All Authenticated Users. Поставил All Users и все заработало как надо.

    Спасибо!


    это и есть аутенфикация в правиле (не путать с делегирование аутенфикации), all users считается как анонимус, то есть без аутенфикации, а любые другие  записи уже требуют аутенфикации.с обычными access правилами тоже самое.
    Отвечающий