none
DAG, NLB+CAS RRS feed

  • Общие обсуждения

  •    Доброго дня!

    Домен 2008Р2

    cas1и cas1 имена серверов с установленной ролью клиентского доступа

    cas имя массива.

    mail.domain.ru внешнее имя для подключения OWA и т.д.

     

    подскажите как настраивать пути в самом эксч, как я понял нужно делать так:

    на первом сервере cas1 owa (Default Web Site)

    Internal URL: https://cas.domain.local/owa

    External URL: https://mail.domain.local/owa

    Я правильно понял что внутренне имя указываем имя массива клиентского доступа на обоих серверах ? или же все таки на каждом сервере внутренний URL самих серверов Internal URL: https://cas1.domain.local/owa и Internal URL: https://cas2.domain.local/owa ?

     

    Также вызвал затруднение вопрос по настройки ОАВ на массиве. Создалась ОАВ по умолчанию, генерирует ОАВ один из серверов mailbox1. Я тупо в св-вах ОАВ web-based distribution добавил два сервера cas1 и cas2. Создал еще одну ОАВ генерирует ее уже другой сервак mailbox2, web-based distribution добавил два сервера cas1 и cas2. что то мне кажется это не особо правильно ? подскажите как правильно ?)

     

    И последний вопросик по поводу публикации OWA и Outlook Anywhere на ТМГ, если выбрать делегирование аутентификации по kerberos, то какой SPN указывть, т.е. и массива NLB нет учетной записи компьютера и нет SPN, тут как правильно настраивать ?

     

    заранее благодарен !


    6 апреля 2011 г. 10:24

Все ответы

  • почитал это 
    http://technet.microsoft.com/en-us/library/ff808312.aspx 
    http://technet.microsoft.com/en-us/library/ff808311.aspx 

    не зря я вчера создал учетку компа cas.domain.local 
    Код:

    C:\Windows\system32>setspn -L cas 
    Registered ServicePrincipalNames for CN=CAS,CN=Computers,DC=rir,DC=local: 
            exchangeAB/cas.rir.local 
            exchangeAB/cas 
            exchangeRFR/cas.rir.local 
            exchangeRFR/cas 
            exchangeMDB/cas.rir.local 
            exchangeMDB/cas 
            http/cas 
            http/cas.rir.local 


    далее запустил скрипт 

    Код:

    .\RollAlternateserviceAccountPassword.ps1 -ToArrayMembers cas.rir.local -GenerateNewPasswordFor "rir\cas$" -Verbose 


    вроде выполнилось без ошибок 
    далее проверил 
    Код:

    [PS] C:\Windows\system32>Get-ClientAccessServer -IncludeAlternateServiceAccountCredentialStatus | fl name,*alter* 


    Name                                 : CAS1 
    AlternateServiceAccountConfiguration : Latest: 08.04.2011 14:04:21, rir\cas$ 
                                           Previous: 08.04.2011 14:02:35, rir\cas$ 

    Name                                 : CAS2 
    AlternateServiceAccountConfiguration : Latest: 08.04.2011 14:04:08, rir\cas$ 
                                           Previous: 08.04.2011 14:02:15, rir\cas$ 



    [PS] C:\Windows\system32> 


    OWA работает, глушил один cas1 и наоборот.... 
    а вот rpc over https не работает, вводишь пароль и окошко заново вылетает с предложением ввести пароль
    8 апреля 2011 г. 13:21
  • Также вызвал затруднение вопрос по настройки ОАВ на массиве. Создалась ОАВ по умолчанию, генерирует ОАВ один из серверов mailbox1. Я тупо в св-вах ОАВ web-based distribution добавил два сервера cas1 и cas2. Создал еще одну ОАВ генерирует ее уже другой сервак mailbox2, web-based distribution добавил два сервера cas1 и cas2. что то мне кажется это не особо правильно ? подскажите как правильно ?)
    Зачем вторую OAB создавали? Если она точно такая же как первая, то это излишество.
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    8 апреля 2011 г. 14:36
    Модератор
  • И последний вопросик по поводу публикации OWA и Outlook Anywhere на ТМГ, если выбрать делегирование аутентификации по kerberos, то какой SPN указывть, т.е. и массива NLB нет учетной записи компьютера и нет SPN, тут как правильно настраивать ?
    SPN вы уже создали и в TMG указывайте NLB имя
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    8 апреля 2011 г. 14:46
    Модератор
  • да опубликовано все на массив , логи винды особо ничего не говорят

    вот логи с ТМГ 

    Код:

    Allowed Connection TMG 10.04.2011 8:33:18 
    Log type: Web Proxy (Reverse) 
    Status: 200 OK. 
    Rule: Outlook 
    Source: External (192.168.0.10:49269) 
    Destination: Local Host (192.168.10.10:443) 
    Request: POST http://autodiscover.rir.ru/autodiscover/autodiscover.xml 
    Filter information: Req ID: 04f02708; Compression: client=No, server=No, compress rate=0% decompress rate=0% 
    Protocol: https 
    User: rir\kirimey 
     Additional information 
    Client agent: Microsoft Office/12.0 (Windows NT 6.1; Microsoft Office Outlook 12.0.6425; Pro) 
    Object source: Internet (Source is the Internet. Object was added to the cache.) 
    Cache info: 0x40020008 (Request includes the AUTHORIZATION header. Response includes the CACHE-CONTROL: PRIVATE header. Response should not be cached.) 
    Processing time: 1078 MIME type: text/xml; charset=utf-8 
      

    Allowed Connection TMG 10.04.2011 8:33:50 
    Log type: Web Proxy (Reverse) 
    Status: 403 Forbidden 
    Rule: Outlook 
    Source: External (192.168.0.10:49275) 
    Destination: Local Host (192.168.10.10:443) 
    Request: RPC_OUT_DATA http://mailserver.rir.ru/rpc/rpcproxy.dll?cas.rir.local:6002 
    Filter information: Req ID: 04f0271d; Compression: client=No, server=No, compress rate=0% decompress rate=0% 
    Protocol: https 
    User: rir\kirimey 
     Additional information 
    Client agent: MSRPC 
    Object source: Internet (Source is the Internet. Object was added to the cache.) 
    Cache info: 0x44000008 (Request includes the AUTHORIZATION header. Response includes the WWW-AUTHENTICATE header. Response should not be cached.)
    Processing time: 16 MIME type: text/html 



    Failed Connection Attempt TMG 10.04.2011 8:33:50 
    Log type: Web Proxy (Reverse) 
    Status: 64 The specified network name is no longer available.  
    Rule: Outlook 
    Source: External (192.168.0.10:49274) 
    Destination: Local Host (192.168.10.10:443) 
    Request: RPC_IN_DATA http://mailserver.rir.ru/rpc/rpcproxy.dll?cas.rir.local:6002 
    Filter information: Req ID: 04f0271a; Compression: client=No, server=No, compress rate=0% decompress rate=0% 
    Protocol: https 
    User: rir\kirimey 
     Additional information 
    Client agent: MSRPC 
    Object source: Internet (Source is the Internet. Object was added to the cache.) 
    Cache info: 0x8 (Request includes the AUTHORIZATION header.) 
    Processing time: 16 MIME type: 
    10 апреля 2011 г. 4:50
  • По поводу того, какие имена надо прописывать на касах в NLB http://technet.microsoft.com/en-us/library/bb310763.aspx  (если коротко то http://img69.imageshack.us/i/capturenj.png/ )

    По публикации, буквально на выходных "бодался" с этим вопросом.

    во внешнем DNS есть обе записи -  mailserver.rir.ru  и  autodiscover.rir.ru?

    На TMG, в визарде по публикации RPC over HTTPS, выбираешь 2010 Excahnge и чекбокс "RPC over HTTPS" и там есть второй, в этомже разделе, дословно не помню, что-то типа поддержка  2007 клиентов - его тоже надо выбрать, кроме RPC, он добавляет в публикующее правило еще несколько каталогов, главное - EWS и AutoDiscover. (или можно добавить руками,  если визардом уже все сделал). Дальше проверь внешнее имя, в этом правиле - оно должно быть во внешнем DNS прописано (в моем случае стоит AutoDiscover.мой.домен),  внутреннее имя - имя массива (на этом сервере оно должно резолвится). На вкладке Authentication delegation -  выбираешь  "no delegation, but client may access directly" и самое главное, вкладка Users - оставить только "All Users".

    У меня Outlook Anywhere завелся только в такой конфигурации.

    10 апреля 2011 г. 18:28
  • так заработал Outlook, а насколько это безопасно? , ежели когда в правиле стоит Authentication delegation - kerberos , Users - All Authenticated Users
    11 апреля 2011 г. 4:23
  • так заработал Outlook

    Это вопрос или утверждение?

    Я проверил свою конфигурацию, у меня в правиле Outlook Anywhere прописаны 2 внешних имени - mail.мой.домен и autodiscover.мой.домен

    11 апреля 2011 г. 5:42
  • я имею ввиду что с такими настройками правила публикации Оутлук заработал, это утверждение, а вопрос в следующим:

     а насколько это безопасно? , ежели когда в правиле стоит Authentication delegation - kerberos , Users - All Authenticated Users

     

    11 апреля 2011 г. 8:40
  • самое ни на есть что безопасное. лучше чем олл юзерс

    11 апреля 2011 г. 10:39
  • ну с такими настройками  Authentication delegation - kerberos , Users - All Authenticated Users  Outlook Anywhere не подключается

    буду ковырять на досуге.... 

    11 апреля 2011 г. 11:15
  • ну с такими настройками  Authentication delegation - kerberos , Users - All Authenticated Users  Outlook Anywhere не подключается

    буду ковырять на досуге.... 

    Так тоже работает, но Вы должны учитывать несколько весщей.

    1. Придется отказаться от удобной и красивой формочки в для ввода логина и пароля про доступе на OWA (из нее кстати, пользователь может поменять себе пароль)

    2. Керберос очень чувствителен к качеству сети.

    3. Для его использования нужно дополнительная настройка в домене.

    4. Нужна дополнительная настройка настройка CAS серверов в NLB.

    Если все это устраивает, милости просим - http://www.microsoft.com/downloads/en/details.aspx?FamilyID=040b31a0-9a69-4278-9808-e52f08ffaee3

    11 апреля 2011 г. 11:46
  • от приятной картинке не придется отказываться, т.к у меня два слушателя с разными внешними IP , один HTML form auth, второй HTTP auth

     

     http://www.microsoft.com/downloads/en/details.aspx?FamilyID=040b31a0-9a69-4278-9808-e52f08ffaee3

    в этом описание говориться, при публикации в правиле указывать  Authentication delegation - kerberos  -  http/*, так правило проверку не проходит... когда указываю http/cas.rir.local - правило тест проходит, но Оутлук не коннектиться 

    http://technet.microsoft.com/en-us/library/ff808312.aspx  в этой статье описывается  создание аккаунта привязки к нему SPN, далее описывается запуск скрипта и мы получаем

    [PS] C:\Windows\system32>Get-ClientAccessServer -IncludeAlternateServiceAccountCredentialStatus | fl name,*alter*

    Name                                 : CAS1

    AlternateServiceAccountConfiguration : Latest: 08.04.2011 14:04:21, rir\cas$

                                           Previous: 08.04.2011 14:02:35, rir\cas$


    Name                                 : CAS2

    AlternateServiceAccountConfiguration : Latest: 08.04.2011 14:04:08, rir\cas$

                                           Previous: 08.04.2011 14:02:15, rir\cas$

    [PS] C:\Windows\system32>

     

    что то я уже запутался.... получается мне не надо было запускать скрипт ? или надо, т.к. внутри сети клиенты общаются напрямую с массивом CAS


    11 апреля 2011 г. 12:46
  • теперь на правиле публикации Оутлука стоит Authentication delegation - kerberos , Users - All Authenticated Users 
    http/* 
    правило тест не проходит, НО Оутлук подключается

    Создавать учетные данные альтернативной учетной записи службы надо в любом случае ? можете пояснить, а то я тут уже запутался...... 

    11 апреля 2011 г. 14:34
  • kirimey, удалось ли вам решить вопрос?
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
  • наладил у себя такую же фенечку.

    конфа такая (версии 2008 SP2 + 2010 sp1 without rollup2&3):

    • cas1+Hub, cas2+Hub - OWA, Anywhere, ActiveSync
    • Mailbox (noPubFldr) 2008R2
    • Split DNS
    • TMG SP1

    настроил NLB без всяких изменений IP. т.е. все интерфейсы имеют ЛАН IP. (IPlan1=192.168.100.1 IPnlb1=192.168.100.3; IPlan2=192.168.100.2 IPnlb2=192.168.100.4 - IP_NLB=192.168.100.55)

    настроил ClientAccessArray & MailboxDatabase.

    В ДНС внешней зоне содал А=nlb.domen.com=192.168.100.55

    записи cas1 И cas2 указывают на IPlan1=192.168.100.1, IPlan2=192.168.100.2 для быстрого реагирования в случай чего.

    изменил autodiscover и mail на CNAME и указываю их на nlb.domen.com=192.168.100.55

    если какой косяк, как в случае наладки kerberos, то бысро делаем autodiscover и mail на запись cas1 или cas2.

    оставил Делегейшен для Керба на обоих CAS получил облом в виде постоянно вылетающего запроса пароля. Ну это и было понятно, уже на этапе настройки я понимал, что это криво для Керба, как же мне делегацию делать?

    на выходные оставил все в варианте - на случай чего, и, направил трафик тупо на старый CAS.

    дома вспомнил что где то я отписывался в форуме, и вот оно. открыл статью указанную kirimey.

    создал запись компа mail. удалил все SPN на СASах. создал новые на для mail. запустил скрипт. вернул в ДНС записи сослав их на nlb.domеn.com

     

    и вуаля! ни каких изменений в правиле для Anywhere и других. Делегация для Керба стоит http/autodiscover.domen.com и http/mail.domen.com

    А! у меня NLB имя mail.domen.local (Не .com) хотя я думаю при Split DNS разницы не будет.

     

    PS: спасибо за статью-) я что то на нее не сразу набрел...еще подумал странно МС делает НЛБ а какже без статьи для Керба в случае НЛБ???? плохо искал!

     

  • хотя один БАГ так и остался! до сих пор при смене имени (сервера) для RPCClient в настройках Outlook оно не изменяется! т.е. у всех стоит опять старое имя cas1.domen.local

    и только при создание нового профиля в аутлуке получем mail.domen.local и видим в Connection Status пл ctrl+RClick положенное имя NLB mail.domen.local

    :( до сих пор нет заплатки. в прошлый раз когда полетел сервер cas пришлось ставить новый но ни один клиент не подцепил его имя. пришлось в ручную шаманить.

    и это происходит и сейчас! команда по офису не пофиксила этот баг.

  • вот поэтому  я всегда и использую алиасы )) 
  • алиасы это хорошо. эхх...чтобы теперь такого замутить интересного?-))) жалко в кризис филиалы подохли, теперь и сайтов нет, а без них както все однообразно.
  • у тебя все опубликовано через TMG ? Аутентификация по kerberos

    Я вот пробую изучать UAG 2010


  • да на ТМГ и керберос. УАГа хорошая штука, но пока не до него-)

    5 августа 2011 г. 12:29