none
Outlook Anywhere (RPC over HTTP) RRS feed

  • Вопрос

  • Вопрос к спецам, где я ошибаюсь?

    1. Есть выделенный сервер ISA 2006 с внешним адресом, который определяется как ДОМЕН.ru и mail.ДОМЕН.ru. Сервер включен в ДОМЕН1.local.
    2. Есть сервер exchange 2007 в домене - exchange.ДОМЕН1.local.
    3. Включен Outlook Anywhere с именем внешнего узла mail.ДОМЕН.ru
    4. Из собственного центра сертификации получен сертификат на exchange.ДОМЕН1.local и установлен в IIS exchange.ДОМЕН1.local.
    5. На exchange.ДОМЕН1.local установлен proxy RPC over HTTP
    Проверка:
    C:\Program Files (x86)\Windows Resource Kits\Tools>rpccfg /hd
    Server Name Port Settings
    -----------------------------------------------------------------
    EXСHANGE                          6001-6002 6004
    exсhange.ДОМЕН1.local       6001-6002 6004

    6. На ISA 2006 создан лисанер с сертификатом из собственного центра сертификации на mail.ДОМЕН.ru. Выбран параметр HTML Form Authentication и Windows для проверки аутентификации, а так же основная аутентификация.
    7. Созданы 2 правила публикации: для OWA и для Outlook Anywhere с одинаковым лисанером (правила отличаются только путями, поэтому можно было бы ограничиться и одним правилом указав все пути).
    В правилах внешнее имя mail.ДОМЕН.ru, опубликованный узел exchange.ДОМЕН1.local
    8. В своем DNS создана зона ДОМЕН.ru с узлом А - mail
    9. Настройка Outlook у клиента вне домена ДОМЕН1.URL для подключения к прокси-серверу Exchange:
     mail.ДОМЕН.ru
    Взаимная проверка подлинности сеанса SSL при подключении msstd:mail.ДОМЕН.ru
    Проверка подлинности - обычная.
    У клиента установлены 2 сертификата. Один на mail.ДОМЕН.ru, другой  - корневой на ДОМЕН1.

    В РЕЗУЛЬТАТЕ

    OWA работает без проблем, а Outlook не подключается. Outlook /rpcdiag - отсутствует подключение. Если включить наблюдение в ISA, то видно намерение подключиться по Https, но без результатно. Внутри домена ДОМЕН1 с настройками как вне домена Outlook /rpcdiag показывает, что обнаружена ошибка сертификата прокси, поэтому подключиться не может. Но если на прокси поставить сертификат на mail.ДОМЕН.ru соединение по Https получается (внутри, снаружи нет), но, понятно, перестает работать OWA .
    Теперь я плохо соображаю, что надо сделать. Топики я вроде все читал по этой тематике, информацию с www.isadocs.ru, technet, видимо что-то упустил. Где ошибка?

    • Перемещено Hengzhe Li 18 марта 2012 г. 7:00 forum merge (От:Exchange Server 2007)
    26 ноября 2007 г. 9:36

Ответы

  • ISA 2006 умеет делать Fallback с метода Forms Based Authentication на метод Basic. Поэтому в ISA 2006 можно обойтись одним листенером.

     

    Однако возникает вопрос, как настроена аутентификация в самом Outlook и на CAS для Outlook Anywhere. Она тоже должна быть Basic, а не NTLM. Дело в том, что ISA 2006 не умеет делать NTLM делегирование. Поэтому, если хочется использовать NTLM на клиенте, нужно отключить аутентификацию на ISA и "пробрасывать" ее на CAS.

     

    Иными словами, возможно два варианта настроек:

     

    Вариант 1. Аутентификация на ISA: Forms Based или Basic. Аутентификация на CAS и на клиенте: Basic.

     

    Вариант 2: Аутентификация на ISA: No delegation but client may authenticate directly. Аутентификация на CAS и на клиенте: NTLM.

     

    Разумеется, и в том и в другом варианте имеются требования на корректность сертификатов, а именно:

     

    1) URL, используемый клиентом, обязан совпадать с одним из имен, заданных на сертификате. установленном на ISA;

    2) Если используется mutual authentication (поле msstd: на клиенте), то это имя должно совпадать с principal name на сертификате (!! - это частая причина, почему Outlook Anywhere не работает);

    3) ISA 2006 не понимает SAN сертификаты, поэтому имя, заданное в ISA для server farm (или в поле To, если server farm не используется) должно совпадать с principal name или c первым именем в списке имен на сертификате, установленном на CAS. Для ISA 2004 даже это не сработает, потому что он не умеет работать с SAN сертификатами вообще.

     

    Вот ссылка для полезного чтения:

     

    http://blogs.technet.com/isablog/archive/2007/08/29/certificates-with-multiple-san-entries-may-break-isa-server-web-publishing.aspx 

    29 ноября 2007 г. 18:22

Все ответы

  • A запись Autodiscover с указанием на ваш внешний IP сделали? можно и CN (MX например)

     

    На ваших внешних DNS естественно...

     

    Проверяли как? запускали Otlook 2007 с какими настройками...

    26 ноября 2007 г. 10:57
  • Autodiscover вообще не настраивал, так как
    "Служба автообнаружения доступна для использования клиентами Outlook 2007 и некоторыми мобильными устройствами. Ранние версии Outlook, включая Майкрософт Outlook 2003, не поддерживают службу автообнаружения."

    У меня Outlook 2003.

    Попробую настроить с Outlook 2007, но для меня это не выход.
    Настройки Outlook перечислены выше.

    "На ваших внешних DNS естественно..." - что?

    26 ноября 2007 г. 17:13
  • 6. На ISA 2006 создан лисанер с сертификатом из собственного центра сертификации на mail.ДОМЕН.ru. Выбран параметр HTML Form Authentication и Windows для проверки аутентификации, а так же основная аутентификация.

    Возможно, я ошибаюсь но вы не можете создать один listner с двумя методами сбора информации для аутентификации. Для доступа к Microsoft Outlook Web Access, вам необходимо использовать HTML Form Based Authentication. Для доступа к Outlook Anywhere, вам необходимо использовать HTTP Authentication (Basic).

    То есть вам будет необходимо необходимо создать два listner-а, один с методоv сбора информации HTML Form Based Authentication для Microsoft Outlook Web Access, второй с HTTP Authentication (Basic) для Outlook Anywhere.

    Вам понадобятся два внешних IP адреса, так как вы опять-же не сможете посадить два listner-а на один IP адрес. Также это будет две разные DNS записи такие как webmail.ДОМЕН.ru для OWA, и mail.ДОМЕН.ru для Outlook Anywhere. Дополнительно надо будет создать новый сертификат webmail.ДОМЕН.ru для или wildcard сертификат (*.ДОМЕН.ru) для обоих listener-ов.



    29 ноября 2007 г. 6:46
  • ISA 2006 умеет делать Fallback с метода Forms Based Authentication на метод Basic. Поэтому в ISA 2006 можно обойтись одним листенером.

     

    Однако возникает вопрос, как настроена аутентификация в самом Outlook и на CAS для Outlook Anywhere. Она тоже должна быть Basic, а не NTLM. Дело в том, что ISA 2006 не умеет делать NTLM делегирование. Поэтому, если хочется использовать NTLM на клиенте, нужно отключить аутентификацию на ISA и "пробрасывать" ее на CAS.

     

    Иными словами, возможно два варианта настроек:

     

    Вариант 1. Аутентификация на ISA: Forms Based или Basic. Аутентификация на CAS и на клиенте: Basic.

     

    Вариант 2: Аутентификация на ISA: No delegation but client may authenticate directly. Аутентификация на CAS и на клиенте: NTLM.

     

    Разумеется, и в том и в другом варианте имеются требования на корректность сертификатов, а именно:

     

    1) URL, используемый клиентом, обязан совпадать с одним из имен, заданных на сертификате. установленном на ISA;

    2) Если используется mutual authentication (поле msstd: на клиенте), то это имя должно совпадать с principal name на сертификате (!! - это частая причина, почему Outlook Anywhere не работает);

    3) ISA 2006 не понимает SAN сертификаты, поэтому имя, заданное в ISA для server farm (или в поле To, если server farm не используется) должно совпадать с principal name или c первым именем в списке имен на сертификате, установленном на CAS. Для ISA 2004 даже это не сработает, потому что он не умеет работать с SAN сертификатами вообще.

     

    Вот ссылка для полезного чтения:

     

    http://blogs.technet.com/isablog/archive/2007/08/29/certificates-with-multiple-san-entries-may-break-isa-server-web-publishing.aspx 

    29 ноября 2007 г. 18:22
  • Можно использовать и одно правило и один прослушиватель.

    Тем не менее.
    Пробовал реализовать совет http://forums.microsoft.com/TechNet-RU/ShowPost.aspx?PostID=1185826&SiteID=40

    У меня все равно не получается с удаленным подключением Outlook, а вот из своей сети (домена) сделав сертификат 
    по рекомендации получил подключение по Https и с Outlook /rpcdiag (в настройках прокси https:// mail.домен.ru) и с OWA (по url - https:// mail.домен.ru).

    В сертификате есть строки

    Субъект
    CN = mail.домен.ru

    Имя шаблона
    WebServer

    Дополнительное имя субъекта

    DNS-имя=mail.домен.ru
    DNS-имя=autodiscover.домен.ru
    DNS-имя=exhange
    DNS-имя=exhange.домен.local

    А как должно быть правильно?
    Этот же сертификат используется с вебпрослушивателем на ISA и у клиента. Везде стоит аутентификация Basic.
    По ссылке информацию еще не читал.
    30 ноября 2007 г. 7:40