none
сертификаты и публикация activesync и autodiscover через TMG RRS feed

  • Общие обсуждения

  • Собственно начнем с сертификатов.

    Установлен центр сертификации в домене(win2012). Через консоль управления Exchange 2013 запрошен сертификат.

    Но, там есть возможность запроса только *.firma.ru

    а хотелось бы с перечислением имен, т.к. есть клиенты вин XP, которые дальше первого имени при локальном подключении не лазят, и из-за этого имеют некоторые неудобства при работе с 2013 сервером

    ну и для публикации на TMG насколько я понимаю нужно именно перечисление альтернативных имен

    3 марта 2015 г. 12:10

Все ответы

  • Через веб-форму не пробовали выпускать сертификат? Или у вас не развернута служба роли соответствующая?

    И потом, использование сертификата, выпущенного внутренним центром не даст полноценных возможностей для внешнего доступа. По крайней мере вам придется ручками устанавливать сертификат вашего СА на каждый девайс, с которого предполагается осуществлять внешний доступ.


    Do not multiply entities beyond what is necessary


    • Изменено Dmitry.I 3 марта 2015 г. 12:18
    3 марта 2015 г. 12:15
  • клиентов не так много, поставить сертификат CA не проблема

    через вэб-форму не активна галка - пометить ключ как экспортируемый

    • Изменено modd 3 марта 2015 г. 12:36
    3 марта 2015 г. 12:24
  • Для TMG подойдет и wildcard сертификат. Но если есть желание, можете запросить SAN сертификат. На странице мастера создания запроса сертификата не отмечайте поле "Запрос группового сертификата" и тогда сможете создать запрос с требуемыми вам именами.

    Особое внимание уделите имени по умолчанию (Common Name) если у вас есть клиенты под XP.


    Do not multiply entities beyond what is necessary


    • Изменено Dmitry.I 3 марта 2015 г. 12:40
    3 марта 2015 г. 12:39
  • спасибо большое, а на каком этапе имя по умолчанию указывается? Я что-то не нашел.

    насколько я понял там надо локальное имя сервера указать, чтобы XP клиенты себя хорошо чувствовали

    3 марта 2015 г. 12:47
  • да, и еще засада осталась - как перенести этот сертификат на TMG чтобы он там был валидным

    пишет что закрытый ключ не установлен и сертификат не валиден

    3 марта 2015 г. 13:25
  • Не должно быть никакой засады, если всё делать аккуратно: не забыть выбрать "экспортировать закрытый ключ" при экспорте (результатом должен быть файл .pfx, а не .cer), и делать импорт в компьютерное хранилище (а не текущего пользователя). И, конечно, доверие своему корневому ЦС, если сервер с TMG не доменный.

    А чтобы ХР клиенты хорошо себя чувствовали, необходимо и достаточно, чтобы имя, указанное в поле сертификата "Субъект", совпадало с первым именем из списка, указанного в поле сертификата "Дополнительное имя субъекта". Какое именно из имён это будет, по барабану. Подробности можно видеть, посмотрев выполняемую команду PS. Её же можно взять, отредактировать, и выполнить заново, если что не так...


    S.A.


    3 марта 2015 г. 15:36
  • про первое имя понял

    про экспорт

    в консоли при экспорте пункт экспортировать закрытый ключ- недоступен

    про куда копировать я знаю прекрасно, засада только в закрытом ключе

    сори, в самой консоли exchange можно экспортировать сертификат вместе с ключем


    • Изменено modd 3 марта 2015 г. 18:24
    3 марта 2015 г. 17:52
  • С клиентами XP стало еще хуже кстати

    нового клиента подключить не получается

    название сервера и имя подхватывает сам отлично и правильно

    дальше на этапе входа выдает ошибку, мол не вижу сервер

    и показывает окно с параметрами, сервер и имя

    в сервере написаны длинныйнаборсимволов@домен.ru

    имя правильное

    у тех, у кого до этого на XP все работало но запрашивало при запуске аутлука пароль, теперь тоже пароль спрашивает, но верный пароль не принимает


    • Изменено modd 4 марта 2015 г. 7:47
    4 марта 2015 г. 7:46
  • C ХР так и будет. Надо правильно настроить параметры OutlookProvider. В свойствах Proxy клиента Outlook должно быть указано имя сертификата, соответствующее CN сертификата.

    Do not multiply entities beyond what is necessary

    4 марта 2015 г. 8:04
  • существующие клиенты ХР пароль запрашивать перестали

    а вот нового клиента добавить не могу, ошибка та же

    да и существующие не работают кстати, через какое-то время параметр меняется самостоятельно на адрес локального сервера и существующие перестают подключаться

    опять пароль запрашивает и не принимает его


    • Изменено modd 4 марта 2015 г. 8:43
    4 марта 2015 г. 8:36
  • А вы не использовали командлет Set-OutlookProvider?

    Do not multiply entities beyond what is necessary

    4 марта 2015 г. 8:43
  • нет, прописал в свойствах учетной записи
    4 марта 2015 г. 9:02
  • Чтобы новые клиенты (Win XP) автоматически подключились надо изменить свойства провайдера EXPR, указав msstd:<CN вашего сертификата>. Поищите по Set-OutlookProvider EXPR

    Do not multiply entities beyond what is necessary


    • Изменено Dmitry.I 4 марта 2015 г. 9:07
    4 марта 2015 г. 9:06
  • сейчас сделал, проверю минут через 15

    проверил, практически сразу строка меняется на адрес локального сервера

    и при следующем запуске аутлука опять запрашивается пароль и верный пароль не принимается

    • Изменено modd 4 марта 2015 г. 9:09
    4 марта 2015 г. 9:07
  • Для получения дополнительной информации - при нажатой клавише Ctrl, клик по иконке Outlook'а в трее - в контекстном меню "Проверить автоконфигурацию эл. почты..." - можно узнать интересные вещи о происходящем.

    S.A.

    4 марта 2015 г. 9:17
  • Какие у вас настройки аутентификации OutlookAnywhere?

    Do not multiply entities beyond what is necessary

    4 марта 2015 г. 9:32
  • что конкретно интересного там узнать можно?

    чего я без этого не знаю

    4 марта 2015 г. 9:32
  • Какие у вас настройки аутентификации OutlookAnywhere?

    Do not multiply entities beyond what is necessary

    Согласование
    4 марта 2015 г. 9:44
  • Измените на NTLM, Basic для Internal

    Do not multiply entities beyond what is necessary

    4 марта 2015 г. 10:16
  • поставил NTLM, в консоли exchange только для внешних клиентов задается как я понял

    + галка разрешить загрузку SSL

    сразу ничего не поменялось, может какое-то время нужно для применения

    4 марта 2015 г. 10:38
  • NTLM как раз для внутренних. Можно сконфигурировать через Set-OutlookAnywhere.

    Do not multiply entities beyond what is necessary

    4 марта 2015 г. 10:45
  • сконфигурировал, ничего не поменялось
    4 марта 2015 г. 11:22
  • а, кстати, версии клиентов проблемных какие?

    Do not multiply entities beyond what is necessary

    4 марта 2015 г. 11:23
  • аутлук 2007 и 2010

    винда XP соответственно

    4 марта 2015 г. 11:26
  • У меня, правда, 10-й Exchange (а не 13)... Но аналогичных чудес с аутентификацией удавалось легко добиться :) небольшими экспериментами с настройкой "Проверка подлинности" для узлов Веб-сайта Exchange под оснасткой IIS. Всё устойчиво заработало (включая доступ снаружи, в т.ч. клиентов Lync) только после строгого возвращения взад к настройкам по умолчанию (ХР остаётся больше сотни).

    S.A.

    4 марта 2015 г. 12:27
  • в 2013ом концепция немного поменялась

    в другой организации с 2010ым клиенты ХП отлично работают

    4 марта 2015 г. 12:28
  • Концепция поменялась в том, что для внутренних клиентов можно получать те же проблемы, которые были только для клиентов внешних :).

    S.A.

    4 марта 2015 г. 12:41
  • всё супер, но что реально мне то делать?:)

    перепробовал уже все что на форумах нашел, толку нет


    • Изменено modd 4 марта 2015 г. 13:35
    4 марта 2015 г. 13:09