none
сертификаты и публикация activesync и autodiscover через TMG RRS feed

 > 

  • Общие обсуждения

  • Discussion
    Нужно войти
    0
    Нужно войти

    Собственно начнем с сертификатов.

    Установлен центр сертификации в домене(win2012). Через консоль управления Exchange 2013 запрошен сертификат.

    Но, там есть возможность запроса только *.firma.ru

    а хотелось бы с перечислением имен, т.к. есть клиенты вин XP, которые дальше первого имени при локальном подключении не лазят, и из-за этого имеют некоторые неудобства при работе с 2013 сервером

    ну и для публикации на TMG насколько я понимаю нужно именно перечисление альтернативных имен

    3 марта 2015 г. 12:10
    |

Все ответы

  • Discussion
    Нужно войти
    1
    Нужно войти

    Через веб-форму не пробовали выпускать сертификат? Или у вас не развернута служба роли соответствующая?

    И потом, использование сертификата, выпущенного внутренним центром не даст полноценных возможностей для внешнего доступа. По крайней мере вам придется ручками устанавливать сертификат вашего СА на каждый девайс, с которого предполагается осуществлять внешний доступ.

    Do not multiply entities beyond what is necessary


    • Изменено Dmitry.I 3 марта 2015 г. 12:18
    3 марта 2015 г. 12:15
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    клиентов не так много, поставить сертификат CA не проблема

    через вэб-форму не активна галка - пометить ключ как экспортируемый

    • Изменено modd 3 марта 2015 г. 12:36
    3 марта 2015 г. 12:24
    |
  • Discussion
    Нужно войти
    1
    Нужно войти

    Для TMG подойдет и wildcard сертификат. Но если есть желание, можете запросить SAN сертификат. На странице мастера создания запроса сертификата не отмечайте поле "Запрос группового сертификата" и тогда сможете создать запрос с требуемыми вам именами.

    Особое внимание уделите имени по умолчанию (Common Name) если у вас есть клиенты под XP.

    Do not multiply entities beyond what is necessary


    • Изменено Dmitry.I 3 марта 2015 г. 12:40
    3 марта 2015 г. 12:39
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    спасибо большое, а на каком этапе имя по умолчанию указывается? Я что-то не нашел.

    насколько я понял там надо локальное имя сервера указать, чтобы XP клиенты себя хорошо чувствовали

    3 марта 2015 г. 12:47
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    да, и еще засада осталась - как перенести этот сертификат на TMG чтобы он там был валидным

    пишет что закрытый ключ не установлен и сертификат не валиден

    3 марта 2015 г. 13:25
    |
  • Discussion
    Нужно войти
    1
    Нужно войти

    Не должно быть никакой засады, если всё делать аккуратно: не забыть выбрать "экспортировать закрытый ключ" при экспорте (результатом должен быть файл .pfx, а не .cer), и делать импорт в компьютерное хранилище (а не текущего пользователя). И, конечно, доверие своему корневому ЦС, если сервер с TMG не доменный.

    А чтобы ХР клиенты хорошо себя чувствовали, необходимо и достаточно, чтобы имя, указанное в поле сертификата "Субъект", совпадало с первым именем из списка, указанного в поле сертификата "Дополнительное имя субъекта". Какое именно из имён это будет, по барабану. Подробности можно видеть, посмотрев выполняемую команду PS. Её же можно взять, отредактировать, и выполнить заново, если что не так...

    S.A.


    3 марта 2015 г. 15:36
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    про первое имя понял

    про экспорт

    в консоли при экспорте пункт экспортировать закрытый ключ- недоступен

    про куда копировать я знаю прекрасно, засада только в закрытом ключе

    сори, в самой консоли exchange можно экспортировать сертификат вместе с ключем


    • Изменено modd 3 марта 2015 г. 18:24
    3 марта 2015 г. 17:52
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    С клиентами XP стало еще хуже кстати

    нового клиента подключить не получается

    название сервера и имя подхватывает сам отлично и правильно

    дальше на этапе входа выдает ошибку, мол не вижу сервер

    и показывает окно с параметрами, сервер и имя

    в сервере написаны длинныйнаборсимволов@домен.ru

    имя правильное

    у тех, у кого до этого на XP все работало но запрашивало при запуске аутлука пароль, теперь тоже пароль спрашивает, но верный пароль не принимает


    • Изменено modd 4 марта 2015 г. 7:47
    4 марта 2015 г. 7:46
    |
  • Discussion
    Нужно войти
    1
    Нужно войти
    C ХР так и будет. Надо правильно настроить параметры OutlookProvider. В свойствах Proxy клиента Outlook должно быть указано имя сертификата, соответствующее CN сертификата.

    Do not multiply entities beyond what is necessary

    4 марта 2015 г. 8:04
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    существующие клиенты ХР пароль запрашивать перестали

    а вот нового клиента добавить не могу, ошибка та же

    да и существующие не работают кстати, через какое-то время параметр меняется самостоятельно на адрес локального сервера и существующие перестают подключаться

    опять пароль запрашивает и не принимает его


    • Изменено modd 4 марта 2015 г. 8:43
    4 марта 2015 г. 8:36
    |
  • Discussion
    Нужно войти
    0
    Нужно войти
    А вы не использовали командлет Set-OutlookProvider?

    Do not multiply entities beyond what is necessary

    4 марта 2015 г. 8:43
    |
  • Discussion
    Нужно войти
    0
    Нужно войти
    нет, прописал в свойствах учетной записи
    4 марта 2015 г. 9:02
    |
  • Discussion
    Нужно войти
    1
    Нужно войти
    Чтобы новые клиенты (Win XP) автоматически подключились надо изменить свойства провайдера EXPR, указав msstd:<CN вашего сертификата>. Поищите по Set-OutlookProvider EXPR

    Do not multiply entities beyond what is necessary


    • Изменено Dmitry.I 4 марта 2015 г. 9:07
    4 марта 2015 г. 9:06
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    сейчас сделал, проверю минут через 15

    проверил, практически сразу строка меняется на адрес локального сервера

    и при следующем запуске аутлука опять запрашивается пароль и верный пароль не принимается

    • Изменено modd 4 марта 2015 г. 9:09
    4 марта 2015 г. 9:07
    |
  • Discussion
    Нужно войти
    1
    Нужно войти
    Для получения дополнительной информации - при нажатой клавише Ctrl, клик по иконке Outlook'а в трее - в контекстном меню "Проверить автоконфигурацию эл. почты..." - можно узнать интересные вещи о происходящем.

    S.A.

    4 марта 2015 г. 9:17
    |
  • Discussion
    Нужно войти
    0
    Нужно войти
    Какие у вас настройки аутентификации OutlookAnywhere?

    Do not multiply entities beyond what is necessary

    4 марта 2015 г. 9:32
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    что конкретно интересного там узнать можно?

    чего я без этого не знаю

    4 марта 2015 г. 9:32
    |
  • Discussion
    Нужно войти
    0
    Нужно войти
    Какие у вас настройки аутентификации OutlookAnywhere?

    Do not multiply entities beyond what is necessary

    Согласование
    4 марта 2015 г. 9:44
    |
  • Discussion
    Нужно войти
    1
    Нужно войти
    Измените на NTLM, Basic для Internal

    Do not multiply entities beyond what is necessary

    4 марта 2015 г. 10:16
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    поставил NTLM, в консоли exchange только для внешних клиентов задается как я понял

    + галка разрешить загрузку SSL

    сразу ничего не поменялось, может какое-то время нужно для применения

    4 марта 2015 г. 10:38
    |
  • Discussion
    Нужно войти
    1
    Нужно войти
    NTLM как раз для внутренних. Можно сконфигурировать через Set-OutlookAnywhere.

    Do not multiply entities beyond what is necessary

    4 марта 2015 г. 10:45
    |
  • Discussion
    Нужно войти
    0
    Нужно войти
    сконфигурировал, ничего не поменялось
    4 марта 2015 г. 11:22
    |
  • Discussion
    Нужно войти
    0
    Нужно войти
    а, кстати, версии клиентов проблемных какие?

    Do not multiply entities beyond what is necessary

    4 марта 2015 г. 11:23
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    аутлук 2007 и 2010

    винда XP соответственно

    4 марта 2015 г. 11:26
    |
  • Discussion
    Нужно войти
    0
    Нужно войти
    У меня, правда, 10-й Exchange (а не 13)... Но аналогичных чудес с аутентификацией удавалось легко добиться :) небольшими экспериментами с настройкой "Проверка подлинности" для узлов Веб-сайта Exchange под оснасткой IIS. Всё устойчиво заработало (включая доступ снаружи, в т.ч. клиентов Lync) только после строгого возвращения взад к настройкам по умолчанию (ХР остаётся больше сотни).

    S.A.

    4 марта 2015 г. 12:27
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    в 2013ом концепция немного поменялась

    в другой организации с 2010ым клиенты ХП отлично работают

    4 марта 2015 г. 12:28
    |
  • Discussion
    Нужно войти
    0
    Нужно войти
    Концепция поменялась в том, что для внутренних клиентов можно получать те же проблемы, которые были только для клиентов внешних :).

    S.A.

    4 марта 2015 г. 12:41
    |
  • Discussion
    Нужно войти
    0
    Нужно войти

    всё супер, но что реально мне то делать?:)

    перепробовал уже все что на форумах нашел, толку нет


    • Изменено modd 4 марта 2015 г. 13:35
    4 марта 2015 г. 13:09
    |