none
OWA публикация RRS feed

  • Вопрос

  • Дробрый день.
    Опубликовал сервер согласно статье
    http://www.isadocs.ru/articles/ISA-Firewall-Publishing-OWA-RPC-HTTP-Single-IP-Address-Part1.html

    Но почему то публикация не работает. Не пjявляется око приглашения для ввода имени и пароля, пишет что невозможно отбразить WEB-страницу.

    Смотрою в Наблюдение-ведение журнала в ISA-сервера. И вмжу, что соединения от моего компьютера к Exchange откланяются сервером ISA правилом [Enterprise] правило по умолчанию. Т.е. получается, что созданное мной правило побликачии на отрабатывает и запрос идет мимо него.

    Подскажите, где копать.

    • Перемещено Daniil KhabarovModerator 19 января 2010 г. 13:10 Больше подходит тема (От:Exchange Server 2003/2000/5.5)
    27 декабря 2009 г. 10:35

Ответы

  • Briging - это и есть "Использование моста". Скажите, у вас этот порт, 3443, создан в ISA? если нет, то его необходимо создать - по умолчанию нестандартные порты в ISA отсутствуют. Качаем программу ISA server 2004 tunnel port edition, создаем туннель (подробную инструкцию см. в статье Томаса Шиндера), после чегосоздаем в ISA входящий и исходящий порты и настраиваем для них нужные правила


    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    • Помечено в качестве ответа Daniil KhabarovModerator 12 января 2010 г. 13:24
    • Снята пометка об ответе Daniil KhabarovModerator 14 января 2010 г. 6:52
    • Помечено в качестве ответа Goblany 27 января 2010 г. 16:25
    30 декабря 2009 г. 7:33
    Модератор
  • Доброго утра!

    Итак, по поводу первого, предположу, что вам будет интересно прочитать вот что:
    http://www.redline-software.com/rus/support/articles/isaserver/security/implementing-troubleshooting-certificate-isa2006.php
    После прочтения должно все встать на свои места.

    По поводу второго. Я правильно понимаю, что вы хотите опубликовать OWA на нестандартном порту? Вы уверены, что набирать адрес с портом будет сподручнее?
    • Помечено в качестве ответа Goblany 27 января 2010 г. 16:26
    14 января 2010 г. 6:51
    Модератор
  • И снова доброго утра!

    Это не совсем те ссылки, но идейная сторона та же:

    http://www.redline-software.com/rus/support/articles/isaserver/publishing/isa-2006-firewall-web-publishing-rules.php
    http://www.redline-software.com/rus/support/articles/isaserver/security/publishing_owa_site_back_to_back_isa_firewall_part1.php
    http://www.redline-software.com/rus/support/articles/isaserver/security/configuring_isa_to_redirect_owa_users_part_1.php - причем вот эта - то что нужно для публикации OWA более менее красиво.

    Так. Самое главное, что у вас должно соблюдаться - чтобы порты с рамках сервера не пересекались по значению. 
    • Помечено в качестве ответа Goblany 27 января 2010 г. 16:26
    15 января 2010 г. 6:41
    Модератор
  • Вот еще один вариант общих основ публикации:

    http://www.redline-software.com/rus/support/articles/isaserver/publishing/creating-configuring-non-ssl-web-publishing-rules-part1.php

    Тему переношу в ISA
    • Помечено в качестве ответа Goblany 27 января 2010 г. 16:27
    19 января 2010 г. 13:09
    Модератор
  • Ссылочки:

    1. Про правила доступа: http://www.redline-software.com/rus/support/articles/isaserver/general/understanding_the_isa_2004_access_rule_processing.php
    2. http://support.microsoft.com/kb/812614
    3. http://technet.microsoft.com/en-us/library/cc782762%28WS.10%29.aspx

    Посмотрел в IIS про безопасность. Вас должна интересовать вкладочка "редактировать разрешения". Вызвать по правой кнопке на необходимой папке. В данном случае это должен быть Exchange.
    • Помечено в качестве ответа Goblany 27 января 2010 г. 16:27
    22 января 2010 г. 13:22
    Модератор
  • Добрый день!

    1. http://msdn.microsoft.com/en-us/library/ee825205%28CS.10%29.aspx - это про способы аутентификации. И что такое IUSR_имя_сервера - пользователь для работы IIS  и получение доступа к ресурсам.
    2. Он нужен для корректной работы OWA. Кроме того, не так уж много он и весит. Вот, почитайте требования 
              http://support.microsoft.com/kb/830827/ru
              http://support.microsoft.com/kb/822178   эти 2 статьи про требования Exchange и OWA в частности
              http://msdn.microsoft.com/ru-ru/asp.net/default.aspx - про эту технологию
    3. Настраиваются в консоли управления IIS
    • Помечено в качестве ответа Goblany 27 января 2010 г. 16:27
    25 января 2010 г. 11:34
    Модератор
  • Добрый день, уважаемый Goblany .

    Нашел просто замечательную статью про публикацию.
    http://www.microsoft.com/rus/technet/prodtechnol/isa/2006/deployment/exchange.mspx

    Отключение аутентификации -
    http://www.redline-software.com/rus/support/articles/msexchange/2007/owa-security-features-part2.php
    К сожалению, я не помню с полной уверенностью, где находится это в 2003-м , но идейная сторона такая же. Если не сможете найти, я чуть позже сообщу точно.
    • Помечено в качестве ответа Goblany 27 января 2010 г. 16:27
    26 января 2010 г. 7:53
    Модератор

Все ответы

  • Может кто-нибудь хоть подскажет, где копать?
    Может быть, что из-за неверных сертификатов не влючается прослушивание или проблема в другом?

    28 декабря 2009 г. 8:08
  • Ели прото открывать доступ на ISA путем создания правила Разрешить от "Клиента" к "Сервер" протокол HTTPS, то открывается клиент, но, естественно, запрос на ввод пароля идет не вчерезх WEB-фораму.

    28 декабря 2009 г. 8:13
  • Как настроено правило прослушивателя?  Верно ли указано перенаправление? В нужном ли порядке расположены правила (запрет перенаправления выше разрешения для публикации)?
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    29 декабря 2009 г. 10:02
    Модератор
  • С проблемой рахобрвлся. Почемуто глючило прослушивание. У меня ISA и Exchange на одном сервере и они друг другу мешали, хотя я настроивал IIS и ISA на прослушку рахных портов.

    Теперь у мня еще проблема. ISA слушает на 443 порту, Echange (IIS сервер) слушает на порту 3443. После ввода в веб-форму OWA логина пользователя и пароля, загружается почта, но не все данные отображабются. Например, не отображается адресная книга, состоав письма и созадние, некаторые картинки. На ISA я вижу, что это происходит потому, что запросы начинают идти на порт 3443. Соответсвенно нужноделать какоето правило, которое разрешалобы, например.. разрешить из внешней сети в к локальному компьютеру порт 3443, но тогда возникает форма ввода пароля. После ввода все работает, но полкчается двойная аутентификация на сервере, что не очень хорошо.
    Как справиться с ситуацией. Ка сделать, чтобы все что попадает на 443 перенапрвлялось на 3443.

    29 декабря 2009 г. 11:59
  • В свойствах правила зайдите на вкладку Briging и настройте там перенаправление: порт прослушивателя поставьте 443, порт перенаправления (forwarding) - 3443.
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    29 декабря 2009 г. 12:20
    Модератор
  • Немного не понял. У меня Прослушиватель слушает порт 443. "Включить поюключение SSL для данного порта" - 443. В самом правиле на укладке "Использование моста" "Перенаправлять запросы на SSL-порт" стоит 3443.

    Что такое Briging, как она называется по русски? Это перенаправление далать в прослушивателе надо или в самом правиле?

    29 декабря 2009 г. 13:06
  • Briging - это и есть "Использование моста". Скажите, у вас этот порт, 3443, создан в ISA? если нет, то его необходимо создать - по умолчанию нестандартные порты в ISA отсутствуют. Качаем программу ISA server 2004 tunnel port edition, создаем туннель (подробную инструкцию см. в статье Томаса Шиндера), после чегосоздаем в ISA входящий и исходящий порты и настраиваем для них нужные правила


    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    • Помечено в качестве ответа Daniil KhabarovModerator 12 января 2010 г. 13:24
    • Снята пометка об ответе Daniil KhabarovModerator 14 января 2010 г. 6:52
    • Помечено в качестве ответа Goblany 27 января 2010 г. 16:25
    30 декабря 2009 г. 7:33
    Модератор
  • Немного не опнял с какого на какой порт делать перенаправление?

    30 декабря 2009 г. 12:05
  • Добрый день!

    Перенаправление нужно делать для правила, которое будет направлять внешнего клиента на Exchange, т.е. в вашем случае это должно выглядеть приблизительно так: Запрос на mail.domain.ru:443 по некоторому правилу OWA будет отправлять на IIS сервера на порта 3443 . Таким образом, нужно перенаправлять с 443 на 3443.
    12 января 2010 г. 13:24
    Модератор
  • Значит проблема такова, она намного сложнее.. даже две проблемы...

    Есть сервер, на котором Exchange и ISA, т.е. обе программы на одном сервере. Предположим, сервер называется myservername.serv.ru

    1) Я хочу сделать доступ к серверу OWA через my.serv.ru (т.к. имя myservername.serv.ru очень тяжело). Если на IIS я создаю сертификат для my.serv.ru, то в браузере при запросе https://my.serv.ru выводится запрос на ввод логина и пароля к почте. Я ввожу имя и пароль и..... выводится сообщение об ошибка, что сервер отклонил запрос, т.к. сертификат то создан для my.serv.ru, а не для myservername.serv.ru.
    Если же сертификат сделять для myservername.serv.ru, а при обращении к https://my.serv.ru просто делать редирект на https://myservername.serv.ru, то все работает, но при обращении к my.serv.ru выводится вначале ошибка сертификата, т.к. он создан для myservername.serv.ru, а не my.serv.ru

    Правильно ли я понимаю, что придется или обращаться к my.serv.ru и будет ошибка сертификата или же всем раздавать для обращения имя https://myservername.serv.ru  ??? Есть ли альтернативные решения?   


    2) Теперь проблема более серьезная.
    Программа "ISA server 2004 tunnel port edition" делает тонель порта, т.е. если у меня есть один сервер -  ISA и второй -Exchange и я хочу чтобы ISA прослушивал не порт 443, а другой, например, 3443, то я этой программой создаю тоннельный порт 3443 и он прослушивается сервером ISA и перенаправляет на Exhange-сервер по 3443 порту или же какому-то другому (который указан на IIS сервеа Exchange).

    Но у меня проблема такова, что ISA и Exchange выертятся на одном сервере, т.е. если программой "ISAtpre" сделать тоннель, это не спасет т.к. если поставить прослушиватель ISA на порт 443, то IIS на 443 порту уже не хапустится, соответственно я запускаю IIS на 3443 порту. Соответственно в правиле публикации ISA-прослушиватель слушает порт 443 и передает все данные на 3443 порт самого себя же, в результате чего, как я понимаю, тоннеля уже не образуется и, соответственно, данные авторизации не передаются и сервер требует повторной авторизации.
    В результате идут запросы с моего IP на IP сервера ( это я смотрю в мониторе ISA) по 443 порту, пишет "Нераспознанные IP данные" и отклоняет соединение. Соттветственно, я вижу название писем и папок, но не вижу содержимого писем, не могу создавать письма, нету картинок никаких (когда заходу в сой ящик).
    Мен приходится создавать простое правило, котрое разрешает доступ по 3443 порту из внешней сети к локальному компьютеру, в жтом сулчае после авторизации OWA возникает еще обыкновенное окно нополнительно авторизации (око в брпузере).


    Как рещить данную проблему не знаю. Помогите, пожалуйста.


    13 января 2010 г. 19:24
  • Доброго утра!

    Итак, по поводу первого, предположу, что вам будет интересно прочитать вот что:
    http://www.redline-software.com/rus/support/articles/isaserver/security/implementing-troubleshooting-certificate-isa2006.php
    После прочтения должно все встать на свои места.

    По поводу второго. Я правильно понимаю, что вы хотите опубликовать OWA на нестандартном порту? Вы уверены, что набирать адрес с портом будет сподручнее?
    • Помечено в качестве ответа Goblany 27 января 2010 г. 16:26
    14 января 2010 г. 6:51
    Модератор
  • 1) Статью я прочел. дЕйстительно там хорошо написанои понятно, но ответов на мой вопрос нету. Т.к. опят же, проблема в том, что если имя моего сервера xx.domen.ru, а пользователи обращаются по  yy.domen.ru. То приходится делать сертификато для когото одного, при этом получается, что сто если для вншенего имени yy.domen.ru, то после аавторизации выводится пустая страница, т.к. сертификат недействителен (он для xx.domen.ru), если для xx.domen.ru делать, то при обращении по адрему yy.domen.ru выводится, что сертификат недействителен. Ответа в этой статье нету. Еще не понял как делать сертификаты для: "выпустить пользовательский сертификат для обычного пользователя. Этот выпущенный сертификат должен быть импортирован (с закрытым ключом) в локальное хранилище сертификатов службы Microsoft ISA Server Firewall service."


    2) Дело в том, что у меня на одном сервер стоит ISA и Exchange, соответственно IIS тоже.
    Когда я создаю правило публикации OWA-почты, то прослушиватель вешается на определенный порт, в общем случае на 443 (у меня на 443). Так вот, теперь надо в IIS для "Веб-узел по умолчанию" указать, на какой порт приходят запросы. Указать там порт 443 я не могу, т.к. порт 443 уже прослушивается, соответственно при запуске IIS на 443 порту пишет ошибку. И у меня нет выбора, полюбому приходится вешать на другой порт, анпример 3443.


    14 января 2010 г. 9:17
  • 1. Итак.  По поводу сертификатов. Вот еще статейка про них http://www.redline-software.com/rus/support/articles/isaserver/publishing/isa-firewall-publishing-owa-rpc-http-single-ip-address-part3.php
    А вот мои соображения таковы, что, пожалуй, можно попробовать сделать это. В ISA  сделать листенеры для разных портов, привязать их к разным сертификатам на разные имена и опубликовать , потом сделать бриджинг с красивого имени , опубликованного на 443 порту на некрасивое на 3443 порту. По крайней мере , можно попробовать.
    По поводу цитаты, мне кажется, что там даже и объяснять нечего.

    2. Второе, как я понимаю, с такой расстановкой сил, завязывается на первом. Я публиковал незащищенную OWA с Exchange и ISA на одном сервере. Делал так : заводил IIS на 82 порт, потом делал публикацию Exchange и делал еще одно правило, запрещающее доступ с бриджингом на 82 порт. Собственно, по статье там же. К сожалению ссылочку не нашел.  
    14 января 2010 г. 10:04
    Модератор
  • Может посмотрите статью? Я соверщенно запутался и не могу настроить. Не ижет соединение и все.

    14 января 2010 г. 17:45
  • И снова доброго утра!

    Это не совсем те ссылки, но идейная сторона та же:

    http://www.redline-software.com/rus/support/articles/isaserver/publishing/isa-2006-firewall-web-publishing-rules.php
    http://www.redline-software.com/rus/support/articles/isaserver/security/publishing_owa_site_back_to_back_isa_firewall_part1.php
    http://www.redline-software.com/rus/support/articles/isaserver/security/configuring_isa_to_redirect_owa_users_part_1.php - причем вот эта - то что нужно для публикации OWA более менее красиво.

    Так. Самое главное, что у вас должно соблюдаться - чтобы порты с рамках сервера не пересекались по значению. 
    • Помечено в качестве ответа Goblany 27 января 2010 г. 16:26
    15 января 2010 г. 6:41
    Модератор
  • Первая ссылка дает только общую инфрмацию о возможностях публикации.
    По второй я публиковал с самого начала, очень полезная ссылка.
    Третья статья практически повторяет вторую.

    В общем идея поубликация, как я понял, такова, что ISA проверяет данные пользователя еще до того, как пропустить его к OWA. Для этого она вываодит форму авторизации. Пользотель вводит логин и пароль и ISA, в случае удачной автоизации, направляет учетные данные к OWA, соответственно там уже авторизоваться не надо. У меня получается, что ISA толи не направляет данные, толи неправильно и требуется повторная авторизация езще и на OWA, для чего выскакивает окошко для воода логина и пароля.

    15 января 2010 г. 9:54
  • Да, мне тоже кажется, что у вас возникают сложность с бриджингом, что и куда нужно подключать и перенаправлять.
    Вы пробовали без шифрования опубликовать OWA?
    Давайте попробуем так, потом попробуем доразобраться с https
    15 января 2010 г. 11:51
    Модератор
  • Что значит без шифрования? Не могли бы вы пояснить поподробнее?

    16 января 2010 г. 16:54
  • Получается как. Я по порту 443 подключаюсь к серверу, сервер выводит окошко Office Outlook Web Access для ввода логиа и пароля (авторизация нас  ISA). Далее ввожу логин и нароль. Правило публикации у меня перенаправляет хапрос с 443 н 3443 тогоже сервера, т.к. IIS у меня запущен на 3443 порут SSL. И далее в мониторе на ISA я вижу отклоненное соединение от моего IP к внешнему IP сервера ISA (соответственно и Exchange) порт наззначения 3443. Т.е. проблемв действительно с перенаправлениями.

    16 января 2010 г. 18:34
  • Еще при первом обращении выводится сообщение
    http://files.webi.ru/m_down/1_2.jpg.html
    или
    http://newest.ifolder.ru/15977227


    Если нажать ОК, то соединение проходит.

    17 января 2010 г. 15:54
  • У вас не опубликованы либо недоступны списки отзыва сертификатов. Опубликуйте их согласно вот этой статье
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    17 января 2010 г. 20:56
    Модератор
  • 1) По сертификатам. Я так понимаю, что компьютер, подключаясь к OWA пытается обратиться к серверу сертификации моей сети и запросить список отозванных сертификатов, но у  него это не получается. В статье не нашел как опубликовать и сделать доступными эти списки из сети Интернет.



    2) По публикации есть еще какие-нибудь предложения? Я уже не знаю где копать.

    18 января 2010 г. 8:25
  • Добрый день!

    Давайте по порядку снова.
    Вы можете опубликовать OWA без шифрования? ПОпробуйте сделать это по вышеуказанным инструкциям.
    18 января 2010 г. 13:36
    Модератор
  • И еще.
    Я, пожалуй, перенесу эту тему, ибо это больше проблемы публикации(ISA) , а не Exchange
    18 января 2010 г. 13:38
    Модератор
  • Почитай вот это обсуждение (В OWA после заполнения полей логин и пароль возникает ошибка:"The page can't be displayed")
    возможно одинаковые причины
    18 января 2010 г. 14:28
  • Hroft
    Эта проблема понятна, она из-за неверного сертификата, у меня же проблема совсем другая, но спасибо за участие )


    Daniil Khabarov
    Немного не понял, по какой статье можно попробовать опубликовать без шифрования?
    19 января 2010 г. 8:12
  • Вот еще один вариант общих основ публикации:

    http://www.redline-software.com/rus/support/articles/isaserver/publishing/creating-configuring-non-ssl-web-publishing-rules-part1.php

    Тему переношу в ISA
    • Помечено в качестве ответа Goblany 27 января 2010 г. 16:27
    19 января 2010 г. 13:09
    Модератор
  • Кстати, есть еще такой момент, у меня не отображалась часть содержимого в OWA ... проблема оказалась в правах доступа до папки сервера (для группы "все" не было доступа до некоторых подпапок сервера, в результате не отображались иконки в OWA. И в администрировании ISA было обнаружено, что виртуальная папка с иконками не была доступна всем ... )

    Проверьте права доступа до папок сервера.

    20 января 2010 г. 12:30
  • А можно поподробней? Где посомтреть права и какие они должны быть?
    20 января 2010 г. 12:38
  • Добрый день!

    Права должны быть установлены на группу "Все" нужно разрешить для чтения. Посмотреть это можно и нужно в 2-х местах:
    1. Ну уровне файловой системы владочка безопасность
    2. В IIS в данной подпапке.

    Это должно решить вашу проблему с недоступными папками. 
    21 января 2010 г. 7:44
    Модератор
  • Daniil Khabarov

    1) На счет проверки пользователя.
    На уровне файловой сстемы смотрю безопасность катклога C:\Program Files\Exchsrvr\exchweb\. Гурппы ВСЕ нету, но для Прошедшие Поверку стоят разрешения на чтение.
    Ну уровне IIS  какую папку и что проверять? что должно быть и как настроено?

    2) На счет публикации без SSL.
    Наверно статья написана не для ISA 2006? т.к. некаторых аспектов нет. Например, прослушивателя и многого другого. Тем не менее создал правило веб-публикации. При образении по http://x.x.x.x/exchange выводтится:



    <!--Problem-->Не удается отобразить страницу

    Объяснение: при попытке доступа к этой странице произошла ошибка, страницу отобразить невозможно.

    Попробуйте следующее:

    • Обновление страницы: выполните повторный поиск страницы, нажав кнопку "Обновить". Возможно, тайм-аут произошел из-за перегрузки Интернета.
    • Проверка написания: проверьте правильность написания адреса веб-узла. Возможны ошибки при вводе адреса.
    • Доступ из ссылки: если имеется ссылка на искомую страницу, попробуйте получить доступ к странице с помощью этой ссылки.

    Технические сведения (для персонала службы поддержки)

    • Код ошибки: 403 Запрет доступа. Сервер отклонил указанный URL-адрес. Обратитесь к администратору сервера. (12202)



    3) Если просто разрешить HTTP траффик к серверу, т.е правило разрешить отовсюду к компьютеру Ecahnge и набрать   http://x.x.x.x/exchange  появляется ококо для ввода логина и пароля. После их ввода, все работает нормально.



    21 января 2010 г. 18:26
  • 2) По поводу второго пункта. Сейчас поиграл с правилом публикации. Поставил в поьзователи не ВСЕ ПОЛЬЗОВАТЕЛИ, а ВСЕ ПРОШЕДШИЕ ПРОВЕРКУ ПОЛЬЗОВАТЕЛИ. Начало выводиться окошко для ввода логина и пароля. Но после ввода пишет:

    Не удается отобразить страницу

    Объяснение: при попытке доступа к этой странице произошла ошибка, страницу отобразить невозможно.

    Попробуйте следующее:

    • Обновление страницы: выполните повторный поиск страницы, нажав кнопку "Обновить". Возможно, тайм-аут произошел из-за перегрузки Интернета.
    • Проверка написания: проверьте правильность написания адреса веб-узла. Возможны ошибки при вводе адреса.
    • Доступ из ссылки: если имеется ссылка на искомую страницу, попробуйте получить доступ к странице с помощью этой ссылки.

    Технические сведения (для персонала службы поддержки)

    • Код ошибки: 403 Запрет доступа. Сервер отклонил указанный URL-адрес. Обратитесь к администратору сервера. (12202


    Если на вкладке Делегирование проерки пользователя поставить "Без делигирования, но клиент может выполнять проверку пользователя", то появляется левая часть окошка OWA, а правая не отображается и постоянно требует пароль.


    Если оставить "Без делигирования, клиент не может выполнять проверку пользователя", то невозможно отберазить страницу. На ISA вижу отклоненные соединения от моего компа ко внутреннему интерфесу сервера по порту 3080 (т.к. прослушиватель на 80, то перенаправляю на 3080 и на IIS HTTP по порту 3080 работает). Причем, отклоняет именноправило публикаци....
    21 января 2010 г. 18:55
  • Я понимаю свою проблему следующим образом.
    Я Набираю http://x.x.x.x/exchange в проводнике. У меня появляется форма авторизации, которая позволяет пройти авторизацию на сервере ISA. Эту форму выдает правило, на котором работает прослушиватель по 443 порту. Значит прослушиватель прослушал 443 порт, и отреагтроал на запрос http://x.x.x.x/exchange . Далее я ввожу в форму сови учетные данные, соотетственно праило публикации должно делать редирект с 443 на 3443 (этот порт указан для SSL на IIS-сервере для узла по умолчанию). Соответственно правило должно перенаправлять все с 443 на 3443 порт и передать OWA-сайту учетные данные, которые я ввел при авторизацуии на ISA.

    Значит я ввел авторизационные данные, у еня в экплорере открывается селва навазния поих папок, аоявляется список писем и завпрос лоя повторной авторизации (всплавающее окно). Этот запрос уже появляется от OWA, т.е. по какойто причеине от ISA не передались мои учетные данные, а вернее передались, но частично или не в полной мере.

    Соответственно я ввожу повторно учетные данные и все работет отлично. Почему требвется второй запрос авторизации, как я жто вижу.

    Я авторизовался на ISA по 443 порту, далее когда я наживаю на какоето письмо (например), то в браузере я вижу ссылку вида https://x.x.x.x:3443/Exchange/User/..... т.е. при открытии письма запрос перебросился на 3443 порт, соответственно я то авторизовался по 443 порту и OWA требует от меня еще и авторизации по 3443 порту.
    Получается, что часть данных гурзиться после авторизацуии на ISA (список писем, названия папок, там календарь и еще чтото), а часть данных - содержимое письма, адресная книга,создать письмо не грузится,, как я понимаю потому, что для их загрузке идет обращение на 3443 порт, дял которого надо пройти повторную авторизацию...


    Данную схему работы я понимаю именно так. Тогда вопрос поулчается - как избежэать этой самой повторной авторизации??? чтобы данные с 443 на 3443 перенаправлялись??? НАпосню,, что уменя на одном сервере стоят и ISA и Exchange.

    22 января 2010 г. 7:52
  • Добрый день!

    Ошибки доступа, которые вы получаете являются ошибками IIS, поэтому нужно разобраться с правами доступа именно в нем.
    Я тоже в своей деятельности организовывал работу Exchange 2003 и ISA 2006 на одной машине. Все работало корректно по выше приведенным мануалам. Раз у вас все корректно работает с разрешенным доступом всем, то нужно смотреть правильность правил доступа и публикации.
    Чуть позже допишу ссылочки.
    Но смотреть нужно именно туда.
    22 января 2010 г. 8:38
    Модератор
  • Ок, буду ждать ссылочку.

    Знатьбы чтоименно, какие права проврить...
    22 января 2010 г. 9:23
  • Ссылочки:

    1. Про правила доступа: http://www.redline-software.com/rus/support/articles/isaserver/general/understanding_the_isa_2004_access_rule_processing.php
    2. http://support.microsoft.com/kb/812614
    3. http://technet.microsoft.com/en-us/library/cc782762%28WS.10%29.aspx

    Посмотрел в IIS про безопасность. Вас должна интересовать вкладочка "редактировать разрешения". Вызвать по правой кнопке на необходимой папке. В данном случае это должен быть Exchange.
    • Помечено в качестве ответа Goblany 27 января 2010 г. 16:27
    22 января 2010 г. 13:22
    Модератор
  • По второй татье...

    1) Что такое за имя IUSR_имя_компьютера ?
    2) ASPNET -  я так понял, что для IIS 6 не нужен?
    3) Права пользователей Windows - не опнял, где настраиваются эти права?

    25 января 2010 г. 11:03
  • Добрый день!

    1. http://msdn.microsoft.com/en-us/library/ee825205%28CS.10%29.aspx - это про способы аутентификации. И что такое IUSR_имя_сервера - пользователь для работы IIS  и получение доступа к ресурсам.
    2. Он нужен для корректной работы OWA. Кроме того, не так уж много он и весит. Вот, почитайте требования 
              http://support.microsoft.com/kb/830827/ru
              http://support.microsoft.com/kb/822178   эти 2 статьи про требования Exchange и OWA в частности
              http://msdn.microsoft.com/ru-ru/asp.net/default.aspx - про эту технологию
    3. Настраиваются в консоли управления IIS
    • Помечено в качестве ответа Goblany 27 января 2010 г. 16:27
    25 января 2010 г. 11:34
    Модератор
  • Хочу еще раз обсудить волнующий меня момент.

    Я захожу в Excahnge System Manager-AG-Server-My Server-Protocols-http-Eschabge virtual Server и ставлю в его совйствах Enable Forms Based Autentification.
    В эксплорере набираю https://x.x.x.x:3443/exchange - выводится WEB-форма доступа к почте. Ввожу логи и пароль - все работает.

    Меня просто волнует то, что таким вот образам обращаясь к OWA я получаю нормальный досутп. (Еще момент. при работе с почтой в строке адреса всегда присутствует порт 3443).

    Если же подключить аутентификацию ISA, то я ыижу форму ISA_сервера для аутентификации. Вввожу данные, я хахожу в сой ящик, т.е. моиданные принимаются, аутенификация проходит, но когда происходит попытка обратиться к порту 3443, на который у меня идет редлирект, вот тут то и появляется окно второй аутентификации. Например, когда я прсото хожу по папочкам вроде Дневник, задачи, заметки (навожу на них), то я вижу, что в адресе не указан порт 3443, но еслинавести на какоето письмо, то появляется порт 3443 в адресе сылки.

    Т.е. я хочу сказать, что я могу войти в почтук, могу ее сомтреть, отправдять, все могу делать, но только после второй авторизации после ISA на самом уже Exchange. А авторизация появляется только тогда, когда требуется обратиться на порт 3443. Т.е. я авторизовался по порту как бы 443, а соединение не авторизовано по порту 3443.

    И получается, то, что учетные данные с порта 443 не передаются на порт 3443, а действуют только для 443. Мне кажется,, что проблема все же не в том, что права настроены не так,, а в том, что не прередаются учетные данные.

    25 января 2010 г. 12:22
  • Попробуйте отключить одну из аутентификаций.  Это определенно решит ваши проблемы, причем, предпочтительно в Exchange.
    25 января 2010 г. 14:17
    Модератор
  • Подскажите, как это сделать?

    И как это будет влиять на безопасность?

    25 января 2010 г. 15:47
  • Добрый день, уважаемый Goblany .

    Нашел просто замечательную статью про публикацию.
    http://www.microsoft.com/rus/technet/prodtechnol/isa/2006/deployment/exchange.mspx

    Отключение аутентификации -
    http://www.redline-software.com/rus/support/articles/msexchange/2007/owa-security-features-part2.php
    К сожалению, я не помню с полной уверенностью, где находится это в 2003-м , но идейная сторона такая же. Если не сможете найти, я чуть позже сообщу точно.
    • Помечено в качестве ответа Goblany 27 января 2010 г. 16:27
    26 января 2010 г. 7:53
    Модератор
  • А есть вохможность перенести OWA на другой сервер?
    Чтобы сама почта и ISA были на одном, а IIS и доступ к OWA на другом.
    26 января 2010 г. 19:32
  • Добрый день, уважаемый Goblany!

    http://technet.microsoft.com/en-us/library/bb124295%28EXCHG.65%29.aspx - это необходимые требования для работы Exchange 2003. Как вы видите, там есть необходимость в наличии IIS  сервера на этом компьютере.
    Гипотетически, можно попробовать, но вот не уверен в успехе этого мероприятия.

    А у вас нет возможности, все-таки вытащить сервер Exchange на другой физический, или виртуальный?
    27 января 2010 г. 12:30
    Модератор
  • Всем спасибо за помощь.  Свою проблему я так и не решил, но это, видимо, уже не разрешимо.

    Daniil Khabarov - отдкльное спасибо

    Мой совет всем - разделяйте ISA и Exchange.

    Я оставил авторизацию на Exchange при помощи форм, на IIS при доступе к папкам установил 128 битное обязательное шифрование.


    Поме6су ответы, которые помогут другим в публикации сервера.
    27 января 2010 г. 16:25
  • Globlany

    Долго читал эту ветку, так и не понял причину сложности опубликовать Утлук веб ацес через ису, сделал это в первый раз в течении 30 минут, хотя до этого вообще ису не крутил. С релеем в исе немного сложнее, разбираться нужно, не маловажным фактом является при установки экченжа и исы, последовательность установки. 

    Я делал так.

    Установил винду, установил дрова, обновил винду, экченж, сп1, потом сп2, потом офис, потом ису.

    В Исе выбрал шаблон с 3-х зонной защитой, уже точно не помню как называется, проверил интернет-соединение, далее выбрал опубликовать экченж, выбрал службу для публикации, далее всё в мастере элементарно. После такой публикации у меня всё работало без проблем, Да лучше конечно такие манипуляции проводить на тестовом сервере, сначала поставить и настроить экченж, сделать чтобы всё работало, а уж потом ставить ису и настраивать её, т.к. где гарантии что в работе экченжа виновата иса?. А так на проверенной системе и экченже, Вы будете на 100% уверены что до установки исы у Вас всё работало.

    И в догонку, у меня стоит и иса и экченж на одной машине, есть релей на серввер 1с-ки, для удалённой работы бухгалтеров с другого города, жалоб и нареканий вообще нету, система стабильно отрабатывает своё на 100%. Если я смогу Вам чемто помочь стучите в асю, 220132344, с удовольствием помогу исходя из своих знаний.

    24 февраля 2010 г. 14:55
  • Спасибо за участие.

    В аську постучался. Моя аська начинается на 338-648-***

    24 февраля 2010 г. 17:04