none
Проблема в работе Outlook (2007/2010) + XP с Exchange Server 2013 RRS feed

  • Вопрос

  • Коллеги, приветствую!

    После восстановления сервера Exchange возникла следующая проблема - стали появляться постоянные запросы на ввод пароля при запуске Outlook на машинах с ХР. Стал смотреть темы на форуме и делать то, что было приведено в качестве рекомендаций. В итоге было сделано следующее:

    1. Set-OutlookProvider EXPR -CertPrincipalName:"msstd:mx.domen.ru"

    2.Get-OutlookAnywhere|Set-OutlookAnywhere -internalclientsrequiressl $False

    3. Для IIS  были установлены методы аутентификации Basic, Ntlm, Negotiate

    И всё равно на некоторых машинах не перестают появляться запросы на ввод пароля, причем пароли не принимаются и запрос так и продолжает висеть.

    При этом после выполнения второй команды стали появляться запросы на ввод пароля на системах с Win7/8 и Outlook 2010/2013

    Что делать? Может быть, дело в следующем:

    Get-OutlookAnywhere | fl *internal*, *external*


    InternalHostname                   : mx.domen.ru
    InternalClientAuthenticationMethod : Ntlm
    InternalClientsRequireSsl          : False
    ExternalHostname                   : mx.domen.ru
    ExternalClientAuthenticationMethod : Ntlm
    ExternalClientsRequireSsl          : True

    И ещё такой вопрос - индивидуально меняю настройки в Outlook (установка/снятие галочек в Параметрах прокси-сервера Exchange), вроде почта начинает ходить, но через пару минут все галочки снова становятся так, как загружаются изначально. Как сделать так, чтобы этого не происходило или это невозможно?


    • Изменено moskos 15 декабря 2014 г. 15:16
    15 декабря 2014 г. 15:16

Ответы

  • Может быть, стоит попробовать провести эксперименты с сертификатом (с его перевыпуском) ?
    Да, создайте сертификат для mx.domen.ru, а autodiscover и т.д. запишите в SAN.
    • Помечено в качестве ответа moskos 17 декабря 2014 г. 7:07
    16 декабря 2014 г. 14:38

Все ответы

  • И ещё вопрос - это нормально когда в Outlook имя сервера имеет вид 2527e89a-fc3c-42ba-a7ce-d92cdbe21ff3@domen.ru ??
    15 декабря 2014 г. 15:22
  • И ещё вопрос - это нормально когда в Outlook имя сервера имеет вид 2527e89a-fc3c-42ba-a7ce-d92cdbe21ff3@domen.ru ??

    Нормально, в Exchange 2013 вместо адреса сервера указан GUID почтового ящика.

    По поводу сертификатов и XP:

    1. Сертификат должен быть выдан доверенным CA, самоподписные не работают.
    2. Внешний и внутренний хостнеймы должны совпадать.
    3. InternalClientsRequireSsl и ExternalClientAuthenticationMethod верните назад.

    Запросы всё равно могут появляться на компьютерах с неисправной ОС, но это уже не проблема Exchange.

    15 декабря 2014 г. 19:44
  • И ещё вопрос - это нормально когда в Outlook имя сервера имеет вид 2527e89a-fc3c-42ba-a7ce-d92cdbe21ff3@domen.ru ??

    Нормально, в Exchange 2013 вместо адреса сервера указан GUID почтового ящика.

    По поводу сертификатов и XP:

    1. Сертификат должен быть выдан доверенным CA, самоподписные не работают.
    2. Внешний и внутренний хостнеймы должны совпадать.
    3. InternalClientsRequireSsl и ExternalClientAuthenticationMethod верните назад.

    Запросы всё равно могут появляться на компьютерах с неисправной ОС, но это уже не проблема Exchange.

    Сертификат выдавался СА на контроллере домена. Внешний и внутренний хостнеймы не совпадают. Внешние mx и mail, а внутренний cit-reg-xchange . Это действительно обязательное условие? Что делать в нашем случае? Подметил одну вещь - я сам делал сертификат по этой статье http://itadm.pro/sozdanie-podpisannogo-domennym-ca-sertifikata-exchange-2013 и жалоб не было. Потом другой админ заметил, что я забыл одно из внешних имён (которое сейчас, собственно, не используется снаружи) и пересоздал сертификат (каким образом он его делал, не знаю) и первым именем в сертификате идёт как раз это внешнее имя. 

    • Изменено moskos 16 декабря 2014 г. 7:35
    15 декабря 2014 г. 21:20
  • И ещё вопрос - это нормально когда в Outlook имя сервера имеет вид 2527e89a-fc3c-42ba-a7ce-d92cdbe21ff3@domen.ru ??

    Спасибо, буду знать!
    15 декабря 2014 г. 21:22
  • Имена, включенные в сертификат Exchange зависят от того, каким способом вы будете публиковать службы Exchange для внешнего доступа. Если посредством обратного прокси, то для прокси запрашивается и покупается отдельный, коммерческий сертификат.

    По части клиентов с Windows XP - это не проблема Exchange 2013, это проблема XP, вернее ее возможностями по работе с SAN и Wildcard сертификатами. Поищите по форуму - буквально недавно тема поднималась - в течение последней недели точно.


    Do not multiply entities beyond what is necessary

    16 декабря 2014 г. 5:24

  • По части клиентов с Windows XP - это не проблема Exchange 2013, это проблема XP, вернее ее возможностями по работе с SAN и Wildcard сертификатами. Поищите по форуму - буквально недавно тема поднималась - в течение последней недели точно.


    Do not multiply entities beyond what is necessary

    Да, это я уже понял, что проблема на стороне ХР в не умении перебирать имена в сертификате. Только мне от этого понимания не легче. )) Я просмотрел достаточно много последних тем, связанных с этой проблемой, но ни одно решение не вылечило проблему полностью. Просто есть компы, обновлять которые достаточно проблематично в виду большого числа установленного специфичного софта. Почта на них не работает, а до того как сервак упал, почта работала. Значит, можно сделать вывод о том, что всё-таки проблема где-то в настройках сервера, а не на стороне клиента.

    Может быть, стоит попробовать провести эксперименты с сертификатом (с его перевыпуском) ?


    • Изменено moskos 16 декабря 2014 г. 7:41
    16 декабря 2014 г. 7:41

  • ExternalClientAuthenticationMethodНе трогал

    InternalClientsRequireSsl

    Вернул

    Внешний и внутренний хостнеймы должны совпадать.

    Из результата Get-OutlookAnywhere видно, что совпадают.

    16 декабря 2014 г. 7:52
  • Может быть, стоит попробовать провести эксперименты с сертификатом (с его перевыпуском) ?
    Да, создайте сертификат для mx.domen.ru, а autodiscover и т.д. запишите в SAN.
    • Помечено в качестве ответа moskos 17 декабря 2014 г. 7:07
    16 декабря 2014 г. 14:38
  • Может быть, стоит попробовать провести эксперименты с сертификатом (с его перевыпуском) ?

    Да, создайте сертификат для mx.domen.ru, а autodiscover и т.д. запишите в SAN.
    Так и сделал в итоге, всё зашевелилось как надо.
    17 декабря 2014 г. 7:07