none
Не удается опубликовать OWA через FF TMG 2010 RRS feed

  • Общие обсуждения

  • В ISA я пока чайник.

    Есть OWA EX 2007, работающая во внутренней сети идеально, Edge Transport Server на Exchange 2007 SP2 с пограничной подпиской.

    По http://www.oszone.net/print/10281/ настраиваю на Edge FF TMG 2010, сертификат поставил самоподписной (клиент ругается, но это не страшно) при подключении клиента по http://<public domain>/owa вижу желтое окошко авторизации OWA (TMG), а не привычное серое. После ввода логин/пароль появляется надпись "Не удается войти на ''Forefront TMG''. Убедитесь, что доменное имя, имя пользователя и пароль указаны правильно, и повторите попытку." Логин/пароль доменные, правильные. ET/FF не в домене (ADAM). Куда копать?

    20 апреля 2010 г. 13:20

Все ответы

  • Добрый день,

    а приведите , пожалуйста, правила публикации и опишите топологию сети.

    22 апреля 2010 г. 12:51
    Модератор
  • Прослушиватель: порт 443, авторизация FBA с AD с интернета. Самоподписной сертификат

    Правило: Разрешить на mail.localdomain\owa (Внутренний сервер) для Все прошедшие проверку.

    На CA mail.localdomain Basic Authentication.

    FF TMG имеет 2 сети: внутреннюю и внешнюю. CA стоит внутри.

     

    При попытке входа в журнале запись:

     

    Отклоненное соединение GETTA2 23.04.2010 13:58:04
    Тип журнала: Веб-прокси (обратный)
    Состояние: 12302 Сервер отклонил указанный URL-адрес. Обратитесь к администратору сервера. 
    Правило: OWA
    Источник: <IP_CLT>:49221
    Назначение: <IP_Public>:443
    Запрос: GET http://mail.publicdomain/owa
    Информация фильтра: Req ID: 0bf4c93e; Compression: client=Yes, server=No, compress rate=0% decompress rate=0% ; FBA cookie: exists=yes, valid=yes, updated=no, logged off=no, client type=public, user activity=yes
    Протокол: https
    Пользователь: anonymous
     Дополнительные сведения
    Агент клиента: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 3.5.30729; .NET CLR 3.0.30618)
    Источник объекта: (Информация об источнике объекта отсутствует.)
    Данные кэша: 0x0
    Время обработки: 1 MIME-тип:

    23 апреля 2010 г. 10:59
  • не знаю, есть ли такое в ТМГ, в иса 2006 есть функция проверки правила.
    23 апреля 2010 г. 11:13
  • не знаю, есть ли такое в ТМГ, в иса 2006 есть функция проверки правила.
    Есть, конечно. SIOPS, нажмите кнопку проверки правила в правиле публикации OWA.
    23 апреля 2010 г. 11:39
  • Спасибо, проверил: Тестирование https://mail.publicdomain:443/OWA/
    Категория: Ошибка сертификата сервера назначения
    Сведения об ошибке: 0x80090325 - Цепочка сертификатов выпущена центром сертификации, не имеющим доверия.

    Сертификат CA в доверенные центры сертификации добавил. Непонятки какие-то. Можно ли как-то посмотреть получаемый сертификат?

    23 апреля 2010 г. 13:27
  • Спасибо, проверил: Тестирование https://mail.publicdomain:443/OWA/
    Категория: Ошибка сертификата сервера назначения
    Сведения об ошибке: 0x80090325 - Цепочка сертификатов выпущена центром сертификации, не имеющим доверия.

    Сертификат CA в доверенные центры сертификации добавил. Непонятки какие-то. Можно ли как-то посмотреть получаемый сертификат?

    Из внутренней сети с помощью IE откройте https://publicdomain/OWA/, посмотрите сертификат (в заголовке IE нужно кликнуть на него)

    Проверьте, что корневой сертификат вашего CA действительно содержится на TMG в доверенных центрах, в нужном хранилище. Он должен быть в хранилище компьютера, а не пользователя. И сертификат публикуемого узла - тоже должен быть в хранилище компьютера, в личных. Откройте консолью оба хранилища, если сертификаты не в том хранишище - скопируйте их прямо в консоли, из одного хранишища в другое.

    23 апреля 2010 г. 14:51
  • Вот здесь есть решение вашей проблемы:

    http://social.microsoft.com/Forums/en-US/communicationsservercertificates/thread/4dfbf71e-867a-4cce-967b-a71c886d1ffe

    Здесь описана процедура добавления на клиента корневого сертификата локального СА в список довереных CA. Это уже сделано, насколько я понял.
    26 апреля 2010 г. 6:46
  • Может быть дело в том, что DNS имя OWA (т.е. имя которым ты опубликовал Web Access твоего Exchange сервера) которое у тебя, не совпадает с именем которое ты указал в сертификате.
    Если ты можеш открыть OWA (также как ты делаеш это с другого компа) с самого ТМГ браузер не выдаёт предупреждение?
    26 апреля 2010 г. 8:16
  • Уважаемый SlOPS ,

    как продвигается решение проблемы?

    27 апреля 2010 г. 10:15
    Модератор
  • Добавил центр сертификации как говорил Kf_GoldFish. Осталась проблема с CN сертификата (теперь ругается сюда). Сейчас буду переиздавать.

    С самого TMG переход на OWA ведет к "Код ошибки 12206: петля прокси-цепочки".
    29 апреля 2010 г. 6:14
  • С самого TMG переход на OWA ведет к "Код ошибки 12206: петля прокси-цепочки".

    Не знаю для чего это вам потребовалось, но чтобы не было ошибки, на TMG нужно сделать разрешающее правило для HTTP/HTTPS от локального компьютера к серверу на котором находится OWA для всех пользователей

    Если вы таким образом проверяете правило публикации - лучше использовать кнопку проверки в правиле.

    29 апреля 2010 г. 6:24
  • У меня точно такая проблема была когда я делал редирект на ОЩА. Я опубликовал ОЩА на http://owa.domain.ext/ и сделал так что когда узеры заходили на http://owa.domain.ext он редиректился на HTTPS саит. Редирект делал спомошью рула в ТМГ. Проблема была в том что когда я заходил http://owa.domain.ext ТМГ мне давал окно авторизации а после того как я заводил усерa и пароль выкидывал мне такую же ошибку.Если у тебя тоже самое постараюсь помочь.
    29 апреля 2010 г. 6:28
  • Окошко стало серым (подключаюсь на тестовый сервер), но по-прежнему "не удается войти на Forefront TMG. Убедитесь, что доменное имя, имя пользователя и пароль указаны правильно, и повторите попытку".

    Результаты проверки правила:

    Время, зафиксированное службой межсетевого экрана Microsoft Forefront TMG: 0,030 сек.
    Тестирование https://mailo.localdomain:443/owa
    Категория: Общее предупреждение
    Сведения об ошибке: Внутренний путь URL-адреса был определен как часть правила публикации сервера SharePoint или Exchange.
    Действие: Используйте мастер правил публикации SharePoint или мастер правил публикации Exchange.

    29 апреля 2010 г. 9:07
  • Время, зафиксированное службой межсетевого экрана Microsoft Forefront TMG: 0,003 сек.
    HTTP-ответ: 401 Нет авторизации
    Тестирование успешно завершено для этого URL-адреса.

    Окошко желтое, но все равно не пускает

    Что удалось выяснить: Клиент соединяется по HTTPS на TMG, но никакой трафик на сервер Exchange почему-то не идет. Похоже, что TMG не авторизует сам, даже не пытаясь проверить учетку на OWA. Вполне логичен отказ ввиду того, что TMG не в домене, а значит учетные данные ему проверить никак не удается. Теперь я совсем ничего не понимаю: как же TMG будет авторизовывать на домене, не имея к нему никакого отношения кроме как ADAM от Edge?

     

    29 апреля 2010 г. 9:15
  • Хм...

    Уже давно установлено, что TMG в домене - добро.

    Как воркараунд, но не бест-практис, можете попробовать сделать всех пользователей локально на TMG, но это не самое лучшее, что может быть.

    Модератор
  • Добрый день, посмотрите вот это - для общего понимания ситуации.

    Как продвигается решение проблемы на данный момент?

    Модератор