none
Снова о публикации Exchange 2007 RRS feed

  • Вопрос

  • Здравствуйте Все.

    Вчера с помощью Павла, изменил AutodiscoverVirtualDirectory на Autodiscover.domain.ru, все хорошо работает внутри сети, теперь осталось придумать как опубликовать Autodiscover.domain.ru на ISA 2006, в наличие всего один IP адрес и получается что можно будет создать только один web listener, с одним сертификатом (mail.domain.ru) для OWA и OUTLOOK.

    Можно как нибудь обойти эту проблемму?

    PS.Кажется слышал что есть программа которая позволяет обойти эту проблемму (хотя точно не помню)

    8 июня 2007 г. 11:49

Ответы

Все ответы

  • Попробуйте вот что. Сгенерите запрос на сертификат с использованием нескольких имен (например mail.domain.ru,autodiscover.domain.ru). Это делается с помощью

    New-ExchangeCertificate

    После этого выдайте сертификат на основании этого запроса, использовав certreq и параметр -attrib "template:Web Site" - вроде так. После этого импортируйте сертификат в listener на ISA. Ну и создайте соотвествующие записи в public dns, указывающие на ваш реальный IP

    8 июня 2007 г. 12:27
  • Я так уже пробывал сделать,

    сначала запрос

    New-ExchangeCertificate -GenerateRequest -domainname mail.domain.ru, autodiscover.domain.ru -FriendlyName Exchange2007 -privatekeyexportableEmbarrassedtrue -path c:\cert.txt

     

    Потом выдал сертификат через web оснастку CA c шаблоном web-server, потом импортировал полученный сертефикат в личные сертефикаты ISA, но когда пытаешься создать правило публикации с web listener содержащий этот серификат  для узла   autodiscover.domain.ru, то ISA начинает ругаться о том  что имена не совпадают.

     

     

    8 июня 2007 г. 13:02
  • нашел на форуме пост о такой же проблемме http://forums.microsoft.com/TechNet/ShowPost.aspx?PostID=1161830&SiteID=17 

    только вот так и не понял как же можно решить эту задачку

    8 июня 2007 г. 13:53
  • Есть большая статья по теме Publishing Exchange Server 2007 with ISA Server 2006 

    Возможно это руководство вам поможет.

    Модератор
  • Эту статью я уже прочитал несколько раз.

    Кстати там не слова нет как ISA 2006 работает с сертефикатами которые содержат subject alternative names, и вообще я не нашел информации по требованиям к подобным сертефикатам.

    После установки сертификата на ISA созданного из запроса:

     New-ExchangeCertificate -GenerateRequest -domainname mail.domain.ru, autodiscover.domain.ru -FriendlyName Exchange2007 -privatekeyexportable true -path c:\cert.txt

    При обращение к autodiscover.domain.ru из вне я получаю ошибку "500 Internal Server Error – The target principal name is incorrect"

    Что говорит о несовпадение имени ресурса в сертификате и и самого ресурса ( о чем меня честно предупредил ISA при создании правила публикации для autodiscover.domain.ru)

    А так как у нас используется схема с совпадающеем пространством имен DNS, то при создании правила публикации напортачить было трудно.

    Как Вы думаете, может проблемма с сертефикатом содержащим subject alternative names у меня происходит из за того, что в качестве Standalone CA у меня используется WIN2000ADSRV SP4, и при созданиее сертификата используется шаблон веб-сервера старой версии с которой ISA работает с ошибкой?

     

  • Не могу вам этого рекомендовать потому что это не совсем правильно. Но впринципе вы всегда можете просто пробросить 443 порт на Exchange, который точно работает с такими сертификатами
  • Сегодня попробую у провайдера выпросить еще один public IP,

    Павел, а Вы случайно не знаете, где OUTLOOK 2007 хранит свои настройки по поводу поиска сервиса autodiscover?

     

  • Подскажите пожалуйста,кто знает, конфигурация HTTP POLICY для для опубликованных на ISA сервисов  EX2007 (OWA и OUTLOOK RPC over HTTPS), аналогична как и для EX2003?
  • Для OWA 2007 есть отдельный гайд, а RPC over HTTPS должен быть аналогичный.
    Модератор
  • Информация о autodiscover service хранится в Active Directory с помощью объекта SCP (Service Connection Point)

    http://msdn2.microsoft.com/En-US/library/bb204047.aspx

  • Здравствуйте все.

    В ходе тестирования опубликованных сервисов EX2007 c помощью ISA 2006, наблюдаю следующее.

    В логах ISA при начале соединения например c OWA появляется следующее.

     

    http://mail.domain.ru/owa            12239 The server requires authorization to fulfill the request. Access to the Web server is denied.  Contact the server administrator.          443         https     Denied Connection        89.175.19.210    OWA     anonymous  

     

    После ввода пароля все работает нормально

    в логах :

    http://mail.domain.ru:443/owa    301         443         https     Allowed Connection      89.175.19.210   OWA     home\alex

     

    ISA - член домена, на listener стоит FBA c Windows (AD) auth method, в rule basic auth. Пространство имен совпадающее.

     

    Тоже самое происходит при загрузке OAB для OUTLOOK 2007 и autodiscover, в этих случаях появляется довольно существенная задержка.

    Например OAB грузится 5-7 секунд, хотя состоит только из 100 пользователей, еще дольше грузится OAB при первом подключение профиля OUTLOOK 2007. ( RPC over HTTPS)

     

    Для сравнения OUTLOOK 2003 грузит OAB за 1-2 секунды.

     

    Посоветуйте в какую сторону смотреть.

    Спасибо.

     

    19 июня 2007 г. 16:08
  • Попадались сообщения о том,что Outlook 2007 имеет проблемы производительности. Возможно это как раз ваш случай.
    20 июня 2007 г. 4:29
    Модератор
  • Спасибо за ответ.

    Не как не могу найти доку как настроить HTTP policy для сервисов EX2007, при попытке настроить все аналогично EX2003, у меня перестала загружаться OAB для OUTLOOK 2007.

    Есть где нибудь описание этого ?

    Сейчас при установках HTTP policy  по умолчанию, в логах ISA при загрузке OAB для OUTLOOK в секции error information появляется ошибка с кодом 0xс80.

    Спасибо.

    20 июня 2007 г. 5:22
  • Я приводил ссылку выше. Чем-то не подходит?
    20 июня 2007 г. 7:42
    Модератор
  • Прошу прощения за назойливость.

    но Вы написали в этой теме только

     

    Для OWA 2007 есть отдельный гайд, а RPC over HTTPS должен быть аналогичный.

     

    А вот в этой статье http://www.microsoft.com/technet/isa/2006/deployment/exchange.mspx упоминания о настройках HTTP POLICY я не нашел.

    20 июня 2007 г. 8:04
  • Не понял вашего вопроса. В этой статье описано как настроить публикацию Exchange 2007 на ISA, чтобы клиенты из Интернета могли работать с Exchange. Что вы тогда подразумеваете под "HTTP Policy"? И что хотите настроить?
    20 июня 2007 г. 9:14
    Модератор
  • Аналогично тому как в этой статье http://www.isaserver.org/tutorials/Configuring-ISA-Server-2006-HTTP-Filter.html

    Наверное я не правильно выразился , хочу настроить HTTP Filter для правил публикаций OWA и RPC over HTTPS.

    то есть RULE=>CONFIGURE HTTP=>CONFIGURE HTTP POLICY FOR RULE

    20 июня 2007 г. 14:05
  • На мой взгляд настраивать HTTP Filter для публикации OWA излишне, т.к. все необходимые настройки находятся в правиле публикации и в лисенере. Соответственно я не видел описания HTTP Filter для OWA.

    Что касается RPC over HTTPS, то тут работает RPC Filter, а не HTTP Filter. Опять же достаточно, чтобы он был включен на правиле публикации - остальное он сам сделает.

    21 июня 2007 г. 4:11
    Модератор