none
Exchange 2013, публикация через IIS ARR, отказ в не доверенном соединении. RRS feed

  • Вопрос

  • Коллеги, доброго дня!

    Делал публикацию по статье. Пришел к тому, что при развертывании сервисов Exchange 2013 через IIS ARR, пропадает возможность подключения через не доверенное соединение с наружи. На данный момент, у нас нет внешнего сертификата и не известно, когда его согласуют, однако работы продолжать надо. Вопрос - можно ли?

    Мои варианты решения:

    1. Купить сертификат (естественно же).
    2. Установить всем внешним клиентам внутренний рут сертификат, чтобы узел стал доверенным (не хотелось бы).
    3. Отключить на сервере IIS ARR требование установки защищенного канала, чтобы появилась кнопка "Продолжить открытие веб-узла"

    Есть ли какие еще варианты? И как, если это возможно, реализовать 3 вариант?

    Спасибо большое!



    • Изменено Oleg.A 27 мая 2014 г. 9:51

Ответы

  • Чего вы хотите добиться?

    Опубликовать Exchange по HTTP?

    Это крайне не рекомендуется (пароли будут передаваться открытым текстом), а для Outlook Anywhere - просто невозможно (MS Outlook требует HTTPS).


    Слава России!



    Не явно по HTTP, но по "не доверенному" HTTPS, как это работало раньше и сейчас - с "Продолжить открытие этого веб-узла". После публикации через ARR, этот выбор не доступен. Т.е. надо сделать заготовку, рабочую и готовую на 99% (в плане настроек), чтобы потом, когда будет сертификат, его туда импортировать двумя кликами и завершить работу с внедрением IIS ARR.

    Подозреваю, что это сервер с AAR не доверяет сертификату Exchange.

    Просто добавьте этот сертификат, если он самоподписанный (или сертификат корневого CA в иерархии использованной для выдачи этого сертификата, если сертификат не самоподписанный) в хранилище довереных корневых центров сертификации компьютера.


    Слава России!

    • Помечено в качестве ответа Oleg.A 28 мая 2014 г. 8:03

Все ответы

  • Здравствуйте.

    В вашем случае самый простой вариант, самоподписный сертификат. Внешним пользователям разослать *.CER с инструкцией импорта.


    MCITP, PSLP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    Модератор
  • Ничего проще. Закажите себе бесплатный сертификат на StartSSL на год. Сертификат может содержать помимо CN еще одно дополнительное имя и выпускается на год. Я часто использую этот центр для тестовых развертываний.

    Do not multiply entities beyond what is necessary

  • Олег, спасибо за ответ!

    Этот вариант у нас есть, но носить с собой флеш карту с сертификатом постоянно - не совсем удобно (бывает внешние пользователи меняют рабочие места по нескольку раз в день). Очень хотелось бы услышать про возможность реализации 3го варианта.

  • Сертификат можно распространить через GPO, в сети компании.

    OWA доступна, зачем флешка?


    MCITP, PSLP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    • Помечено в качестве ответа Oleg.A 27 мая 2014 г. 7:32
    • Снята пометка об ответе Oleg.A 27 мая 2014 г. 7:32
    Модератор
  • OWA опубликованная через IIS ARR не доступна без сертификата.

    p.s. Извиняюсь за мисс клик :)

    • Изменено Oleg.A 27 мая 2014 г. 7:33
  • Возможно ли вообще публиковать сервисы через IIS ARR, не требуя создания безопасного туннеля на основе сертификатов?
  • Чего вы хотите добиться?

    Опубликовать Exchange по HTTP?

    Это крайне не рекомендуется (пароли будут передаваться открытым текстом), а для Outlook Anywhere - просто невозможно (MS Outlook требует HTTPS).


    Слава России!


    • Изменено M.V.V. _ 27 мая 2014 г. 10:07
  • Я же вам написал, где взять сертификат на то время, пока вы не приобрели коммерческий.

    Do not multiply entities beyond what is necessary

  • Чего вы хотите добиться?

    Опубликовать Exchange по HTTP?

    Это крайне не рекомендуется (пароли будут передаваться открытым текстом), а для Outlook Anywhere - просто невозможно (MS Outlook требует HTTPS).


    Слава России!



    Не явно по HTTP, но по "не доверенному" HTTPS, как это работало раньше и сейчас - с "Продолжить открытие этого веб-узла". После публикации через ARR, этот выбор не доступен. Т.е. надо сделать заготовку, рабочую и готовую на 99% (в плане настроек), чтобы потом, когда будет сертификат, его туда импортировать двумя кликами и завершить работу с внедрением IIS ARR.
  • Я же вам написал, где взять сертификат на то время, пока вы не приобрели коммерческий.

    Do not multiply entities beyond what is necessary


    У меня то ли форум глючит, то ли голова. До этого момента у меня не отображалось Вашего поста. Сейчас ознакомлюсь, возможно это нам подойдет, спасибо большое! :)
  • Точно подойдет, поскольку в нескольких тестовых развертываниях эти сертификаты вполне нормально отрабатывали.

    Do not multiply entities beyond what is necessary

  • Чего вы хотите добиться?

    Опубликовать Exchange по HTTP?

    Это крайне не рекомендуется (пароли будут передаваться открытым текстом), а для Outlook Anywhere - просто невозможно (MS Outlook требует HTTPS).


    Слава России!



    Не явно по HTTP, но по "не доверенному" HTTPS, как это работало раньше и сейчас - с "Продолжить открытие этого веб-узла". После публикации через ARR, этот выбор не доступен. Т.е. надо сделать заготовку, рабочую и готовую на 99% (в плане настроек), чтобы потом, когда будет сертификат, его туда импортировать двумя кликами и завершить работу с внедрением IIS ARR.

    Подозреваю, что это сервер с AAR не доверяет сертификату Exchange.

    Просто добавьте этот сертификат, если он самоподписанный (или сертификат корневого CA в иерархии использованной для выдачи этого сертификата, если сертификат не самоподписанный) в хранилище довереных корневых центров сертификации компьютера.


    Слава России!

    • Помечено в качестве ответа Oleg.A 28 мая 2014 г. 8:03
  • Точно подойдет, поскольку в нескольких тестовых развертываниях эти сертификаты вполне нормально отрабатывали.

    Do not multiply entities beyond what is necessary

    Есть подводные камни же. Например отменить сертификат этот будет стоить 24.90$ :)

    Пока думаем.

  • На клиенте все равно же придется ставить корневой, если у нас не 3d party?!
  • Если сертификат не из списка UC Microsoft Partner certification, то надо будет импортировать Root.

    MCITP, PSLP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    Модератор
  • В общем в итоге вроде как да. После того, как IIS стал доверять Exchange, появилась опция продолжения работы, помечу как ответ :)

    Насчет сертификата, идея хорошая, только если речь идет о продуктиве (как у меня), лучше бы все просчитывать наперед, в частности что отзыв сертификата платный, не смотря на его "бесплатность".