none
Exchange 2013, публикация через IIS ARR, отказ в не доверенном соединении. RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    Коллеги, доброго дня!

    Делал публикацию по статье. Пришел к тому, что при развертывании сервисов Exchange 2013 через IIS ARR, пропадает возможность подключения через не доверенное соединение с наружи. На данный момент, у нас нет внешнего сертификата и не известно, когда его согласуют, однако работы продолжать надо. Вопрос - можно ли?

    Мои варианты решения:

    1. Купить сертификат (естественно же).
    2. Установить всем внешним клиентам внутренний рут сертификат, чтобы узел стал доверенным (не хотелось бы).
    3. Отключить на сервере IIS ARR требование установки защищенного канала, чтобы появилась кнопка "Продолжить открытие веб-узла"

    Есть ли какие еще варианты? И как, если это возможно, реализовать 3 вариант?

    Спасибо большое!



    • Изменено Oleg.A 27 мая 2014 г. 9:51
    27 мая 2014 г. 5:54
    |

Ответы

  • Question
    Нужно войти
    0
    Нужно войти

    Чего вы хотите добиться?

    Опубликовать Exchange по HTTP?

    Это крайне не рекомендуется (пароли будут передаваться открытым текстом), а для Outlook Anywhere - просто невозможно (MS Outlook требует HTTPS).

    Слава России!



    Не явно по HTTP, но по "не доверенному" HTTPS, как это работало раньше и сейчас - с "Продолжить открытие этого веб-узла". После публикации через ARR, этот выбор не доступен. Т.е. надо сделать заготовку, рабочую и готовую на 99% (в плане настроек), чтобы потом, когда будет сертификат, его туда импортировать двумя кликами и завершить работу с внедрением IIS ARR.

    Подозреваю, что это сервер с AAR не доверяет сертификату Exchange.

    Просто добавьте этот сертификат, если он самоподписанный (или сертификат корневого CA в иерархии использованной для выдачи этого сертификата, если сертификат не самоподписанный) в хранилище довереных корневых центров сертификации компьютера.

    Слава России!

    • Помечено в качестве ответа Oleg.A 28 мая 2014 г. 8:03
    27 мая 2014 г. 11:40
    |

Все ответы

  • Question
    Нужно войти
    0
    Нужно войти

    Здравствуйте.

    В вашем случае самый простой вариант, самоподписный сертификат. Внешним пользователям разослать *.CER с инструкцией импорта.

    MCITP, PSLP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    27 мая 2014 г. 6:14
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти
    Ничего проще. Закажите себе бесплатный сертификат на StartSSL на год. Сертификат может содержать помимо CN еще одно дополнительное имя и выпускается на год. Я часто использую этот центр для тестовых развертываний.

    Do not multiply entities beyond what is necessary

    27 мая 2014 г. 6:21
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Олег, спасибо за ответ!

    Этот вариант у нас есть, но носить с собой флеш карту с сертификатом постоянно - не совсем удобно (бывает внешние пользователи меняют рабочие места по нескольку раз в день). Очень хотелось бы услышать про возможность реализации 3го варианта.

    27 мая 2014 г. 6:22
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Сертификат можно распространить через GPO, в сети компании.

    OWA доступна, зачем флешка?

    MCITP, PSLP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    • Помечено в качестве ответа Oleg.A 27 мая 2014 г. 7:32
    • Снята пометка об ответе Oleg.A 27 мая 2014 г. 7:32
    27 мая 2014 г. 6:24
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    OWA опубликованная через IIS ARR не доступна без сертификата.

    p.s. Извиняюсь за мисс клик :)

    • Изменено Oleg.A 27 мая 2014 г. 7:33
    27 мая 2014 г. 7:31
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Возможно ли вообще публиковать сервисы через IIS ARR, не требуя создания безопасного туннеля на основе сертификатов?
    27 мая 2014 г. 9:42
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Чего вы хотите добиться?

    Опубликовать Exchange по HTTP?

    Это крайне не рекомендуется (пароли будут передаваться открытым текстом), а для Outlook Anywhere - просто невозможно (MS Outlook требует HTTPS).

    Слава России!


    • Изменено M.V.V. _ 27 мая 2014 г. 10:07
    27 мая 2014 г. 10:06
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Я же вам написал, где взять сертификат на то время, пока вы не приобрели коммерческий.

    Do not multiply entities beyond what is necessary

    27 мая 2014 г. 10:12
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Чего вы хотите добиться?

    Опубликовать Exchange по HTTP?

    Это крайне не рекомендуется (пароли будут передаваться открытым текстом), а для Outlook Anywhere - просто невозможно (MS Outlook требует HTTPS).

    Слава России!



    Не явно по HTTP, но по "не доверенному" HTTPS, как это работало раньше и сейчас - с "Продолжить открытие этого веб-узла". После публикации через ARR, этот выбор не доступен. Т.е. надо сделать заготовку, рабочую и готовую на 99% (в плане настроек), чтобы потом, когда будет сертификат, его туда импортировать двумя кликами и завершить работу с внедрением IIS ARR.
    27 мая 2014 г. 10:25
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Я же вам написал, где взять сертификат на то время, пока вы не приобрели коммерческий.

    Do not multiply entities beyond what is necessary


    У меня то ли форум глючит, то ли голова. До этого момента у меня не отображалось Вашего поста. Сейчас ознакомлюсь, возможно это нам подойдет, спасибо большое! :)
    27 мая 2014 г. 10:28
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Точно подойдет, поскольку в нескольких тестовых развертываниях эти сертификаты вполне нормально отрабатывали.

    Do not multiply entities beyond what is necessary

    27 мая 2014 г. 10:46
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Чего вы хотите добиться?

    Опубликовать Exchange по HTTP?

    Это крайне не рекомендуется (пароли будут передаваться открытым текстом), а для Outlook Anywhere - просто невозможно (MS Outlook требует HTTPS).

    Слава России!



    Не явно по HTTP, но по "не доверенному" HTTPS, как это работало раньше и сейчас - с "Продолжить открытие этого веб-узла". После публикации через ARR, этот выбор не доступен. Т.е. надо сделать заготовку, рабочую и готовую на 99% (в плане настроек), чтобы потом, когда будет сертификат, его туда импортировать двумя кликами и завершить работу с внедрением IIS ARR.

    Подозреваю, что это сервер с AAR не доверяет сертификату Exchange.

    Просто добавьте этот сертификат, если он самоподписанный (или сертификат корневого CA в иерархии использованной для выдачи этого сертификата, если сертификат не самоподписанный) в хранилище довереных корневых центров сертификации компьютера.

    Слава России!

    • Помечено в качестве ответа Oleg.A 28 мая 2014 г. 8:03
    27 мая 2014 г. 11:40
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Точно подойдет, поскольку в нескольких тестовых развертываниях эти сертификаты вполне нормально отрабатывали.

    Do not multiply entities beyond what is necessary

    Есть подводные камни же. Например отменить сертификат этот будет стоить 24.90$ :)

    Пока думаем.

    27 мая 2014 г. 12:40
    |
  • Question
    Нужно войти
    0
    Нужно войти
    На клиенте все равно же придется ставить корневой, если у нас не 3d party?!
    27 мая 2014 г. 13:44
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Если сертификат не из списка UC Microsoft Partner certification, то надо будет импортировать Root.

    MCITP, PSLP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    27 мая 2014 г. 14:07
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    В общем в итоге вроде как да. После того, как IIS стал доверять Exchange, появилась опция продолжения работы, помечу как ответ :)

    Насчет сертификата, идея хорошая, только если речь идет о продуктиве (как у меня), лучше бы все просчитывать наперед, в частности что отзыв сертификата платный, не смотря на его "бесплатность".

    28 мая 2014 г. 8:03
    |