none
Проблема с RPC over HTTP RRS feed

  • Вопрос

  • Ситуация следующая.

    Мы являемся филиалом большой компании, территориально находимся в разных городах.

    У нас свой домен AD, с интернетом соединены при помощи ISA 2006. Пользователям разрешается использовать любой протокол.

    Для нас создали почтовые ящики на почтовом сервере Exchange 2003 в главном офисе. Мы должны подключаться к ним с помощью RPC over HTTP.

    Я создаю новый почтовый профиль, где указываю имя почтового сервера (Exchange), имя пользователя, задаю Exchange Proxy (все эти параметры мне прислали, они неоднократно проверены, я сам делал это несколько раз на разных машинах) . Но при включении Outlook 2003 он бесконечно запрашивает пароль и не цепляется к почтовому ящику.

    Нашёл такую проблему при конфигурировании RPC over HTTP:

    It is important to note that you must create the Outlook 2003 profile while the Outlook 2003 computer is on the internal network, or while the Outlook 2003 computer is on the Internet and can access the Exchange Server using RPC (TCP 135 – typically through an ISA Server 2000 secure Exchange RPC Publishing rule). You will not be able to create a new profile or change an existing profile to use RPC over HTTP if is does not have access to the Exchange Server via RPC (TCP 135).

     

    Правильно ли я понял: чтобы задействовать RPC over HTTP, нужно сперва подцепиться к почтовому ящику стандартнум способом, без использования HTTP?

    В этом ли проблема? Как можно обойти?

    Никаких сертификатов нам выслано не было.

    В главном офисе работоспособность ящиков, паролей и самого сервера проверяли.

    Заранее спасибо.

    • Перемещено Tina_Tian 19 марта 2012 г. 3:13 forum merge (От:Exchange Server 2003/2000/5.5)
    21 ноября 2007 г. 3:35

Все ответы

  • -It is important to note that you must create the Outlook 2003 profile while the Outlook 2003 computer is on the internal network, or while the Outlook 2003 computer is on the Internet and can access the Exchange Server using RPC (TCP 135 – typically through an ISA Server 2000 secure Exchange RPC Publishing rule). You will not be able to create a new profile or change an existing profile to use RPC over HTTP if is does not have access to the Exchange Server via RPC (TCP 135).

     

    это ерунда!!!

    Всё нормально подключается через https.

     

    насколько мне известно аутлук нельзя настроить так чтобы соеденение было по HTTP

     

    обязательно нужен сертификат для HTTPS.
    21 ноября 2007 г. 4:42
  • А этот сертификат нужен только для сервера, или для клиентов тоже?

    21 ноября 2007 г. 6:32
  • Речь идет об IIS и настройке на нем https сертификата, соответственно клиенту он не нужен, а нужен только на сервере, если нет особенностей авторизации.

     

    Больше интересует вы правило публикации на ISA правильно настроили? т.е. путь RPC доступен?

    21 ноября 2007 г. 6:46
  • Что бы не было проблем, сертификат CA, выдавшего сертификат "тамошнему" IIS (или, собственно, сертификат самого "тамошнего" IIS, если сертификат самоподписанный) надо поместить в группу "Доверенные корневые центры сертификации" (Trusted Root, если по-английски, кажется).
    21 ноября 2007 г. 7:03
  •  Sergey Bezpalov написано:

    Больше интересует вы правило публикации на ISA правильно настроили? т.е. путь RPC доступен?

    А что именно я должен публиковать на своём ИСА сервере, если мы цепляемся к Эксченджю в другой организации?

     Sadok123 написано:
    Что бы не было проблем, сертификат CA, выдавшего сертификат "тамошнему" IIS (или, собственно, сертификат самого "тамошнего" IIS, если сертификат самоподписанный) надо поместить в группу "Доверенные корневые центры сертификации" (Trusted Root, если по-английски, кажется).

    Значит, из нашего головного офиса нам должны прислать ещё и их сертификат?

    21 ноября 2007 г. 7:37
  •  

    ИМХО, если остальные пользователи работают нормально - то проблемма может быть в:

    1- неправилино настроенном аутлуке (здесь есть немного про то как настроить клиента http://www.isaserver.org/tutorials/ISA-Firewall-Publishing-OWA-RPC-HTTP-Single-IP-Address-Part4.html)

    Я лично часто неправильно писал - mssdt вместо правильного msstd Smile

    2 - сертификат всё таки нужен!

    (сравните сертификаты на нормально работающем компе и проблемном)

     

    21 ноября 2007 г. 7:40
  •  vall-ball написано:

     

    А что именно я должен публиковать на своём ИСА сервере, если мы цепляемся к Эксченджю в другой .... 

    ничего, у вас должен быть открытым HTTPS(443) наружу(к серверу)

    проблема только с одним компьютером?

    21 ноября 2007 г. 7:46
  •  vall-ball написано:



     Sadok123 написано:
    Что бы не было проблем, сертификат CA, выдавшего сертификат "тамошнему" IIS (или, собственно, сертификат самого "тамошнего" IIS, если сертификат самоподписанный) надо поместить в группу "Доверенные корневые центры сертификации" (Trusted Root, если по-английски, кажется).

    Значит, из нашего головного офиса нам должны прислать ещё и их сертификат?



    Не обязательно. Идете куда-то вроде https://external.ip.togo.servera/exchange - он вам все свои сертификаты предьявит. И свой, и своего CA. MSIE, возможно, будет ругаться на неправильный сертификат. Игнорируем и устанавливаем сертификат CA в вруппу "Доверенные корневые центры сертификации"
    21 ноября 2007 г. 8:35
  • RPC over HTTPS не будет работать до тех пор, пока ваш комп не будет доверять сертификату сервера. Поэтому

     

    1. Зайдите на OWA на этом сервере

    2. Вам будет сказано, что сертификат нельзя проверить. Добавьте этот сертификат в доверенные.

    3. Закройте браузер и зайдите в OWA опять. Если окошко предупреждения не выскакивает, то подключайете RPC over HTTPS.

     

    Это довольно распространенная ошибка.

    21 ноября 2007 г. 9:41
    Модератор
  • Пробовал на двух машинах - результат один. Для пользователей открыты все протоколы. Или надо дополнительно открыть 443 протокол и для внешнего мира на ИСЕ?

    По OWA сейчас зашёл без проблем.

    21 ноября 2007 г. 9:48
  •  vall-ball написано:

    Пробовал на двух машинах - результат один. Для пользователей открыты все протоколы. Или надо дополнительно открыть 443 протокол и для внешнего мира на ИСЕ?

    По OWA сейчас зашёл без проблем.

     

    нет открывать ничего больше не надо, всё уже открыто Smile

    У вас на всех компьютерах такая проблемма, если -да - может всётаки RPC/HTTPS не настроен на стороне сервера?

    на сайте OWA посмотрите какой сертификат используется.

    доверяет ли ваш компьютер этому сертификату?

    21 ноября 2007 г. 11:10
  • Разрешите еще раз вернуться к правилу публикации и фильтру пути.

     

    Скажите вы можете с клиента подключаться на https://owa.mydomain.ru/rpc ?

     

    ... и происходит ли процесс авторизации (Basic, NTLM) ...

    21 ноября 2007 г. 12:24
  • При попытке подключиться к https://owa.mydomain.ru/rpc (естественно, я заменил имя домена на имя Exchange Proxy) выдаётся ошибка

    You are not authorized to view this page

    You do not have permission to view this directory or page using the credentials that you supplied.


    Please try the following:

    • Contact the Web site administrator if you believe you should be able to view this directory or page.
    • Click the Refresh button to try again with different credentials.

    HTTP Error 401.1 - Unauthorized: Access is denied due to invalid credentials.
    Internet Information Services (IIS)


    Technical Information (for support personnel)

    • Go to Microsoft Product Support Services and perform a title search for the words HTTP and 401.
    • Open IIS Help, which is accessible in IIS Manager (inetmgr), and search for topics titled Authentication, Access Control, and About Custom Error Messages.

    Правильно ли я понимаю, что в случае OWA доступа нужно просто вместо \rpc после имени домена в браузере набрать \exchange.

    22 ноября 2007 г. 3:03
  • - Правильно ли я понимаю, что в случае OWA доступа нужно просто вместо \rpc после имени домена в браузере набрать \exchange.

     

    -ДА.

     

    повторюсь ещё раз, кто нибудь в вашем сайте использует RPC/HTTPS, если нет - свяжитесь с эксчендж/иса админами и решите вопрос с ними.

    проблема не в вашей исе(в вашем сайте) которая вообще не выполняет никаких функций кроме как разрешает доступ в интернет.

    и вы зря игнорируете вопросы про сертификаты!!!

     

    22 ноября 2007 г. 4:10
  • Извиняюсь насчёт сертификатов.

    Я думаю, что если я получили доступ к почтовому ящику по OWA, то я должен доверять сертификату сервера.

    Разве не так?

    22 ноября 2007 г. 5:28
  • Если предупреждающее сообщение о невозможности проверить сертификат не выскочило, то все нормально.

    22 ноября 2007 г. 5:32
    Модератор
  • А для rpc over http и OWA используется один и тот же сертификат?

    22 ноября 2007 г. 5:36
  • Один сертификат устанавливается на web сервер и все сервисы работающие на нем при необходимости будут пользоваться им.
    Сертификат для OWA и RPC используется, как правило, один, хотя скорее всего RPC и OWA можно их разнести по разным серверам.

    22 ноября 2007 г. 6:07
    Модератор