none
Isa 2006 + Exchange 2007 = Публикация OWA. не получается. RRS feed

  • Вопрос

  • топология следующая:
    Isa 2006
    две физичеких сетевухи-
    одна с внешним адресом
    на второй поднято куча vlan для каждой из внутренних подсетей (192.168.х.х).
    Exchange 2007
    одна физическая сетевуха с адресом 192.168.10.11
    Отделный домен-контроллер с именем domain.local
    на внешних днс прописал адрес exchange.domain.ru
    все делал по мануалу описанному на technet.
    установил на PDC службу сертификации для всего домена.
    Создал сертификат для exchange.
    Экспортировал его в файл.
    Импортировал на ISA.
    Опубликовал с помошью визарда - как описано. по пунктам!
    НЕ РАБОТАЕТ! а именно:
    при запросе с внешнего адреса - exchange.domain.ru
    появляется окно с вводом логина и пароля для OWA.
    Далее - вводим логин и пароль и получаем после некоторых раздумий -
    Код ошибки: 500 Внутренняя ошибка сервера. Главное конечное имя неверно. (-2146893022)
    где моя ошибка? Вторые сутки пробую поменять все что только можно. ничего не помогает.
    в какую сторону смотреть?


    • Перемещено Hengzhe Li 12 марта 2012 г. 5:43 forum merge (От:Exchange Server 2007)
    16 ноября 2007 г. 22:14

Ответы

  • ЗАРАБОТАЛО!!! ура! Smile)

    вся бяка действительно была в том что сертификат надо было делать на узел exchange.domain.LOCAL

    как только сделал именно так все заработало..

    тоесть установил именно этот сертификат для веб узла по умолчанию для самого Exchange

    и добавил именно этот сертификат в хранилище сертификатов ISA.

    далее прослушиватель сделал имено с сертификатом exchange.domain.local. и вуаля. все пашет.

     

    с одной стороны конечно чушь полная.. странно что при обращении из внешней сети говорит что только путь сертификации проследить не может. а так - с сертификатом все ок..

    задумался над тем как убедить начальство в целесообразности покупки настоящего сертификата. 

    в общем спасибо за участие и подсказки. Smile

    17 ноября 2007 г. 20:34

Все ответы

  • Скорее всего ошибка в методах авторизации.

     

    Прочтите ветку http://forums.microsoft.com/TechNet-RU/ShowPost.aspx?PostID=2088418&SiteID=40

     

    Там похожая проблема с публикацией, и описано как автризацию настраивать.

     

    Вот еще полезная ссылка http://www.oszone.net/4306/Exchange_2007_OWA_ISA_Server_2006

    17 ноября 2007 г. 7:23
  • прочитал.

    итак - вывод из всего этого:

    предлагается отключить автотризацию (обычную авторизацию) на isa сервере.

    так?

    основное отличие между картинками

    в той теме при доступе к owa появляется

    Подключено к Microsoft Exchange
    © Корпорация Майкрософт, 2006. Все права защищены.

    у меня же появляется вот такая надпись внизу:

    Выполнено подключение к Microsoft Exchange
    Защищено ''Microsoft Internet Security and Acceleration Server''
    © Корпорация Майкрософт, 2006. Все права защищены.
     

    тоесть там практически самый простейший порт-маппинг.

    потому как в каком то изпрочитанных мной мануалов был описан следующих мезанизм -

    клиент-иса(дешифрация)-иса(проверка)-иса(шифрация)-exchange

     

    именно по такому алгоритму пытается работать мой owa.  в описанном случае, судя по всему, отлючено все счатье - так?

    сегодня вечером попробую через rdp настроить вссе счатье. обязательно сообщу.

     

    кстати - насчет последней ссылки.

    все именно так и сделано..

    единственное не понятно что там за танцы с бубном вокруг dns и файла hosts?

    опять же - та картинка что в конце статьи у меня так же получается. .а вот дальше - увы. после ввода логина и пароля Exchange и вылетает ошибка про "Главное конечное имя неверно."

    в логах isa - написано "ошибка соединения"

    и последнее - мне кажется что проблема не с сертификатами, а в какой то хитрой заморочке с dns зонами и т.д.

    я не с проста выделил цветом  вненюю зону ru и внутреннюю local.

    может в этом направлении копать?

     

     

    17 ноября 2007 г. 12:33
  • В принципе, это редирект с фильтрацией пути доступа (применяется когда возможен только один - общий слушатель для всех служб Exchange, например OWA и ActiveSync).

     

    Можно, так же, включить HTML Form Authentication на ISA и Basic автризацию на стороне Exchange 2007,

    при этом Authentication Delegation должен быть настроен как и Exchange, т.е. Basic. Все данные для автризации будут передоваться по https. При этом Basic может быть заменен на NTLM или Kerberos в зависимости от требований к безопасности у вас на прелприятии.

     

    Про особые настройки DNS для работы предачи авторизации читаю в первый раз...

    17 ноября 2007 г. 12:57
  • 1. нашел ту доку по которой дела первоначально.

    http://www.isadocs.ru/articles/ISA-Firewall-Publishing-OWA-RPC-HTTP-Single-IP-Address-Part1.html

    2.насчет сертификатов..

    а вот как быть? дело в том что сертификат я делаю для доменного имени - exchange.domain.ru

    его же и инсталю на exchange и на isa

    при этом при всем. внутри сети exchnage имеет FQDN - exchange.domain.local

    таким образом - из внутренней сети возникает - ошибка сертификата.с формулировкой что сертификат выдан другому домену.

    да и из внешней так же матюгается. как быть? снаружи то имя другое.

     

    17 ноября 2007 г. 20:11
  • ЗАРАБОТАЛО!!! ура! Smile)

    вся бяка действительно была в том что сертификат надо было делать на узел exchange.domain.LOCAL

    как только сделал именно так все заработало..

    тоесть установил именно этот сертификат для веб узла по умолчанию для самого Exchange

    и добавил именно этот сертификат в хранилище сертификатов ISA.

    далее прослушиватель сделал имено с сертификатом exchange.domain.local. и вуаля. все пашет.

     

    с одной стороны конечно чушь полная.. странно что при обращении из внешней сети говорит что только путь сертификации проследить не может. а так - с сертификатом все ок..

    задумался над тем как убедить начальство в целесообразности покупки настоящего сертификата. 

    в общем спасибо за участие и подсказки. Smile

    17 ноября 2007 г. 20:34
  • Что то вы с сертификатами заигрались !-)

     

    Оптимальный вариант такой, предполагаем что имя внешнего узла owa.domain.ru, а внутреннего intmx.domain.local

     

    1. Создаем лисанер для узла owa.domain.ru и получаем для него сертификат (на имя owa.domain.ru). Создаем правило публикации и включаем авторизацию веб формами ISA сервера, при этом делегируем Basic передачу авторизационных данных на внутренний ресурс (intmx.domain.local).

     

    2. На сервере Exchange 2007 (Client Access) получаем и устанавливаем сертификат для intmx.domain.local. Далее настраиваем OWA на использование Basic авторизации с обязательным требованием https.

     

    В итоге имеем - весь трафик внешних клиентов обслуживается 1 сертификатом, а трафик между ISA и OWA сертификатом 2, при этом все передаваемые данные защищены и пути сертификатов соблюдены.

    17 ноября 2007 г. 21:35
  • Добрый день!

    столкнулся с аналогичной проблемой при публикации OWA Exhange 2003.

    Имеется почтовый сервер с внтуренним именем dc.inet.local, внешний адрес - 87.103.133.30

    как сказано в п.1 создал сертификат для веб-узла с именем 87.103.133.30, импортировал его в хранилище ISA, привязываем листенер к этому сертификату.

    В настройках правила публикации на вкладке "куда" указываю внешнее имя - 87.103.133.30, внутреннее - dc.inet.local

    с п.2 немного непонятно:

    - при использвании того же сертификата 87.103.133.30 на OWA Exchange при попытке входа на https://87.103.133.30/exchweb получаю ошибку: Код ошибки: 500 Внутренняя ошибка сервера. Главное конечное имя неверно. (-2146893022)

    - при использовании нового сертификата для веб-узла с именем dc.inet.local при попытке доступа к OWA получаю ошибку: HTTP Error 403.7 - Forbidden: SSL client certificate is required.
    Internet Information Services (IIS)

    Т.е. на данный момент при входе на   https://87.103.133.30/exchweb проверка сертификата клиента проходит успешно, а вот дальше...

    Вариант как у Vladimir Novikov с одним сертификатом приводит к такой же ошибке.

     

     

     

     

    30 апреля 2011 г. 6:45
  • использовать надо сертификат по имени сервера, обращатся иса должна по этому имени.

    HTTP Error 403.7 - Forbidden: SSL client certificate is required  означает что иис требует сертификат от клиента, а у клиента его скорее всего и нет. требвоние сертификации клиента сними.