none
Проблема с проксированием Outlook Anywhere на дочерний SMTP-домен. RRS feed

  • Вопрос

  • Коллеги, первый раз столкнулся с такой проблемой.

    Есть организация Exchange 2013 CU9.

    Все пользователи AD расположены в одном домене AD.

    Расположение Exchange-серверов: 4 сервера в ЦО, по 1 серверу CAS+Mailbox совмещенных в каждом филиале.

    В центральном офисе все почтовые адреса имеют вид: @firma.ru

    Также есть филиалы, там у пользователей все SMTP-адреса имеют вид: @spb.firma.ru, @psk.firma.ru.

    Внешние записи в DNS: mail.firma.ru, autodiscover.firma.ru, autodiscover.spb.firma.ru, autodiscover.psk.firma.ru

    Все записи смотрят на IP, который транслирован прямым NAT на CAS-сервер в центральном офисе.

    Outlook Anywhere извне работает штатно для пользователей центрального офиса с адресами @firma.ru.

    Если подключаться пользователем с филиала, то Outlook Anywhere не работает. Если пользователю добавить SMTP-адрес @firma.ru, то начинает работать. Очень хочется этого избежать.

    Согласно документации в настройках всех серверов в филиалах не указан ExternalURL на всех виртуальных каталогах.

    OWA проксирует без проблем, ActiveSync работает штатно, но для пользователей филиалов не работает Autodiscover для мобильных устройств.

    Кто нибудь сталкивался с такой проблемой, коллеги?




    7 августа 2015 г. 15:59

Ответы

Все ответы

  • Добрый день!

    В сертификате на CAS есть все имена Anywhere виртуального каталога в офисах?

    7 августа 2015 г. 20:24
  • Проще всего в данном случае изменить настройку автообнаружения для филиалов. Сделать его через SRV запись, которая будет вести на autodiscover.firma.ru. Или с помощью перенапавления http.
    • Изменено Tema_BYMVP 8 августа 2015 г. 12:05
    8 августа 2015 г. 12:03
  • Добрый день.

    Используется wildcard-сертификат от стороннего поставщика.

    8 августа 2015 г. 19:14
  • SRV запись заведена, мне кажется, что тут дело в аутентификации и пользователь с филиальным адресом аутентифицируется как @spb.firma.ru, и из-за этого ничего не проксирует.

    Как я уже сказал, добавляя пользователю филиала адрес @firma.ru он прекрасно подключается к серверу.

    8 августа 2015 г. 19:15
  • Вы сказали, что используете Wildcard сертификат. Так вот, он будет действовать только для доменов *.firma.ru и для firma.ru. А вот для *.spb.firma.ru он не подходит. Соответственно, автообнаружение по HTTPS на autodiscover.spb.firma.ru работает не корректно. Можете проверить с помощью testconnectivity:

    https://testconnectivity.microsoft.com/
    8 августа 2015 г. 20:20
  • ерунда какая-то, в чем тогда смысл использования wildcard, если он не подходит в такой ситуации?)
    9 августа 2015 г. 10:34
  • ерунда какая-то, в чем тогда смысл использования wildcard, если он не подходит в такой ситуации?)

    wildcard:

    Because the wildcard only covers one level of subdomains (the asterisk doesn't match full stops), these domains would not be valid for the certificate:

    • test.login.example.com

    вам нужен обычный UCC с SAN записями о каждом почтовом домене. wildcard обычно используется для веб-хотсинга, но не для почтовых коммуникаций.

    Проще всего в данном случае изменить настройку автообнаружения для филиалов. Сделать его через SRV запись, которая будет вести на autodiscover.firma.ru.
    у нас установлен UCC для 5 почтовых доменов. появился 6-ой, и чтобы не покупать новый сертифкат как раз и разрулили его через SRV
    9 августа 2015 г. 11:37
    Модератор
  • Wildcard подходит. Как я говорил ранее, надо настроить автообнаружение с помощью HTTP redirect или SRV. Вот статья:

    http://www.lin.by/2015/08/microsoft-exchange-2013-wildcard.html

    9 августа 2015 г. 21:04
  • Кончено подходит, стоит только дороже...

    10 августа 2015 г. 6:17
    Модератор
  • В статье, ссылку на которую я указал выше, используется сертификат с одним доменным именем (стоит около 1000р/год). Дешевле уже только свой СА поднимать и устанавливать клиентам корневой сертификат :) Еще можно бесплатный китайский установить, но это точно не лучший вариант.
    10 августа 2015 г. 7:18
  •  используется сертификат с одним доменным именем (стоит около 1000р/год).
    а сколько wildcard стоит?
    10 августа 2015 г. 7:24
    Модератор
  • Около 10 000. Можете посмотреть, например, тут:

    http://www.activecloud.ru/ru/services/ssl/geotrust/
    10 августа 2015 г. 7:52