none
Exchange 2010 +TMG + EDGE ошибка подключения anywere outlook, activesync и owa RRS feed

  • Общие обсуждения

  • Доброе время суток.

    Есть проблема с доступом из интернета на локальный почтовый сервер.

     

    Исходные данные:

    1) На почтовом сервере установлен Exchange 2010 - mail.mydomain.local 192.168.100.3

    2) На сервере, который имеет непосредственно выход в интернет стоят TMG 2010 + роль Edge  - gateway (есть только 1 статический ip, поднимается pppoe). Этот сервер не в домене (но с доменным префиксом) 192.168.100.254

    3) dc.mydomain.local - AD, DNS-local,DHCP, CA 192.168.100.1

    На пограничном сервере опубликованы прослушиватели для OWA, Anywere Outlook, ActiveSync. В TMG настроен E-mail Policy. Использовались следующие материалы :

    http://www.alexxhost.ru/2010/07/outlook-anywhere-autodiscover.html

    http://www.alexxhost.ru/2010/07/exchange-2010-owa-activesync.html

    http://www.alexxhost.ru/2010/07/exchange-2010_20.html

    http://www.alexxhost.ru/2011/05/ms-exchange-20072010-edge-subscription.html#uds-search-results и т.п.

    Сертификат не покупной, а выданный СА AD (с включением SAN). Снаружи на пк установлен в корень сертификат самого CA.

     

    DNS внешний (арендуемый)

    Основные записи А:

    mydomain.ru   1.2.3.4

    mail     1.2.3.4

    www    1.2.3.4

    autodiscover   1.2.3.4  

    DNS внутренний (находится на dc.mydomain.local)

    ….

    Mail      192.168.100.3

    Autodiscover   192.168.100.3

     

    После настройки самого почтовика, роли edge и прослушивателей в TMG, без проблем локально (не зависимо в домене ли пк или нет) подключиться и к owa и outlook-ом. 

    При попытке подключиться снаружи outlook сообщает, что не может установить шифрованное соединение, а потом и не зашифрованное.

    Owa показывает интерфейс запроса логина и пароля, но авторизация не проходит, (и mydomain.local\user - pass, mydomain.ru\user - pass).

    В логах TMG при подключении outlook наблюдаю попытки подключиться на все почтовые порты (большинство закрыто на вход, работают только прослушиватели и правила e-mail policy ) и успешные на 25 и 443. При каждой попытке настроить соединения появляется два сообщение :

    1)

    Denied Connection 

    Log type: Web Proxy (Reverse)

    Status: 12309 The server requires authorization to fulfill the request. Access to the Web server is denied. Contact the server administrator. 

    Rule: Outlook Anywhere

    Source: 46.56.134.179:61938

    Destination: X.X.X.X:443

    Request: POST http://autodiscover.mydomain.ru/autodiscover/autodiscover.xml

    Filter information: Req ID: 0e3d5b46; Compression: client=No, server=No, compress rate=0% decompress rate=0% ; FBA cookie: exists=no, valid=no, updated=no, logged off=no, client type=unknown, user activity=yes

    Protocol: https

    User: anonymous

                Additional information

    Client agent: Microsoft Office/14.0 (Windows NT 6.1; Microsoft Outlook 14.0.4760; Pro)

    Object source: (No source information is available.)

    Cache info: 0x0

    Processing time: 1 MIME type:

     

     

     

    2)

    Failed Connection Attempt GATEWAY 18.12.2011 18:15:02

    Log type: Web Proxy (Reverse)

    Status: 58 Указанный сервер не может выполнить требуемую операцию. 

    Rule: Outlook Anywhere

    Source: 46.56.134.179:61938

    Destination: 1.2.3.4:443

    Request: POST http://autodiscover.mydomain.ru/autodiscover/autodiscover.xml

    Filter information: Req ID: 0e3d5b49; Compression: client=No, server=No, compress rate=0% decompress rate=0% ; FBA cookie: exists=no, valid=no, updated=no, logged off=no, client type=unknown, user activity=yes

    Protocol: https

    User: anonymous

     Additional information

    Client agent: Microsoft Office/14.0 (Windows NT 6.1; Microsoft Outlook 14.0.4760; Pro)

    Object source: (No source information is available.)

    Cache info: 0x8 (Request includes the AUTHORIZATION header.)

    Processing time: 1 MIME type:



    18 декабря 2011 г. 16:57

Все ответы

  • Тесты с testexchangeconnectivity.com
    Outlook Anywhere (RPC через HTTP)
    Проверка подключения RPC/HTTP.

    Не удалось выполнить проверку RPC/HTTP.

    Этапы проверки
    Анализатором ExRCA выполняется попытка проверки службы автообнаружения для patjomkin@mydomain.ru.

    Не удалось выполнить проверку автообнаружения.

    Этапы проверки
    Проверка каждого способа подключения к службе автообнаружения.
    Не удалось успешно подключиться к службе автообнаружения каким-либо способом.
    Этапы проверки
    Попытка проверить потенциальный URL-адрес автообнаружения https://mydomain.ru/AutoDiscover/AutoDiscover.xml
    Не удалось выполнить проверку потенциального URL-адреса автообнаружения.
    Этапы проверки
    Attempting to resolve the host name mydomain.ru in DNS.
    The host name resolved successfully.
    Bitmap Дополнительные сведения
    IP addresses returned: 1.2.3.4
    Testing TCP port 443 on host mydomain.ru to ensure it's listening and open.
    The port was opened successfully.
    Testing the SSL certificate to make sure it's valid.
    The SSL certificate failed one or more certificate validation checks.
    Этапы проверки
    ExRCA is attempting to obtain the SSL certificate from remote server mydomain.ru on port 443.
    ExRCA successfully obtained the remote SSL certificate.
    Дополнительные сведения
    Remote Certificate Subject: CN=mail.mydomain.ru, OU=no, O=MyFirm, L=City, S=City, C=RU, Issuer: CN=mydomain-DC-CA, DC=mydomain, DC=local.
    Validating the certificate name.
    Certificate name validation failed.
    Bitmap
     Подробные сведения об этой проблеме и способах ее устранения
    Bitmap Дополнительные сведения
    Host name mydomain.ru doesn't match any name found on the server certificate CN=mail.mydomain.ru, OU=no, O=MyFirm, L=City, S=City, C=RU.
    18 декабря 2011 г. 17:14
  •  
    Попытка проверить потенциальный URL-адрес автообнаружения https://autodiscover.mydomain.ru/AutoDiscover/AutoDiscover.xml
      Не удалось выполнить проверку потенциального URL-адреса автообнаружения.
        Этапы проверки
        Attempting to resolve the host name autodiscover.mydomain.ru in DNS.
      The host name resolved successfully.
        Дополнительные сведения
      IP addresses returned: 1.2.3.4
     
      Testing TCP port 443 on host autodiscover.mydomain.ru to ensure it's listening and open.
      The port was opened successfully.
     
      Testing the SSL certificate to make sure it's valid.
      The SSL certificate failed one or more certificate validation checks.
        Этапы проверки
        ExRCA is attempting to obtain the SSL certificate from remote server autodiscover.mydomain.ru on port 443.
      ExRCA successfully obtained the remote SSL certificate.
        Дополнительные сведения
      Remote Certificate Subject: CN=mail.mydomain.ru, OU=no, O=MyFirm, L=City, S=City, C=RU, Issuer: CN=mydomain-DC-CA, DC=mydomain, DC=local.
     
      Validating the certificate name.
      The certificate name was validated successfully.
        Дополнительные сведения
      Host name autodiscover.mydomain.ru was found in the Certificate Subject Alternative Name entry.
     
      Certificate trust is being validated.
      Certificate trust validation failed.
        Этапы проверки
        ExRCA is attempting to build certificate chains for certificate CN=mail.mydomain.ru, OU=no, O=MyFirm, L=City, S=City, C=RU.
      A certificate chain couldn't be constructed for the certificate.
        Дополнительные сведения
     

    The certificate chain couldn't be built. You may be missing required intermediate certificates.

     

     
    Попытка подключения к службе автообнаружения с помощью метода перенаправления HTTP.
      Не удалось подключиться к службе автообнаружения с помощью метода перенаправления HTTP.
        Этапы проверки
        Attempting to resolve the host name autodiscover.mydomain.ru in DNS.
      The host name resolved successfully.
        Дополнительные сведения
      IP addresses returned: 1.2.3.4
     
      Testing TCP port 80 on host autodiscover.mydomain.ru to ensure it's listening and open.
      The specified port is either blocked, not listening, or not producing the expected response.
     
     Подробные сведения об этой проблеме и способах ее устранения
        Дополнительные сведения
      A network error occurred while communicating with the remote host.
     
     
    Попытка подключения к службе автообнаружения с помощью метода перенаправления DNS SRV.
      Анализатору ExRCA не удалось подключиться к службе автообнаружения с помощью метода перенаправления DNS SRV.
        Этапы проверки
        Попытка найти SRV-запись record _autodiscover._tcp.mydomain.ru в службе DNS.
      Запись SRV автообнаружения не найдена в службе DNS.
     
     Подробные сведения об этой проблеме и способах ее устранения

     

    Извиняюсь за большой текст, но очень надеюсь, что кто-нибудь сможет помочь.

    (могу привести любые логи, скриншоты и т.п.)

     

     Я так понимаю, проблема с сертификатами быстрее всего, так как встроенные проверки созданные слушатели проходят успешно. Но сертификаты создавались по инструкции с гайда (сслыка выше, даже есть подробный видео мануал и видно что всё должно работать. Как определить где я ошибся? Куда копать? Из прочитанных статей набрёл на одну http://technet.microsoft.com/ru-ru/library/aa998424(EXCHG.80).aspx . Там упоминается о отрибуте Principal сертификата. Но запустив Get-OutlookProvider на самом локальном почтовом сервере для имени EXPR не вывело соответствубщего CertPrincipalName. Edge же такую команду вообще не знает.


    18 декабря 2011 г. 17:18
  • Сертификат для почтового сервера:

    Субъект
    CN = mail.mydomain.ru
    OU = no
    O = MuFirm
    L = City
    S = City
    C = RU

    Дополнительное имя субъекта
    DNS-имя=mail.mydomain.local
    DNS-имя=mail.mydomain.ru
    DNS-имя=autodiscover.mydomain.local
    DNS-имя=autodiscover.mydomain.ru

    19 декабря 2011 г. 13:04
  • А на клиенте сертификат корневого СА добавлен в доверенные корневые центры?

    Если открывать OWA с недоменного клиента, то есть ли предупреждение об ошибках в сертификате?


    http://alexxhost.ru
    19 декабря 2011 г. 14:19
  • В локалке на недоменном клиенте предупреждения нет, сертификат СА установлен в корневые доверенные на самом клиенте. Т.е. сертификат самого почтовика принят. Тоже самое и с внешним клиентом.
    19 декабря 2011 г. 14:45
  • А вы на TMG кроме E-Mail Policy делали правила публикации сервисов Exchange (OWA, Autodiscover и т.п.). Это делается в Firewall Policy -> справа Publish Exchange ->...


    http://alexxhost.ru
    19 декабря 2011 г. 18:08
  • Да, конечно, делал. 3 публикации - OWA, Anywere, ActiveSync

    Autodiscover как отдельным правилом не публиковал, сделал как в http://www.alexxhost.ru/2010/07/outlook-anywhere-autodiscover.html, добавлением внешнего имени в Anywere, имени и пути в ActiveSync

    19 декабря 2011 г. 18:42
  • Половина проблемы решилась после одновременной перезагрузки всех трёх серверов. Теперь подключение устанавливается извне через OWA.

    Но outlook, после запроса логина и пароля для подключения к autodiscover пишет "Зашифрованное подключение к почтовому серверу недоступно" и соответственно не шифрованное тоже.

    В логах tmg наблюдаю

    Allowed Connection GATEWAY 20.12.2011 4:03:53

    Log type: Web Proxy (Reverse)

    Status: 500 Internal Server Error

    Rule: Outlook Anywhere

    Source: External (46.56.192.234:1321)

    Destination: Local Host (192.168.100.3:443)

    Request: POST http://autodiscover.mydomain.ru/autodiscover/autodiscover.xml

    Filter information: Req ID: 0e541293; Compression: client=No, server=No, compress rate=0% decompress rate=0% ; FBA cookie: exists=no, valid=no, updated=yes, logged off=no, client type=unknown, user activity=yes

    Protocol: https

    User: (LDAP)Test

        Additional information

    Client agent: Microsoft Office/14.0 (Windows NT 5.1; Microsoft Outlook 14.0.4760; Pro)

    Object source: Internet (Source is the Internet. Object was added to the cache.)

    Cache info: 0x40020008 (Request includes the AUTHORIZATION header. Response includes the CACHE-CONTROL: PRIVATE header. Response should not be cached.)

    Processing time: 47 MIME type:

     

    20 декабря 2011 г. 2:02
  • Если публикация выполнена на TMG, то там есть кнопочка Test для проверки публикации - тест проходит?
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    20 декабря 2011 г. 16:53
    Модератор
  • Если публикация выполнена на TMG, то там есть кнопочка Test для проверки публикации - тест проходит?
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/


    Да, проходит, также как и ActivSync и OWA (ActivSync  на реальном железе извне не проверялся, а OWA работает, сейчас не подключается снаружи только Anywere)



    20 декабря 2011 г. 17:22
  • При проверке через https://www.testexchangeconnectivity.com можно отключить требование проверки сертификата - попробуйте так.
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    21 декабря 2011 г. 15:51
    Модератор
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    27 декабря 2011 г. 9:12
  • Так как в итоге решили проблему?
    25 августа 2013 г. 12:25
  • Так как в итоге решили проблему?

    С какой целью интересуетесь?

    Слава России!

    25 августа 2013 г. 12:32
  • Потому что такая же фигня, только anywhere =)
    26 августа 2013 г. 10:26