none
Outlook Anywhere RRS feed

  • Вопрос

  • Здравствуйте.

    Решил обновить Exchange2010 на новую версию, поставил параллельно старому новый в конфигурации 2 маилбокса в кластере DAG ну и CAS на входе (2010 стоит в аналогичной конфигурации)

    Итак всё настроил, сделал основным новый 2013 (Autodiscover, owa и т.д ) всё идёт через CAS 2013. Мигрировал пару ящиков и упёрся в то что снаружи по Outlook 2010 не подключится. Autodiscover проходит на входе на сервер выдаёт окно авторизации подставляя вместо логина почтовый адрес и всё финиш дальше не пройти. Причём если идти на ящик, который ещё на 2010 exchange то всё работает. Внутри организации всё работает – два Exchange «дружат» между собой. Снаружи тоже все сервисы работают за исключением одной связки Outlook и Exchange 2013. Облазил все логи, все события и нигде нет ничего внятного почему не пускает. Пробовал разные способы авторизации выставлять на Outlook Anywhere – сейчас стоит «стандартная» что на 2010 что на 2013. На входе стоит TMG, на нём блокируются анонимные RPC запросы к TMG. Складывается ощущение что почему-то он пытается выполнить RPC запрос анонимно и на TMG.

    Вопрос где ещё можно поискать на каком этапе и что не работает.


    admin

Ответы

  • UPN присутствует.

    XML смотрел там тоже всё в норме.

    итак удалось добится определённого результата - в 2010 была такая конструкция (ExternalClientAuthenticationMethod : Basic, InternalClientAuthenticationMethod : Ntlm, IISAuthenticationMethods : {Basic, Ntlm})  те кто снаружи шли по Basic, а те кто внутри по NTLM. в 2013 такое уже не работает. Сделал NTLM, а на TMG пришлось RPC вынести в отдельное правило с "анонимной авторизацией по требованию" и вроде как стало работать.


    admin

Все ответы

  • Аналогичная проблема - пока не решил!
  • А у вас в опубликованном правиле в тмж сертификат под 2010 эксчендж? в нем необходимые имена присутствуют?
  • Сертификат был заново создан для нового Exchange со всеми используемыми DNS именами. В сторону сертификатов я не стал бы кивать так как все остальные службы работают же. Была замечена одна особенность на TMG - первые запросы на Autodiscover и RPC (имя сервера в запросе в классическом виде) проходят, последующие запросы уже авторизации по RPC идут почему то прямо на TMG , анонимно и в новом формате. TMG естественно все эти запросы блокирует.  

    admin

  • А Connectivity Analyzer что на это говорит?
  • так как вэб сайт находится в другом месте то отрабатывается успешно только Autodiscover в формате https://autodiscover.domen.ru


    admin

  • автодискавер какие настройки выдает? если вручную в аутлуке параметры указать так же на авторизации отбивает?
  • www.testexchangeconnectivity.com выдаёт что autodiscover отрабатывает корректно. На TMG тоже запрос проходит, но далее все остальные запросы "входа на сервер" идут анонимно и пытаются авторизоваться прямо на TMG. аналогичное подключение к ящику на Exchange2010 проходит без проблем


    admin

    в ручную кое как но подключается!!! у 2010 в RPC запросе шло DNS имя (и при настройке его указывали), в 2013 некий GUID. и что надо указывать при ручной настройке в качестве сервера?? методом тыка выяснил что MBx, а зачем тогда CAS ?

    соответственно осталось выяснить почему при autodiscover TMG не пересылает запросы

    • Изменено Riv72 13 мая 2013 г. 10:43
  • Возможно у вас включена UPN авторизация. 

    Managing UPN to help Exchange authentication


    MCITP. Знание - не уменьшает нашей глупости.

    Модератор
  • чтобы выяснить результат отсюда www.testexchangeconnectivity.com надо развернуть до конца там внизу будет кофигурация в xml которую выдает autodiscover и соответственно посмотреть, возможно вас что то в ней наведет на сомнения, ведь вручную работает)
  • UPN присутствует.

    XML смотрел там тоже всё в норме.

    итак удалось добится определённого результата - в 2010 была такая конструкция (ExternalClientAuthenticationMethod : Basic, InternalClientAuthenticationMethod : Ntlm, IISAuthenticationMethods : {Basic, Ntlm})  те кто снаружи шли по Basic, а те кто внутри по NTLM. в 2013 такое уже не работает. Сделал NTLM, а на TMG пришлось RPC вынести в отдельное правило с "анонимной авторизацией по требованию" и вроде как стало работать.


    admin

  • >> "анонимной авторизацией по требованию" и вроде как стало работать.

    это типа "Все пользователи" или "все прошедшие проверку"?

  • первый вариант.

    admin