none
Exchange 2003 и RPC over HTTPS RRS feed

  • Вопрос

  •  

    Коллеги, день добрый!

     

    Вот такой вопрос возник. Настроил RPC over HTTPS.

    Взял ноут, на нем Vista + Outlook 2007, внутри офиса создал второй профиль для RPC. Затем внутри офиса спокойно подключился по RPC over HTTPS. Затем приехал в удаленный офис(тут другой домен, доверия нет) с ноутом, проверяю RPC over HTTPS  - все работает на ура!!!

     

    Решил настроить RPC over HTTPS удаленным пользователям. Сертификат кинул в Root Trusted. Создал профиль для RPC over HTTPS. Пробую подключаться, ввожу логин и пароль - не пускает и все. Пробую OWA https://mail.company.ru - все ок, окошко не вылезает что проблема с сертификатом. Захожу на https://mail.company.ru/rpc - ввожу логин и пароль - мне говорят - "Нет необходимых разрешений для доступа на этот веб-узел. Обратитесь к администратору веб-узла.”

     

    Что такое? Почему так происходит. У меня же на ноуте работает??

     

    Единственное, у меня в параметрах "Способ проверки подлинности при подключении к прокси серверу" стоит "Обычная проверка". Если сменить на NTLM - то не работает так же, постоянно запрашивает пароль.И на https://mail.company.ru/rpc - так же не пускает с ошибкой "Нет необходимых разрешений для доступа на этот веб-узел. Обратитесь к администратору веб-узла."

     

    На ISA в правиле публикации в закладке "Authentication Delegation" стоит "NTLM authentication"

    • Перемещено Tina_Tian 19 марта 2012 г. 0:51 forum merge (От:Exchange Server 2003/2000/5.5)
    8 декабря 2008 г. 7:32

Все ответы

  •  Borisichev Serge написано:

     

    Коллеги, день добрый!

     

    Вот такой вопрос возник. Настроил RPC over HTTPS.

    Взял ноут, на нем Vista + Outlook 2007, внутри офиса создал второй профиль для RPC. Затем внутри офиса спокойно подключился по RPC over HTTPS. Затем приехал в удаленный офис(тут другой домен, доверия нет) с ноутом, проверяю RPC over HTTPS  - все работает на ура!!!

     

    Решил настроить RPC over HTTPS удаленным пользователям. Сертификат кинул в Root Trusted. Создал профиль для RPC over HTTPS. Пробую подключаться, ввожу логин и пароль - не пускает и все. Пробую OWA https://mail.company.ru - все ок, окошко не вылезает что проблема с сертификатом. Захожу на https://mail.company.ru/rpc - ввожу логин и пароль - мне говорят - "Нет необходимых разрешений для доступа на этот веб-узел. Обратитесь к администратору веб-узла.”

     

    Что такое? Почему так происходит. У меня же на ноуте работает??

     

    Единственное, у меня в параметрах "Способ проверки подлинности при подключении к прокси серверу" стоит "Обычная проверка". Если сменить на NTLM - то не работает так же, постоянно запрашивает пароль.И на https://mail.company.ru/rpc - так же не пускает с ошибкой "Нет необходимых разрешений для доступа на этот веб-узел. Обратитесь к администратору веб-узла."



    Какую топологию используете ? Back End или Front End ?

    Пользователи есть на сервере Exchange ?
    8 декабря 2008 г. 7:51
  • Топология Back-End.

    Внешний клиент ---- ISA 2006 ---- Exchange 2003 + SP2 + RPC

     

    Пользователи есть на сервере.

    8 декабря 2008 г. 7:55
  •  Borisichev Serge написано:

    Топология Back-End.

    Внешний клиент ---- ISA 2006 ---- Exchange 2003 + SP2 + RPC

     

    Пользователи есть на сервере.



    Распишите что вводите на вкладке подключений outlook
    8 декабря 2008 г. 7:59
  • Адрес URL для подключения к прокси серверу :

    mail.company.ru

     

    msstd:mail.company.ru

     

    галка в медленных сетях....

     

    Обычная проверка подлинности

     

     

    Мой ноут в том домене, где стоит Exchange. А в удаленном офисе другой домен.

    8 декабря 2008 г. 8:07
  •  Borisichev Serge написано:

    Адрес URL для подключения к прокси серверу :

    mail.company.ru

     

    msstd:mail.company.ru

     

    галка в медленных сетях....

     

    Обычная проверка подлинности

     

     

    Мой ноут в том домене, где стоит Exchange. А в удаленном офисе другой домен.



    Какой firewall установлен в другом домене ?

    Что в логах данного firewall по source ip проблемного клиента ?
    8 декабря 2008 г. 8:19
  • Так же стоит ISA 2006.

     

    В логах все в норме. А вот в логах Исы в центральном офисе пишет Failed Connection, когда пытаюсь законнектиться с машинки, которая не в домене центрального офиса.

    А если со своего ноута, то все ок.

     

    8 декабря 2008 г. 8:24
  •  Borisichev Serge написано:

    Так же стоит ISA 2006.

     

    В логах все в норме. А вот в логах Исы в центральном офисе пишет Failed Connection, когда пытаюсь законнектиться с машинки, которая не в домене центрального офиса.

    А если со своего ноута, то все ок.

     



    А DNS Vista и XP используют одинаковые ?

    Правила на ISA для ip Vista и XP одни и те же ?
    8 декабря 2008 г. 8:28
  •  

    ДНС одни и те же.

     

    Правило RPC over HTTPS одно для всех.

    8 декабря 2008 г. 8:30
  •  Borisichev Serge написано:

     

    ДНС одни и те же.

     

    Правило RPC over HTTPS одно для всех.



    Подробней опишите ошибку подключения на ISA.
    8 декабря 2008 г. 8:32
  • Самое интересное, этот пользователь лезет по другому правилу - по правилу публикации OWA... не пойму что происходит.  

    От этого пользователя нет ни одного коннекта по правилу RPC.

    8 декабря 2008 г. 8:47
  •  Borisichev Serge написано:

    Самое интересное, этот пользователь лезет по другому правилу - по правилу публикации OWA... не пойму что происходит.  

    От этого пользователя нет ни одного коннекта по правилу RPC.



    firewall client установлен ?

    что в настройках браузера на Vista и XP ?
    8 декабря 2008 г. 8:49
  • FWC не установлен. В настройках браузера все одинаково. Может это связано как то с тем, что один в домене центрального офиса, а другой нет? 

    8 декабря 2008 г. 8:53
  •  Borisichev Serge написано:

    FWC не установлен. В настройках браузера все одинаково. Может это связано как то с тем, что один в домене центрального офиса, а другой нет? 



    RPC over HTTPS должен работать везде где есть интернет и разрешён соответствующий трафик.

    Vista и XP в одной подсети ? Выход в интернет без аутентификации ?

    +

    Есть предположение:

    Пинг с Vista адреса mail.company.ru выдаёт один адрес а с XP другой - поэтому и правила срабатывают разные.
    8 декабря 2008 г. 8:59
  • Да, и Виста и XP в одной подсети. В инет без аутентификации.

    Так ИП то один...

    8 декабря 2008 г. 10:44
  •  Borisichev Serge написано:

    Да, и Виста и XP в одной подсети. В инет без аутентификации.

    Так ИП то один...



    Нужно разбираться с обработкой правил и разрешением имён на клиентах.

    Пинг один и тот же адрес показывает ?
    8 декабря 2008 г. 10:50
  • Пинг один и тот же. Все в норме.

     

    На исе в удаленном офисе, когда пытаюсь коннектиться в центральный офис к mail.company.ru:443 говорит Failed Connection, пользовтель Anonymous.

     

     

    11 декабря 2008 г. 8:37
  •  Borisichev Serge написано:

    Пинг один и тот же. Все в норме.

     

    На исе в удаленном офисе, когда пытаюсь коннектиться в центральный офис к mail.company.ru:443 говорит Failed Connection, пользовтель Anonymous.

     

     



    а по ip адресу с проблемных машин (https://192.168.1.1) та же картина ?
    11 декабря 2008 г. 8:39
  • да тоже самое.

    Самое интересное, в центральном офисе нет ни одного коннекта по правилу RPC over HTTPS.

     

    Но в удаленном офисе:

    443       SSL-tunel       Inet for All        Failed Connection Attempt    Anonymous    Int    Ext    mail.company.ru:443

     

    11 декабря 2008 г. 8:48
  •  Borisichev Serge написано:

    да тоже самое.

    Самое интересное, в центральном офисе нет ни одного коннекта по правилу RPC over HTTPS.

     

    Но в удаленном офисе:

    443       SSL-tunel       Inet for All        Failed Connection Attempt    Anonymous    Int    Ext    mail.company.ru:443

     



    А tracert до сервера что говорит ?


    11 декабря 2008 г. 9:05
  • все гут...по имени добрел до mail.company.ru

     

     

    11 декабря 2008 г. 9:08
  • Я правильно понимаю, что RPC over HTTPS будет работать даже если пользователь сидит за машинкой, которая не пренадлежит домену????

     

    11 декабря 2008 г. 9:12
  •  Borisichev Serge написано:

    все гут...по имени добрел до mail.company.ru

     

     



    Перед правилом "Inet for All" есть правило публикации exchange либо https трафика ? Какие протоколы в данном правиле конфигурируют ?  Если щёлкнуть правой кнопкой мыши по данному правилу и выбрать Configure HTTP что там ?
    11 декабря 2008 г. 9:13
  • Перед правилом нет ни каких правил публикации либо https трафика. Протоколы - All Outbound.

    Configure HTTP - там ничего не трогал. Все по дефолту.

    11 декабря 2008 г. 9:35
  •  Borisichev Serge написано:
    Я правильно понимаю, что RPC over HTTPS будет работать даже если пользователь сидит за машинкой, которая не пренадлежит домену????

     



    Правильно.

    С ISA https://mail.company.com открывается ?
    11 декабря 2008 г. 9:39
  • Да и с ISA и с клиентов внутри - https://mail.company.ru открывается.

    Открывается и https://mail.company.ru/rpc 

    В центральном офисе как я и говорил OWA с помощью  FBA with AD.

    Если просто пользователем из удаленного офиса зайти на OWA центрального офиса - то все ок!!

    А если зайти на https://mail.company.ru/rpc ввести логин и пароль - то не пускает.

    Даже меня не пускает...хотя RPC over HTTPS внутри удаленного офиса у меня работает на УРА! Но только с Basic Authentication.И напоминаю мой ноут в домене центрального офиса.

     

    11 декабря 2008 г. 9:53
  •  Borisichev Serge написано:

    Да и с ISA и с клиентов внутри - https://mail.company.ru открывается.

    Открывается и https://mail.company.ru/rpc 

    В центральном офисе как я и говорил OWA с помощью  FBA with AD.

    Если просто пользователем из удаленного офиса зайти на OWA центрального офиса - то все ок!!

    А если зайти на https://mail.company.ru/rpc ввести логин и пароль - то не пускает.

    Даже меня не пускает...хотя RPC over HTTPS внутри удаленного офиса у меня работает на УРА! Но только с Basic Authentication.И напоминаю мой ноут в домене центрального офиса.

     



    Exchange на Windows 2003 или Windows 2008 ?

    На последнем надо убрать протокол IPv6
    11 декабря 2008 г. 10:00
  • Exchange на 2003 R2.

     

     

    Я просто пытаюсь понять, на моем ноуте, который в домене, работает RPC over HTTPS в другом домене, а на ноуте другого домена не удается подключить RPC over HTTPS.

     

     

    11 декабря 2008 г. 10:06
  •  Borisichev Serge написано:

    Exchange на 2003 R2.

     

     

    Я просто пытаюсь понять, на моем ноуте, который в домене, работает RPC over HTTPS в другом домене, а на ноуте другого домена не удается подключить RPC over HTTPS.

     

     



    А сертификаты не менялись ? Проблемные ПК первый раз настраивались ?
    11 декабря 2008 г. 10:12
  •  

    Проблемые ПК впервые настраивались. Сертификаты там лежат. При попытке добраться до https://mail.company.ru предупреждающего окна, то что сертификат не соответствует - нет.
    11 декабря 2008 г. 10:20
  •  Borisichev Serge написано:

     

    Проблемые ПК впервые настраивались. Сертификаты там лежат. При попытке добраться до https://mail.company.ru предупреждающего окна, то что сертификат не соответствует - нет.


    распишите правило для OWA
    11 декабря 2008 г. 10:36
  •  

    Traffic: HTTP,HTTPS

     

    LIstener:

    External

    Port: 80, 443

    certificate: *.company.ru

    FBA with AD

     

    Public Name:

    mail.company.ru

     

    Authentication Delegation:

    Basic Authentication

     

     

    Bridging: Redirect requests to SSL port: 443

     

     

    Еще что-то нужно?

     

     

    Правило для публикации RPC примерно такое же.

    11 декабря 2008 г. 10:50
  •  Borisichev Serge написано:

     

    Traffic: HTTP,HTTPS

     

    LIstener:

    External

    Port: 80, 443

    certificate: *.company.ru

    FBA with AD

     

    Public Name:

    mail.company.ru

     

    Authentication Delegation:

    Basic Authentication

     

     

    Bridging: Redirect requests to SSL port: 443

     

     

    Еще что-то нужно?

     

     

    Правило для публикации RPC примерно такое же.



    Что значит "Правило для публикации RPC" ?

    Пути должны быть перечислены в одном правиле
    11 декабря 2008 г. 11:06
  • Не работает, даже если совместить в одно правило... с двумя хотя бы было видно, что по правилу для RPC over HTTPS шло соединение... блин, что же такое то, где засада то? Smile 

     

    11 декабря 2008 г. 11:17
  •  Borisichev Serge написано:
    Не работает, даже если совместить в одно правило... с двумя хотя бы было видно, что по правилу для RPC over HTTPS шло соединение... блин, что же такое то, где засада то?  

     



    Настройте ISA согласно статье и всё у Вас получится.
    11 декабря 2008 г. 11:37