none
публикация Outlook Anywhere RRS feed

  • Вопрос

  • не получается опубликовать.

    внутренний адрес - exch.firma.local

    внешний адрес - mail.domain.ru (на нем же MX, А, OWA)

    настройки:

    Outlook Anywhere - обычная проверка подлинности, имя внешнего узла mail.domain.ru

    прослушиватель такой же, как и для OWA -проверка подлинности на основе HTML-форм

    общее правило:

    куда - exch.firma.local (запросы приносят от TMG)

    трафик - требовать SSL-сертификат

    делегирование - обычная проверка подлинности

    внешнее имя - autodiscover.domain.ru + mail.domain.ru

    пользователи - все прошедшие проверку пользователи

    сертификат стоит c четырьмя SAN - exch.firma.local / mail.domain.ru / autodiscover.firma.local / autodiscover.domain.ru. в качестве CN - exch.firma.local.

    проверка подлинности на exch:

    autodiscover - анонимная + обычная

    ecp - обычная + windows

    ews - анонимная + обычная + windows

    Microsoft-Server-ActiveSync - обычная + windows

    OAB - обычная + windows

    OWA - обычная + windows

    тестирование:

    https://autodiscover.domain.ru/AutoDiscover/AutoDiscover.xml

    выдает ошибку 600

    настройки клиента:

    пытался сначала по Autodiscover, в Outlook 2010 прописал <фамилия имя> (так пользователь заведен в AD) ниже адрес <сетевое>@domain.ru, получил ошибку что нельзя установить связь по зашифрованному каналу.

    дальше попытался настроить через дополнительные параметры:

    имя сервера - exch.firma.local

    имя пользователя - фамилия имя

    https://mail.domain.ru

    msstd:mail.domain.ru

    обычная проверка подлинности

    выдает ошибку - невозможно подключиться к серверу

     

    подскажите, как победить??

     из внутри все работает.
    • Изменено levii 10 ноября 2011 г. 11:52
    10 ноября 2011 г. 11:51

Все ответы

  • почему-то на вкладке прослушиватель висит восклицательный знак - для выбранного веб-прослушивателя не настроены сертификаты, совпадающие с одним или несколькими внешними именами, определенными в данном правиле.

    во внешнем имени mai.domain.ru / autodiscover.domain.ru

    создал новый сертификат. в сертификате - CN=mail.domain.ru / на первом месте в SAN mail.domain.ru. сертификат создавал через New-ExchangeCertificate.

    почему появляется ошибка о несоответствии??


    • Изменено levii 10 ноября 2011 г. 16:49
    10 ноября 2011 г. 16:43
  • удалил все политики и создал по новой вместе с новым листенером и все заработало.

    тему можно закрывать.

    • Помечено в качестве ответа Dmitry NikitinEditor 11 ноября 2011 г. 14:37
    • Снята пометка об ответе levii 2 декабря 2011 г. 5:30
    11 ноября 2011 г. 5:18
  • разобрался, почему при пересоздании все заработало - в публикации OWA по умолчанию не ставится галка "Требовать SSL-сертификат клиента". если ее ставить, то при в ходе в OWA запрашивается личный сертификат, а вот AnyWhere не работает.

    объясните и подскажите, как:

    1. почему AnyWhere зависит от правила публикации OWA??

    2. как заставить работать AnyWhere по личному сертификату пользователя, а не корневому??

    2 декабря 2011 г. 5:42
  • 1. потому что листенер у тебя один на двоих, а аутентификация, в том числе по сертификату, это настройка листенера а не правила.

    2. не совсем понял вопроса, по корневому никто не работает, он нужен чтобы выданным сертификатам было доверие. чтобы аутенфитикация была по юзерскому сертификату надо это настроить в листенере, но тогда это подействует на все публикации с этим листенером.

    2 декабря 2011 г. 8:40
    Отвечающий
  • 1. это в настройках самого правила нет галки, вкладка "Трафик", не в прослушивателе.

    2. я пробовал ставить эту же галку в правиле AnyWhere (вкладка "Трафик"), но не работает. пробовал в свойствах самого прослушивателя (вкладка "Проверка подлинности", "Дополнительно") ставить галку "Требовать SSL-сертификат клиента" все-равно не работает.

    у меня задача, что бы OWA и AnyWhere работали только при наличие клиентского сертификата конкретного пользователя, под которым осуществляется подключение.

    2 декабря 2011 г. 9:00
  • 1. на этой вкладке галка совсем не так называется и она совсем не для пользователя, а для аутентификации соединения между исой и веб сервером. используется достаточно редко.

    2. аутентификация по сертификату пользователя настраивается именно в прослушивателе.


    вот советую внимательно ознакомиться http://technet.microsoft.com/en-us/library/bb794751.aspx#client
    2 декабря 2011 г. 9:29
    Отвечающий
  •  

    1. фотохостинг

    вернемся к первоначальному вопросу - почему изменения сделанные в правиле для OWA влияют на работоспособность AnyWhere??

    2. спасибо, буду изучать.


    • Изменено levii 2 декабря 2011 г. 10:17
    2 декабря 2011 г. 10:16
  • а, ты про эту вкладку, я то подумал что речь о галке на вкладке bridging (физически не перевариваю локализованные версии).

    по поводу корреляции правила OWA и Anywhere лучше логи посмотреть, возможно на какую то часть коннект проходит через правило owa/ кстати лучше path в правилах проверить

    2 декабря 2011 г. 12:49
    Отвечающий
  • итак, после удаления сертификата AnyWhere не работает, при добавлении все ок. как и должно быть. но OWA не запрашивает сертификат и пускай с предупреждением "вы точно хотите посетить данный сайт....". как уже сказал при установке галки в правиле OWA не работает AnyWhere. пути разные

    OWA - /public/* + /OWA/* + /Exchange/* + /ecp/*

    AnyWhere -  /rpc/* + /OAB/* + /ews/* + /AutoDiscover/*

     

    5 декабря 2011 г. 7:10
  • 2. аутентификация по сертификату пользователя настраивается именно в прослушивателе.


    вот советую внимательно ознакомиться http://technet.microsoft.com/en-us/library/bb794751.aspx#client
    перечитал статью. честно говоря не нашел про данные галки и запрос сертификата.
    5 декабря 2011 г. 8:21
  • неужели ни у кого не настроен доступ к OWA по клиентскому сертификату??
    8 декабря 2011 г. 5:58
  • а в каком месте проблема? юзерам сертификаты выданы? на исе настроил требовать сертификат?

    8 декабря 2011 г. 14:23
    Отвечающий
  • вот в последнем и есть проблема. как только ставлю галку требовать сертификат в правиле или листенере, то перестает работать AnyWhere.

    9 декабря 2011 г. 6:00
  • подниму тему.

    может кто-нибудь скинет инструкцию, как настроить публикации с одним листенером?? только не библиотеку технет.

    23 января 2012 г. 7:37