none
ROH問題 RRS feed

  • 問題

  • DEAR ALL:

      我遇到一個問題,之前有修改過公司的CA憑證後,在CLINT端那邊會出現需要輸入帳號、密碼視窗,只要把ROH關掉就會OK,這個問題有辦法處理嘛?

     

    目前我司的環境:

    AD:SERVER 2003+EXCHANGE 2003

    EXCHANGE:EXCHANGE 2007 SP1

    CA跟AD放在同一台SERVER裡面!

    另外,外部網域名稱為:MAIL.ABC.COM.TW

    在EXCHANGE 2007裡面的FQDN設定如下:

    組織組態=>集線傳輸=>傳送連接器=>MAIL.ABC.COM.TW

    伺服器組態=>集線傳輸=>DEFAULT MAIL-S=>MAIL.ABC.COM(這個部份的FQDN不讓我改成MAIL.ABC.COM.TW)

    2008年6月24日 上午 01:01

解答

  • clint在公司網路都有登入網域!我在CLINT端沒有把ROH設定上去,只是在設定OUTLOOK時,他自己會把ROH掛載上去!

     

    目前問題我是已經解決了,但不知道是否還會在出現這個問題就不知道了!

     

    2008年7月11日 上午 04:54

所有回覆

  • 您所說的修改憑證是指重新產生CA 根憑證?

    ROH client 是指在internal 登入網域使用時也需要驗證?(outlook先選取http 而非tcp/ip連線) 驗證後有連線成功嗎?

    那Outlook anywhere 的external host name為何? client access 的SSL憑證certificate domain 為何?

     

    PS>get-outlookanywhere

    PS>get-exchangecertificate | fl

     

    2008年6月25日 上午 03:48
  • 1.修改憑證是把ca整個移除後,在新增產生ca憑證

    2.ROH Client不管在公司內部或者不在公司裡面使用網路都會出現驗證視窗

    3.如驗證後,連線都正常

    4.outlookanywhere資料如下:

    [PS] C:\Documents and Settings\abc\Desktop>get-outlookanywhere


    ServerName                 : MAIL-S
    SSLOffloading              : False
    ExternalHostname           : roh.abc.com.tw
    ClientAuthenticationMethod : Basic
    IISAuthenticationMethods   : {Basic}
    MetabasePath               : IIS://mail-s.abc-s.com/W3SVC/1/ROOT/Rpc
    Path                       : C:\WINDOWS\System32\RpcProxy
    Server                     : MAIL-S
    AdminDisplayName           :
    ExchangeVersion            : 0.1 (8.0.535.0)
    Name                       : Rpc (Default Web Site)
    DistinguishedName          : CN=Rpc (Default Web Site),CN=HTTP,CN=Protocols,CN=
                                 MAIL-S,CN=Servers,CN=Exchange Administrative Group
                                  (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=Duc
                                 k,CN=Microsoft Exchange,CN=Services,CN=Configurati
                                 on,DC=abc-s,DC=com
    Identity                   : MAIL-S\Rpc (Default Web Site)
    Guid                       : 5f42b751-cc79-41e6-b2d1-e8b66393c34e
    ObjectCategory             : abc-s.com/Configuration/Schema/ms-Exch-Rpc-Http-V
                                 irtual-Directory
    ObjectClass                : {top, msExchVirtualDirectory, msExchRpcHttpVirtual
                                 Directory}
    WhenChanged                : 6/5/2008 4:40:03 PM
    WhenCreated                : 6/5/2008 4:39:47 PM
    OriginatingServer          : dns.abc-s.com
    IsValid                    : True

     

    5.ca憑證資料如下:

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System
                         .Security.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {roh.abc.com.tw, owa.abc.com.tw, eas.abc
                         .com.tw, autodiscover.abc.com.tw, mail-s, mail-s.abc.com.tw}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=abc, DC=abc-s, DC=com
    NotAfter           : 6/23/2010 8:16:22 AM
    NotBefore          : 6/23/2008 8:16:22 AM
    PublicKeySize      : 2048
    RootCAType         : Enterprise
    SerialNumber       : 192A6975000000000002
    Services           : IMAP, POP, IIS
    Status             : Valid
    Subject            : CN=roh.abc.com.tw
    Thumbprint         : 9037CCE0DE0A4A47D02284C5772323C767479377

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System
                         .Security.AccessControl.CryptoKeyAccessRule, System.Securi
                         ty.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {mail-s, mail-s.abc-s.com}
    HasPrivateKey      : True
    IsSelfSigned       : True
    Issuer             : CN=mail-s
    NotAfter           : 10/21/2008 8:48:54 PM
    NotBefore          : 10/21/2007 8:48:54 PM
    PublicKeySize      : 2048
    RootCAType         : None
    SerialNumber       : C84C4EE2668D8CBF41044ED347239C16
    Services           : SMTP
    Status             : Valid
    Subject            : CN=mail-s
    Thumbprint         : D4F43F35D2F895D2C83483E1603D619DF820210E

    2008年6月27日 上午 05:02
  •  PIS丫宏 寫信:

    DEAR ALL:

      我遇到一個問題,之前有修改過公司的CA憑證後,在CLINT端那邊會出現需要輸入帳號、密碼視窗,只要把ROH關掉就會OK,這個問題有辦法處理嘛?

     

    目前我司的環境:

    AD:SERVER 2003+EXCHANGE 2003

    EXCHANGE:EXCHANGE 2007 SP1

    CA跟AD放在同一台SERVER裡面!

    另外,外部網域名稱為:MAIL.ABC.COM.TW

    在EXCHANGE 2007裡面的FQDN設定如下:

    組織組態=>集線傳輸=>傳送連接器=>MAIL.ABC.COM.TW

    伺服器組態=>集線傳輸=>DEFAULT MAIL-S=>MAIL.ABC.COM(這個部份的FQDN不讓我改成MAIL.ABC.COM.TW)

    Exchange Server 2007 Outlook Anywhere預設便是使用基本驗證,

    所以當Client開啟時會出現要求輸入帳號密碼是正常的!

    除非你將Outlook anywhere的驗證方式改為NTLM

    但一旦你改為NTLM你要先確認所有Client所使用經過的Firewall or proxy是支援的

    2008年6月30日 上午 05:59
  • 羅老師:

    但這個問題在之前是不會的ㄟ,之前我還沒有重做ca憑證時,就算有開roh,一樣不會出現要求輸入帳號、密碼的視窗

    這個會是因為我們有內、外二個不同的網域名稱所產生的問題嘛?

    如果是這個問題的話,那我應該怎樣處理會比較適當呢?會有需要把公司的server環境都重新來過嘛?

    2008年6月30日 上午 07:56
  • 你確定你之前用的就是ROH嗎?

    我很肯定Exchange Server 2007預設啟用Outlook Anywhere後,是使用基本驗證

    而基本驗證Outlook ROH Client就一定得必需輸入帳號密碼

    這與你內外有兩個Domain沒有相關,這是Outlook Anywhere的驗證機制!!

    不然你可以把你的Outlook anywhere改為NTLM機制,再重啟MSExchangeServicehost service後試看看~

     

    2008年6月30日 下午 04:31
  •  

    "ROH Client不管在公司內部或者不在公司裡面使用網路都會出現驗證視窗 "

     

    您可否再確認幾點 ROH client 在公司內部連線時所使用的方式是https or tcp/ip ? 
    CTRL + right click 右下角Outlook icon - conntection status,或確認 outlook ROH 內的設定

     

    這些client 是否在公司網路有登入網域?  所有的ROH client 在公司內部連線時都會被要求驗證? ROH驗證過後是透過https 連線到mail server的?

    2008年7月1日 上午 01:23
  • 羅老師:

      恩丫,我確定我之前使用的就是ROH,因為USER只要把NB帶到外面去使用時,就要輸入帳號及密碼!

    但USER把要把NB接到公司內部的網路時,只要有登入網域,在開OUTLOOK就不會要求USER輸入帳號及密碼!

     

    目前我有找到問題點,這個是因為我重做CA時,沒有去CLINT那邊把之前的憑證移除掉,因憑證的名稱都是一樣的,所以OUTLOOK無法去判斷那個是目前EXCHANGE所使用的憑證!!

    2008年7月11日 上午 04:52
  • clint在公司網路都有登入網域!我在CLINT端沒有把ROH設定上去,只是在設定OUTLOOK時,他自己會把ROH掛載上去!

     

    目前問題我是已經解決了,但不知道是否還會在出現這個問題就不知道了!

     

    2008年7月11日 上午 04:54
  • 使用ROH的電腦一定要加入網域才能在外使用嗎?

    2008年7月14日 下午 03:26
  • 當然不需要!

    ROH是專門設計給那些在外沒有進公司的Mobile Client user使用

    所以不需要加入網域就可以支援使用

     

    2008年7月14日 下午 03:30
  • 我在公司內是就成功使用HTTPS連線,在外面使用就是不行,根憑證也安裝了,HTTPS PORT也開了,他就無法連線,不知道哪裡有問題。

    2008年7月15日 上午 12:56
  • 您的問題是某一user無法在外使用ROH or 全部人在外都無法使用?

     

    若內部可以透過https連線應該就代表是沒問題的,建議您確認client 的 OS(XP or Vista), Outlook version,Outlook ROH connection status, 有跳出使用者驗證? or 驗證不過?

    2008年7月15日 上午 02:14
  •  

    我在公司內部透過Https連線是沒問題的,但是一到外面所有人連線連跳出驗證都沒有出來,它直接跳出一個視窗"無法連線到Microsoft Exchange Server要完成此動作,Outlook並須是連線狀態",我的用XP SP1,Outlook版本2003(11.8169.8172)SP3
    2008年7月15日 下午 03:05
  •  

    先看您之前Root CA的問題,可能是非domain 的client 未安裝根憑證

    http://forums.microsoft.com/Technet-CHT/ShowPost.aspx?PostID=3622024&SiteID=23&mode=1 

     

    您也可以從家裡用browse 測試您的ROH FQDN, ex: https://oaw.aaa.com (outlook anywhere or http://ROH.aaa.com)

    2008年7月16日 上午 02:55
  • 我確定已經裝了根憑證,進入OWA都沒問題,但是http://roh.aaa.com.tw這個80PORT要開嗎?為何要測試這個呢?

    每次都是在輸入Exchange server名稱,點選始用快取模式,輸入使用者帳號後點選檢查名稱就出問題了。

    2008年7月17日 上午 03:59
  •  

    抱歉,筆誤,一樣是您的ROH FQDN,只是Exchange 2007 習慣稱 OAW

     

    roh.aaa.com.tw

    owa.aaa.com.tw

    autodiscover.aaa.com.tw

     

    因您前面說在內部透過HTTPS 連線ROH是可行的,代表ROH對外連線服務應該是正常的,不管內外透過HTTPS 測試連線是同一個FQDN,差別只在公司內是透過firewall 連出去後再連入Client Access server,所以在家裡透過browser輸入同一個ROH FQDN 應也是可以連線的,您要不要在確認一下ROH 的FQDN連線?

    2008年7月18日 上午 07:50
  • 我連https://owa.aaa.com.twhttps://roh.aaa.com.twhttps://autodiscover.aaa.com.tw

    都可以連到我的OWA畫面,就是沒辦法連Outlook無所不在,真的問來問去都沒有人能解決!!

     

     

    2008年7月19日 上午 01:34
  • 根據您的敘述,建議您可以在提供下列資訊
    1. 可以確認 https://roh.aaa.com.tw/rpc  是會跳出驗證視窗的? 並在外部的電腦執行 Outlook /rpcdiag

    2. 您前面說在內部使用Outlook anywhere 是確定透過 https 連線成功? 使用基本驗證

     

    3.  Excange 下執行兩個script,及check event log
    PS>GET-OutlookAnywhere

    PS>Test-OutlookWebService -identity:user@aaa.com.tw

    4. Exchange Team Blog - How does Outlook Anywhere work (and not work)?
     http://msexchangeteam.com/archive/2008/06/20/449053.aspx 

     

    2008年7月21日 上午 06:52
  • 1.會出現驗證

    2.我看過連線狀態確定都是用HTTPS

    3.如下

     

    ServerName                 : M123

    SSLOffloading              : True

    ExternalHostname           : roh.aaa.com.tw

    ClientAuthenticationMethod : Basic

    IISAuthenticationMethods   : {Basic}

    MetabasePath               : IIS://m123.aaa.com.tw/W3SVC/1/ROOT/Rpc

    Path                       : C:\WINDOWS\System32\RpcProxy

    Server                     : M123

    AdminDisplayName           :

    ExchangeVersion            : 0.1 (8.0.535.0)

    Name                       : Rpc (預設的網站)

    DistinguishedName          : CN=Rpc (預設的網站),CN=HTTP,CN=Protocols,CN=MINTSE

                                 R,CN=Servers,CN=Exchange Administrative Group (FYD

                                 IBOHF23SPDLT),CN=Administrative Groups,CN=CAI,CN=M

                                 icrosoft Exchange,CN=Services,CN=Configuration,DC=

                                 aaa,DC=com,DC=tw

    Identity                   : M123\Rpc (預設的網站)

    Guid                       : fc3acad8-c5ae-458c-a5a3-6027eb23340f

    ObjectCategory             : aaa.com.tw/Configuration/Schema/ms-Exch-Rpc-Http-V

                                 irtual-Directory

    ObjectClass                : {top, msExchVirtualDirectory, msExchRpcHttpVirtual

                                 Directory}

    WhenChanged                : 2008/7/19 下午 03:54:40

    WhenCreated                : 2008/6/27 上午 08:54:34

    OriginatingServer          : E12345.aaa.com.tw

    IsValid                    : True

     

     

     

     

    [PS] C:\Documents and Settings\Administrator\桌面>Test-OutlookWebServices -Ident

    ity:test@aaa.com.tw

     

                            Id                       Type Message

                            --                       ---- -------

                          1003                Information 即將使用電子郵件地址 T...

                          1006                Information 已在 https://m123.i...

                          1016                    Success [EXCH]-已順利在 https:...

                          1015                    Success [EXCH]-已順利在 https:...

                          1014                    Success [EXCH]-已順利在 https:...

                          1016                Information [EXPR]-尚未替此使用者...

                          1015                    Success [EXPR]-已順利在  連絡 ...

                          1014                Information [EXPR]-尚未替此使用者...

                          1017                    Success [EXPR]-已順利在 https:...

                          1006                    Success 已順利測試自動探索服務。

     

     

    有沒有可能憑證有問題,因為我用owa時會出現憑證有問題的警示,如果在網頁上檢視憑證再安裝憑證後下次進去還是會有警示,且IE內沒看到這個憑證,如果用憑證伺服器會出的憑證安裝就不會出現警示,能否幫忙解決,如果必要的話可以把憑證及owa資料寄給你幫忙測試,感恩。

    2008年7月22日 上午 02:50
  • 應該可以先確認及排除根憑證的問題,您上述的資訊看不出Outlook Anywhere 有無法連線的狀況,差別應該只在不同的client 端,或者是說公司外的電腦 (非join domain)的,有確實安裝 憑證了嗎?

     

    http://forums.microsoft.com/technet-cht/ShowPost.aspx?PostID=3584797&SiteID=23
    2008年7月22日 上午 06:16