none
Edge Transpore role訂閱Hub Transpoer role後出現錯誤訊息及如何在公司外部使用owa功能? RRS feed

  • 問題

  •  

    各位老師好:

    請教幾個問題,

    環境說明:目前公司內部架設了乙台Hub Transport Exchange2007 Server,並且啟用OWA功能(僅於公司內部,正常使用中),

                  後來為了讓同仁能在外部收公司信(同時盡可能在保護公司資訊安全下),又在DMZ區架設了乙台Edge Transport

                  Server,並與內部Hub Transport Exchange2007 Server實施訂閱功能。

                  問題一:

                  訂閱後出現以下錯誤              

                  MSExchangeTransport,錯誤,TransportService ,12014,N/A,xxx(外部主機名),Microsoft Exchange 在本機電腦上的個人儲存區中,找不到含有網域名稱 mail.xxxxxx.com 的憑證。因此,它無法針對 FQDN 參數為 mail.xxxxxx.com 的任何連接器,提供 STARTTLS SMTP 動詞。請確認連接器組態及已安裝的憑證,以確定每個連接器 FQDN 都有具有網域名稱的憑證。

                  請問Edge Transport Server,是不是也要向AD要憑證??(原本內部的Hub Transport Server有與AD建立憑證) 

                  還是那個步驟設定錯了

               

                  問題二:

                  我想要讓同仁能夠在公司外透過DMZ區的Edge Transport Server啟用OWA功能,該如何設定?            

                                

    2007年9月19日 上午 02:57

解答

  • 首先,OWA是由Client Access Server Role所負責提供,不是由Hubt Transport or Edge Server.

    要成功訂閱使用EdgeSync,在Edge Server上並不需要申請憑證.

    EdgeSync步驟

    1. Edgey Server的電腦名稱必需為FQDN,不能只有Host Name
    2. Edge Server要能正確解析到Hun Transport Server IP
    3. Hub Transport Server也要能正確解析到Edge Server IP
    4. 在Edge Server執行Edge Subscription cmdlet產生xml
    5. 在Hub Transport中將xml file匯入
    6. 執行Start edgesync指令
    7. 執行Test-edgesync指令
    8. 確認無誤後即可

     

    2007年9月19日 下午 03:50
    • Edge 不可以與其他角色安裝在一起 (強制性), 安裝時選擇 edage, 其他角色及反灰; 無法選擇安裝. 因為 edage 是擺放在 DMZ 地區
    • Edga 不具有 OWA 等 client access 的功能.
    • CAS 應該擺放在內部, 而非 DMZ.

     

    2007年9月20日 上午 10:39
  • 內部電腦定義為何?嚴格來說DMZ也是屬於公司內部的IP網段!

    放在DMZ並不一定會比放在Internal來得安全,端看你如何管制

    嚴格來說最安全的網路是不開放任何Port對外!

    Microsoft will not support Client access issue if depoly at DMZ.

    因為Client Access必需與GC進行查詢及存取,所以如果放在DMZ區將會造成更嚴重的安全性問題.

     

    2007年9月25日 下午 12:55

所有回覆

  • 首先,OWA是由Client Access Server Role所負責提供,不是由Hubt Transport or Edge Server.

    要成功訂閱使用EdgeSync,在Edge Server上並不需要申請憑證.

    EdgeSync步驟

    1. Edgey Server的電腦名稱必需為FQDN,不能只有Host Name
    2. Edge Server要能正確解析到Hun Transport Server IP
    3. Hub Transport Server也要能正確解析到Edge Server IP
    4. 在Edge Server執行Edge Subscription cmdlet產生xml
    5. 在Hub Transport中將xml file匯入
    6. 執行Start edgesync指令
    7. 執行Test-edgesync指令
    8. 確認無誤後即可

     

    2007年9月19日 下午 03:50
  • 謝謝指導,已依照上述方式完成,1~7步驟,也都出現成功訊息

    1.已在Edge Server的DNS尾碼處加上網域名.(完整的FQDN)

    2.3.在Edge Server上執行PING指令,ping Hub Transport Server IP及完整電腦名稱都可解析到.由Hub Transport Server ping Edge Server也可解析.

    4-5項執行也都ok

    6-7項執行也出現成功訊息

    8.可是Edge Server及Hub Transport Server仍出現相同的錯誤訊息

     

    請問老師,我架在DMZ區的Edge Server是不是也要安裝Client Access Server Role元件才能啟用OWA功能??

    還是Edge Server在訂閱完成後,也能啟用OWA功能,無需安裝Client Access Server Role(目前放在內部的Hub Transport Server 已安裝Client Access Server Role元件.

     

    再請老師指導一下,感激不盡.謝謝

    2007年9月20日 上午 06:35
    • Edge 不可以與其他角色安裝在一起 (強制性), 安裝時選擇 edage, 其他角色及反灰; 無法選擇安裝. 因為 edage 是擺放在 DMZ 地區
    • Edga 不具有 OWA 等 client access 的功能.
    • CAS 應該擺放在內部, 而非 DMZ.

     

    2007年9月20日 上午 10:39
    • 謝謝二位老師的指導
    • 原來只有 client access 的能做到OWA.功能,只是CAS 擺放在內部, 而非 DMZ區,這樣不會太危嗎?就直接大辣辣讓使用者連回公司內部的電腦??
    • 如果我不想這樣做,是不是只能多架乙即CAS放在DMZ區???
    2007年9月25日 上午 01:04
  • 內部電腦定義為何?嚴格來說DMZ也是屬於公司內部的IP網段!

    放在DMZ並不一定會比放在Internal來得安全,端看你如何管制

    嚴格來說最安全的網路是不開放任何Port對外!

    Microsoft will not support Client access issue if depoly at DMZ.

    因為Client Access必需與GC進行查詢及存取,所以如果放在DMZ區將會造成更嚴重的安全性問題.

     

    2007年9月25日 下午 12:55
  •  您好
    我跟Eason Hua有同樣的問題!我已在Edge及Hub Transport做完EdgeSync步驟的八個步驟了,但還是一樣有
    Microsoft Exchange 在本機電腦上的個人儲存區中,找不到含有網域名稱 edge.xxx.xxx 的憑證。因此,它無法針對 FQDN 參數為 edge.xxx.xxx 的任何連接器,提供 STARTTLS SMTP 動詞。請確認連接器組態及已安裝的憑證,以確定每個連接器 FQDN 都有具有網域名稱的憑證。
    的錯誤,而在Hub Transport上有
    遠端直接信任憑證過期。憑證主旨: CN=edge。 
    的錯誤,我也有重新訂閱過了!但還是一樣,請問有可能問題發生在哪裡呢?

    2009年2月5日 上午 03:01
  • Dear All,
    請先參考下列Link中的說明,檢查是否符合您的環境問題。
    http://technet.microsoft.com/zh-tw/library/bb217330.aspx
    Jammy羅濟棠 https://partner.microsoft.com/taiwan/40014662 您的公司是微軟解決方案的提供者嗎?請加入Microsoft Partner Program(MSPP)計劃, 立即獲得無限次數微軟Partner專屬線上技術支援。
    2009年2月5日 下午 02:50
  • Jammy
    您的意思是說
    在edge上的憑証在Hub Transport也要有一份是嗎?

    2009年2月6日 上午 09:07
  • 正確的說法應該是在Edge Server上的憑證中的主體別名欄位必需要包含Receive Connector的FQDN名稱

    Jammy羅濟棠 https://partner.microsoft.com/taiwan/40014662 您的公司是微軟解決方案的提供者嗎?請加入Microsoft Partner Program(MSPP)計劃, 立即獲得無限次數微軟Partner專屬線上技術支援。
    2009年2月10日 上午 09:38