PDA

Показать полную графическую версию : [решено] Exchange outlook Anywhere RPC не работает извне.


merdzd
06-10-2010, 15:24
1 сервер эксчейндж 2007 1 домейн, 2003. обычный файрвол не ISA.
RPC на сервере включен настроен. как здесь http://www.redline-software.com/rus/support/articles/msexchange/2007/outlook-anywhere-2007-isa-server-2006.php
только свой сертификат self-signed и без ISА.

Внутри сети всё работает.
Снаружи, только OWA.
После того как установлен сертификат OWA открывается без всяких ошибок.
pop3 и smtp так же работают без проблем.

А вот подключение к почтовому ящику Эксчейндж невозможно.
вот тест с https://www.testexchangeconnectivity.com

ExRCA is testing RPC/HTTP connectivity.
The RPC/HTTP test failed.
Test Steps
Attempting to resolve the host name wmail.contoso.ru in DNS.
Host successfully resolved
Additional Details
IP(s) returned: 196.268.166.136

Testing TCP Port 443 on host wmail.contoso.ru to ensure it is listening and open.
The port was opened successfully.
ExRCA is testing the SSL certificate to make sure it's valid.
The SSL certificate failed one or more certificate validation checks.
Test Steps
The certificate name is being validated.
Successfully validated the certificate name
Additional Details
Found hostname wmail.contoso.ru in Certificate Subject Alternative Name entry

Certificate trust is being validated.
Certificate trust validation failed.
Tell me more about this issue and how to resolve it
Additional Details
The certificate chain did not end in a trusted root. Root = CN=contoso.ru, O=Company Rus, L=Moscow, S="", C=RU

при подключении майлбокса если в дополнительно указать RPC сервер wmail.contoso.ru
и выбрать Basic авторизацию то 1 раз запрашивает авторизацию пользователя.
Но затем ошибка о том что нужно иметь постоянное подключение.


Вроде как ошибка видна и она в сертификате self-signed но не работает только извне.
и даже если сертификат установлен.

Oleg Krylov
06-10-2010, 15:28
http://technet.microsoft.com/en-us/library/bb851554(EXCHG.80).aspx
Раздел Limitations of the Self-Signed Certificate
Outlook Anywhere: The self-signed certificate cannot be used with Outlook Anywhere. We recommend that you obtain a certificate from a Windows PKI or a trusted commercial third party if you will be using Outlook Anywhere.

Там же:
Using the Self-Signed Certificate with Domain-Joined Outlook 2007 Clients
The self-signed certificate works without any additional configuration for domain-joined Microsoft Office Outlook 2007 clients.
Это относится только к внутренней сети.

merdzd
06-10-2010, 15:44
Тоесть Это покупка сертификата в любом случае?
или можно создать самому и подписать на другом СА.

Как бы проверить заранее не покупая а то вдруг не те грабли.

Oleg Krylov
06-10-2010, 15:51
Надо развернуть PKI и выдать сертификат от него. В этом случае использовать ExRCA абсолютно бессмысленно в плане тестирования OA, потому что нет доверия к корневому ЦС. Можно попробовать RPCPing.exe из комплекта Windows 2003 Support Tools.

Вообще нужно создать в внешнем DNS запись autodiscover.<ваш внешний домен> и опубликовать Autodiscover. Каким клиентом пытаетесь зацепиться?

merdzd
07-10-2010, 09:27
клиент 2007

2003й Запрещён.

Сегодня попробую машиной которая в АД и у неё сертификат установлен в довереные издатели.

Можно PKI поднять в виртуальной среде, будет ли сертификат созданный там работать?

merdzd
07-10-2010, 10:14
я пока не могу создать SRV запись на внешнем ДНС.
она же только настраивает клиента. или нет? я пишу все настройки вручную.

merdzd
08-10-2010, 14:12
Результат машины (клиент АД) с установленым сертификатом. outlook работает с любыми настройками.
в принципе это уже отлично.
с галочкой только SSl всё работает
видимо это только testexchangeconnectivity.com недоверяет сертификату.

Oleg Krylov
08-10-2010, 16:01
я пока не могу создать SRV запись на внешнем ДНС.
она же только настраивает клиента. или нет? я пишу все настройки вручную. »
Достаточно А-записи. SRV- это высший пилотаж уже. Да, она настраивает клиента, но не так, как вам кажется правильным, а так как настроена система. Это несоменный плюс.
Результат машины (клиент АД) с установленым сертификатом. outlook работает с любыми настройками.
в принципе это уже отлично.
с галочкой только SSl всё работает
видимо это только testexchangeconnectivity.com недоверяет сертификату. »
Не только. Вашему сертификату НИКТО не доверяет. Кроме тех машин, куда установлен корневой сертификат.

merdzd
08-10-2010, 16:45
Достаточно А-записи. SRV- это высший пилотаж уже. Да, она настраивает клиента, но не так, как вам кажется правильным, а так как настроена система. Это несоменный плюс. »
о теперь понял почему А.
autodiscover.contoso.ru
а так как настроена система: Это настройки с сервера?

Заработало снаружи, видимо стоял старый сертификат, с таким же именем но, в котором был включён только IIS.
Поэтому OWA работало без ошибок.
настройки как и на сервере
авторизация basic
only SSl.
только вот кеширование включить невозможно.
хотя клиент АД работает с кешированием и NTLМ авторизацией
и SSL

а вот если потом кеширование включить (не при добавлении учётной записи )
тогда всё работает.




© OSzone.net 2001-2012