Не работает https://autodiscover.domain.ru/autodiscover/autodiscover.xml.

При запросе Outlook ом возвращается ответ в виде "Код ошибки: 403 Запрет доступа. Сервер отклонил указанный URL-адрес. Обратитесь к администратору сервера. (12202)". При открытии из браузера появляется окно TMG. Сама почта ходит.

в TMG при просмотре логов по правилу публикации:


Отклоненное соединение
Тип журнала: Веб-прокси (обратный)
Состояние: 12202 Компонент Forefront TMG отклонил указанный URL-адрес.
Правило: Exchange Autodiscover
Источник: Внешняя (78.*.*.*:49546)
Назначение: Локальный компьютер (192.168.*.*:443)
Запрос: POST http://autodiscover.domain.ru/autodiscover/autodiscover.xml
Информация фильтра: Req ID: 0ba77da7; Compression: client=No, server=No, compress rate=0% decompress rate=0% ; FBA cookie: exists=no, valid=no, updated=no, logged off=no, client type=unknown, user activity=yes
Протокол: https
Пользователь: anonymous

При открытии из браузера появляется окно TMG. »
это что за окно TMG?
покажите правило павблишинга и листенер.

окно авторизации TMG, где оно просит ввести домен\имя пользователя и пароль.

прослушиватель: сети: внешняя, порт 443, сертификат domain.local, методы проверки подлинности: FBA with AD, Всегда проверять подлинность: нет.
правило: откуда: везде, куда: excahnge.domain.local, Делегирование проверки подлинности: обычная проверка подлинности.

В TMG создано 4 правила публикации: ActiveSync, OWA, AnyWhere и Autodiscover. Последние два отличаются "внешними именами" : у AnyWhere - mail.domain.ru, у autodiscover - autodiscover.domain.ru; для них доступ "все пользователи".

окно авторизации TMG, где оно просит ввести домен\имя пользователя и пароль. »
покажите скрин этого окна.
если там стандартная морда FBA - то всё правильно.
прослушиватель: сети: внешняя, порт 443, сертификат domain.local, методы проверки подлинности: FBA with AD, Всегда проверять подлинность: нет.
правило: откуда: везде, куда: excahnge.domain.local, Делегирование проверки подлинности: обычная проверка подлинности. »
вы не могли бы показать скрины?
и test rule тоже.

да там стандартная FBA морда, остальное во вложениях

да там стандартная FBA морда, остальное во вложениях »
если после ввода логина/пароля вы получаете
<?xml version="1.0" encoding="utf-8" ?> - <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006"> - <Response> - <Error Time="10:51:11.4807341" Id="3007185755"> <ErrorCode>600</ErrorCode> <Message>Invalid Request</Message> <DebugData /> </Error> </Response> </Autodiscover> - то это правильный ответ.

как я понимаю вы аутлуком снаружи цепляетесь?

всё абсолютно так. Наблюдаю за аутлуком http сниффером, и при запросе на https://autodiscover.domain.ru/autodiscover/autodiscover.xml получаю ответ 403. Судя по логам на TMG аутлук не проходит авторизацию, хотя на сервере Exchange для AutoDiscover включен анонимный доступ.
З.Ы. https://autodiscover.domain.ru/OAB открывается без всяких запросов...

Еще в логах TMG откладывается перед "Отклоненным соединением"

Разрешенное соединение
Тип журнала: Веб-прокси (обратный)
Состояние: 401 Нет авторизации
Правило: Exchange Autodiscover
Источник: Внешняя (78.31.97.44:50091)
Назначение: Локальный компьютер (192.168.1.135:443)
Запрос: POST http://autodiscover.domain.ru/autodiscover/autodiscover.xml
Информация фильтра: Req ID: 0baa52bd; Compression: client=No, server=No, compress rate=0% decompress rate=0% ; FBA cookie: exists=no, valid=no, updated=no, logged off=no, client type=unknown, user activity=yes
Протокол: https
Пользователь: anonymous


почему везде пользователь: anonymous?
а проблема, мне кажется в : Состояние: 401 Нет авторизации?

заработало послетого, как изменил в правиле публикации параметры делегирования проверки подлинности на "Без делегирования, но клиент может выполнять проверку подлинности"
C точки зрения безопасности это нормально?