[Oleg Krylov]

Сначала нужно выполнить setup /PrepareLegacyExchangePermissions
Вы должны быть членом Domain Admins, Enterprise Admins и Schema Admins. Проверьте, что действительно входите во все эти группы, здесь бывает много подвохов.
На сервере, скоторого вы проводите подготовку домена должна быть включена опция управления службами ADDS. Делается, например, из консоли PowerShell:
Add-WindowsFeature RSAT-ADDS -Restart
Ну и таки да, покажите скрин

[akaAmigos]

Добрый день!
все вроде сработало.
Сделал все на сервере, на который установил exchange 2010
т.е. и схему обновил и ад, и пермишены дал.

теперь вроде 2010 работает в паре с 2003. однако есть один не маловажный вопрос, надесюь вы поможете
раньше, на 2003 у нас стоял сертификат, ну т.е. пользователи могли с любого компутра в мире, предварительно установив на нем в корневое хранилище наш сертификат, настроить оутлук и работать с ним как в офисе.

в 2010 так пока что не работает, понятно почему, потому что я еще не настроил))))
Однако например на макинтоше в оутлуке с 2010 экченджем почта заработала, т.е. он заругался сперва что сертификат от сервера не правильный( видимо 2010 взял какой то стандартный сертификат), я нажал кнопочку принять, и почта на маке в оутлуке 2011 работает, нормально, правда нет адресной книги((((

Но с видоузом такое не прокатило, переписав настройки оутлука на новый сервер, вне корп. сети, оутлук отказывается подключаться через http без сертификата, точее он ругается что сертификат неправильный, пишет ошибку 51, и есть только кнопка ОК

простите за столь запутанный и корявый стиль(((((
но может вы сможете направить меня, куда капать где читать.

спасибо!

[exo]

Цитата akaAmigos:

ну т.е. пользователи могли с любого компутра в мире, предварительно установив на нем в корневое хранилище наш сертификат, настроить оутлук и работать с ним как в офисе »

вам нужно сгенерить сертификат на новый сервер и платно подписать его у удостоверяющего центра. тогда от пользователй не потребудется вручную его помещать в доверенные сертификаты.
Если у вас несколько доменов, то нужен сертификат UCC. Хотя можно обойтись и не UCC если вы можете настроить ДНС сервера отвечающие за каждый домен. Точнее - прописать запись SRV указывающюю на ваш сервер.
Есть и второй способ, но у меня не получилось его настроить.

Где почитать, точно сказать не могу. Попробуйте поиском поискать "Exchange 2010 сертификат"

мне нравится блог Алеска

[Oleg Krylov]

Цитата akaAmigos:

раньше, на 2003 у нас стоял сертификат, ну т.е. пользователи могли с любого компутра в мире, предварительно установив на нем в корневое хранилище наш сертификат, настроить оутлук и работать с ним как в офисе. »

Он там и остался. А вот для нового сервера по умолчанию установился Self-Signed сертификат. Т.е. в процессе установки роли Hub Transport сервер сам себе выписал сертификат. Он не является доверенным, поэтому у вас и не отрабатывает подключение. Посмотреть сертификат на сервере Exchange 2010 можно из EMS командой Get-ExchangeCertificate.

Цитата akaAmigos:

например на макинтоше в оутлуке с 2010 экченджем почта заработала, т.е. он заругался сперва что сертификат от сервера не правильный( видимо 2010 взял какой то стандартный сертификат), я нажал кнопочку принять, и почта на маке в оутлуке 2011 работает, нормально, »

Этому не стоит радоваться. т.к. соединение у вас происходит в открытом виде, т.е. https-туннель не образовался, т.к. не согласована SSL-сессия и все данные идут через Интернет в открытом виде. Так что виндовый клиент, на самом деле молодец.

Цитата akaAmigos:

Но с видоузом такое не прокатило, переписав настройки оутлука на новый сервер, вне корп. сети, оутлук отказывается подключаться через http без сертификата, точее он ругается что сертификат неправильный, пишет ошибку 51, и есть только кнопка ОК »

Очень хорошо, что он так делает, на самом-то деле )
Что делать:
Для начала описать что у вас с топологией. Как сервер выходит в интернет, как к нему достукиваются пользователи. Это поможет понять какие имена в сертификате надо будт сделать и сколько сертификатов выпускать. В связи с тем, что

Цитата akaAmigos:

столь запутанный и корявый стиль »

можете нарисовать схемку. Понятно, что адреса, явки и пароли можно опустить.

[akaAmigos]

спасибо, коллеги за ответы
сейчас в дороге, попробую вечером описать топологию и схемку накидать

[akaAmigos]

Доброго всем дня!
Итак, схема такая:

есть домен (АД) внутри имеет вид ххххх.ru
старый exchange 2003 стоит на главном контролере АД (понятно что их нет, держатель роли fsmo, могу ошибится в абревиатуре. контроллеров несколько в разных сайтах и в разных подсетях, все реплицируется) имеет имя post.xxxxx.ru (он же прописан в днс зоне нескольких доменов основной мх записью, в том числе и в зоне домена xxxxx.ru и yyyyyy.com) на него же можно заходить снаружи по https://post.xxxxx.ru, однако основной домен для почты имеет вид yyyyyyy.com что прописано в настройказ 2003 exchange. На этом же сервере есть самоподписанный (не платный) сертификат, для подключений оутлука коиентов.

Недавно установил Exchange 2010 по инструкции с микрософта, в среду с раотающим 2003.Они имеет имя mail.xxxxx.ru (yно и для него надо оставить основным почтовым доменом yyyyyy.com). На одном сервере все три основноые роли. Перенес несколько ящиков со старого exchange, все ок, перенеслось, и даже работает по https://mail.xxxxx.ru/owa (правда из дома, и по мегафоному интернету не всегда резолвится имя, не понимаю почему, на гугловских нс серверах всегда все ок, думаю может у меня проблема, надо копать). Внутри сети работют и оутлуки, если сменить им в настройках имя сервера exchange со старого на новый. В настройках нового exchange как вы и сказали появился новый самоподписанный сертификат, он видимо отрабатывает внутренние подключения по оутлуку, и внешние по https://mail.xxxxx.ru/owa. правда я пока что не сменил мх записи в доменах, которые мне нужны (сделал просто новую мх запись для совершенно другого домена, ну а А запись прописал для сервера mail.xxxxxx.ru IP такой то).
Почта работает и отправляется и принимается как внутри так и наружу. Я так понимаю что все это работает в жесткой связке с 2003, он видимо выступает в роли отправителя и приемщика, так? а если его отключить (временно) то думаю что почта перестанет работать (те ящики что перенесены на новый сервер). Соответсвенно нужно сменить во всех зона
х, тех доменов что мен нужны мх запись с post.xxxxx.ru на mail.xxxxx.ru, верно?

Что касается макинтошового аутлука, то думаю он просто забирает все через https://mail.xxxxx.ru/owa, типа как обычный браузер, сталкивался с подобным еще с 2003 в айфонах, они тоже там так забирают.
Собственно как сделать новый сертификат, в 2003 понятно как (certsrv.msc), а вот с 2010 или с 2008 точнее, не понимаю((((

вот в целом такая топология, если что то не понятно или я не описал, спрашивайте)

сорри за грамматические ошибки, опечатки, печатал в машине )))

[Oleg Krylov]

Отлично. Осталось понять через что происходит доступ в\из Интернет на почтовые серверы. Другими словами - что у вас в качестве файрволла?

[akaAmigos]

cisco ASA 5505
на ней открыты для обоих серверов 3389 порты, smtp, http, https

оба сервера не в дмз
имею приватные внутренние адреса, которые транслируются в реальные, для каждого свой

[Oleg Krylov]

Понятно, т.е. SSL Bridge не наш сценарий...
Значит делаем такой вот запрос в EMS:
$Data = New-ExchangeCertificate -GenerateRequest -SubjectName "CN=mail.xxxxx.ru" -DomainName mail.xxxxx.ru, post.xxxxx.ru, autodiscover.xxxxx.ru -BinaryEncoded -PrivateKeyExportable $true
Set-Content -path "C:\Temp\CertRequest.req" -Value $Data.FileData -Encoding ByteПотом выпускаете сертификат на вашем СА. Устанавливаете его, например так: certreq -accept -f C:\Temp\Cert.cer
Потом назначаете его на сервисы IIS в консоли управления Exchange (или находите значение поля Отпечаток (Thumbprint) этого сертификата) и выполняете команду:
Enable-ExchangeCertificate -Thumbprint <То значение, которое нашли> -Services POP,IMAP,SMTP,IIS

Цитата akaAmigos:

на ней открыты для обоих серверов 3389 »

Не самая лучшая идея. Почитайте про службу Remote Desktop Gateway http://technet.microsoft.com/en-us/l...02(WS.10).aspx

[akaAmigos]

Попробую завтра это сделать, я про сертификат
А про 3389, это вот оно http://www.techdays.ru/videos/1510.html

то что вы советуете?
я так понимаю, это некое новое решение для терминальных серверов и работ с удаленными рабочими столами, верно?