среда, 21 июля 2010 г.

Публикация Exchange 2010 – OWA и ActiveSync

image В прошлой статье “Сертификация” мы рассмотрели вопрос выдачи сертификата серверу Exchange 2010, без которого не получиться организовать защищенное SSL соединение. Теперь можно приступать непосредственно к настройке внешнего доступа к службам Outlook Web App и Exchange ActiveSync.

По умолчанию службы Exchange 2010 настроены на работу с локальными URL`ми, следовательно, нам необходимо добавить к ним ещё и внешние. Делается это на уровне конфигурирования серверов – роль Client AccessOutlook Web Appсвойства OWAExternal URL.

image

Рис.1: Установка External URL для Outlook Web App.

Кроме того, необходимо изменить метод аутентификации на сайте OWA, c Form-based на стандартный. Делается это во вкладке Authentication, как показано на рисунке:

image

Рис.2: Изменение метода аутентификации.

Мы изменяем метод аутентификации т.к. планируется, что FBA будет использоваться на сервере TMG, который в свою очередь будет «пробрасывать» пользователей на локальный сайт, автоматически аутентифицируя их при помощи обычной проверки подлинности. Использовать FBA и для локальных пользователей и для внешних не получиться.

Аналогичные настройки необходимо повторить для Exchange Control Panel и для Exchange ActiveSync. Когда все настройки будут выполнены, нужно будет перезапустить IIS командой iisreset /noforce.

Закончив с конфигурированием Exchange, давайте переместимся на сервер с TMG и настроим публикацию необходимых сервисов в Интернет.

Публикация сервисов Exchange на TMG

Перед тем, как настраивать публикацию сервисов Exchange 2010 в сети Интернет нужно на сервер с TMG импортировать все необходимые сертификаты безопасности, в нашем случае это будут:

  • Сертификат корневого ЦС (т.к. сервер TMG находится в рабочей группе);
  • Сертификат Exchange.

О том, как сделать импорт/экспорт, мы говорили ранее, теперь, в результате проделанных манипуляций в оснастке Сертификаты (Локальный компьютер) на сервере с TMG у вас должен быть установлен сертификат сервера Exchange - в контейнере Личные (Personal) и сертификат доменного ЦС - в контейнере Доверенные корневые центры сертификации (Trusted Root Certification Authorities).

image

Рис.3: Сертификаты на сервере TMG.

Если все так и есть, то можно приступить к настройке TMG.

Создадим правило публикации OWA

Для этого откроем консоль управления сервером TMGПолитики межсетевого экранаОпубликоваться доступ веб-клиента Exchange – в мастере впишем понятное имя правила (например, OWA) и на следующем шаге выберем версию сервера - Exchange 2010Веб-клиент Outlook.

image

Рис.4: Создание правила публикации доступ веб-клиента Exchange.

Пройдем по шагам мастера:

  • Опубликовать один веб-сайт;
  • Использовать SSL для подключения…;
  • Имя внутреннего веб-сайта – mail.test.local (у меня);
  • Внешнее имя – mail.alexxhost.ru (у меня);
  • Создать веб-прослушиватель (если ещё не создан):
        • Назовем его Exchange-Listener;
        • Требовать безопасного подключения SSL для клиентов;
        • Выберем внешнюю сеть, либо IP-адреса на которых нужно слушать запросы;
        • Использовать единый сертификат для данного веб-прослушивателя и выберем ранее импортированный сертификат (у меня mail.alexxhost.ru);
        • Проверка подлинности на основе HTML-форм, способ проверки Active Directory (LDAP), т.к. у меня сервер TMG находится в рабочей группе!;
        • Можно отключить единый вход для веб-сайтов, опубликованных с данным веб-прослушивателем;
        • Т.к. наш сервер с TMG не входит в домен, соответственно нужно вручную добавить LDAP-сервер, как показано на рисунке:

image

Рис.5: Добавление LDAP-сервера.

  • Вернемся в мастер публикации Exchange и установим обычную проверку подлинности;
  • Т.к. сервер не входит в домен, то придется создать новый набор учетных записей:
        • Назовем их Domain Users;
        • Добавить - LDAP…;
        • Набор LDAP-серверов – Default Set (в него входит LDAP-сервер настроенный ранее), Имя пользователя – Все пользователи…;

image

Рис.6: Добавление нового набора пользователей.

        • Включим новый набор пользователей в правило публикации и на этом закончим работу мастера.

После того, как правило будет создано, и изменения применены, можно попробовать через веб-браузер открыть Outlook Web App по локальному адресу и по внешнему. Если все было сделано правильно, то на внешнем адресе должна сработать авторизация на основе веб-формы OWA, а на локальном адресе – обычная авторизация Windows. При этом браузер должен доверять сертификату ОБОИХ сайтов, проверить это можно нажав на значок замка, справа от строки адреса.

image

Рис.7: Проверка SSL-сертификата веб-сайта.

Правило публикации Exchange ActiveSync

Публикация Exchange ActiveSync происходит аналогичным образом, только в начале нужно выбрать не Веб-клиент Outlook, а Exchange ActiveSync. При этом в данном правиле нужно будет использовать тот же прослушиватель (Exchange-Listener), который мы создали во время настройки правила публикации OWA.

После применения правила публикации на TMG, нужно настроить ActiveSync на самом коммуникаторе, но перед этим необходимо установить сертификат доменного ЦС в корневой контейнер коммуникатора, для этого скачиваем сертификат ЦС на флэш-карту КПК и запускаем его. Сертификат установится автоматически, и вы увидите соответствующее сообщение:

image

Рис.8: Установка сертификата корневого ЦС на КПК.

Чтобы проверить наличие и правильный импорт сертификата необходимо открыть меню Settings – System – Certificates - вкладка Root, там должен быть сертификат корневого ЦС.

Далее можно приступать к конфигурированию ActiveSync. Открыв ActiveSync нужно нажать MenuServer Source – указать ваш E-mail адресвнешнее имя сервера и учетные данные пользователя.

image

Рис.9: Настройка ActiveSync.

Если все было настроено правильно, то синхронизация пройдет без ошибок и вы сможете пользоваться корпоративным сервером Exchange 2010 у себя на КПК.

Заключение

На этом публикацию таких сервисов Exchange 2010 как Outlook Web App и Exchange ActiveSync можно закончить. В следующей статье мы поговорим про настройку Outlook Anywhere и функции Autodiscover.

Данная статья является частью цикла “Публикация сервисов Exchange 2010 через TMG”, скачать все целиком вы можете в виде PDF файла – здесь, или посмотреть веб-каст на эту тему на портале TechDays по адресу - http://www.techdays.ru/videos/2814.html

100 комментариев:

Анонимный комментирует...

Спасибо!
Подскажите, а есть ли статьи про публикацию OWA без TMG ?

Алексей Богомолов (Alexx) комментирует...

Смотря как это "без TMG". Если используется шлюз другого вендора, то надо скорее всего именно к нему за справкой идти, а если идет речь про использование обычного маршрутизатора, то тут ни чего сложного нет, на нем надо просто настроить проброс HTTPS порта до вашего сервера и все. Обычно это называется Port Forwarding.

Анонимный комментирует...

Добрый день ! Алексей, а как установить сертификат на android - какие будут рекомендации ? Спасибо

Алексей Богомолов (Alexx) комментирует...

На андроиде, в отличии от WM, можно просто игнорировать проверку SSL сертификата.

Анонимный комментирует...

Т.е. не ставить птичку "... SSL connection" ?

Алексей Богомолов (Alexx) комментирует...

Ну вроде как да, у меня просто сейчас нет под рукой андроида...

Анонимный комментирует...

Ага, хорошо, проверю немного позже, у меня под рукой тоже нет андроида... И ещё вопрос - а по какой причине у меня в настройках IIS - там, где проверка подлинности - нет сроки с выбором "Обычная проверка подлинности" ? OWA правда работает и с NTLM, но всё же...

Анонимный комментирует...

Добрый день. Продолжение темы про Android - на "новом" почтовом ящике всё подключилось без вопросов, а вот пользователи, существующие давно, свои п.я. подключить не могут, проверено неоднократно, Android говорит об ошибке создания учётной записи. Позоже, в "старых" почтовых ящиках какие -то другие настройке, но ничего особенного я не нахожу. В чём может быть проблема ? Спасибо.

Алексей Богомолов (Alexx) комментирует...

Трудно сказать в чем может быть проблема. Ошибка какая-нить есть на сервере/клиенте? Старые пользователи ранее мигрировали с предыдущих версий сервера Exchange? Попробуйте у тестового пользователя в АД, на вкладке Security -> Advanced > Поставить галочку наследования и примените, иногда помогает.

Анонимный комментирует...

Да, действительно, вопрос был в наследовании прав. Помогло. Спасибо огромное.

Анонимный комментирует...

Добрый день.
Спасибо за статью.
Не сталкивались ли с проблемой публикации OWA Exchange 2010 Через ISA 2004? На CAS установлен сертификат типа wildcard *.domain.ru.
Ставил этот же сертификат (экспортировал с CAS)на ISA. Доверие к этому сертификату у ISA есть, но возникает довольно распространенная ошибка 500 Internal Server Error (-2146893022).
Похоже, что ISA, пересылая запрос на хост, указанный в правиле публикации не понимает wildcard, а ждет именно FQDN (mail.domain.ru). На этом этапе, вроде бы, все понятно.
Пробовал менять сертификаты на CAS и на ISA с именем mail.domain.ru. Ошибка 500 Internal Server Error (-2146893022) исчезает, но появляется другая, объяснения которой, я не нашел: 500 Internal Server Error Область данных, переданная по системному вызову, слишком мала (122).
В слушателе включена проверка подлинности на основе форм, на виртуальных каталогах CAS включена обычная проверка подлинности. Проверял работу проверки подлинности формой на SharePoint. Работает, т.е. учетные данные передаются корректно.
В чем может быть проблема?

Спасибо.

Алексей Богомолов (Alexx) комментирует...

А в настройках правила выставлено Запросы приходят от: клиента, либо сервера ISA?

Анонимный комментирует...

По всякому пробовал.

Алексей Богомолов (Alexx) комментирует...

Вот тут читали http://technet.microsoft.com/en-us/library/bb794843.aspx? Там и про проблемы с сертификатами в.т.ч. есть.

Максим комментирует...

Алексей спасибо Вам за ваши труды, тут такая проблема возникла. при публикации owa без tmg (через обычный маршрутизатор) у пользователей периодически появляется запрос на подключение к owa хостера(чужой сервер находящийся у организации управляющей зоной днс нашего домена)
это autodiscover надо поменять незнаю где?

Алексей Богомолов (Alexx) комментирует...

Вы же руками вбиваете адрес OWA, так при чем тут автодискавер?
Вам надо смотреть сетевую составляющую вопроса, т.е. через что и как маршрутизируется трафик из интернета до CAS-ов.

Иван комментирует...

Алексей добрый день,
хотел уточнить, в случае использования OWA без TMG, нужно ли менять метод аутентификации на Exchange с c Form-based на стандартный, для доступа из вне?
просто хочется оставить страницу входа в OWA exchange

Алексей Богомолов (Alexx) комментирует...

Если хочется оставить страничку входа и для внешних и для внутренних, то вам не просто можно, а придется оставить FBA на Exch`e.

Анонимный комментирует...

Алексей, спасибо за статью. У меня только вопрос остался, ActiveSync внутри работает, а из внешней сети почему-то не хочет. Публиковал через ISA 2006.

Алексей Богомолов (Alexx) комментирует...

А что говорит testexchangeconnectivity.com?

Анонимный комментирует...

Выполняется запуск сеанса ActiveSync на этом сервере.
При проверке сеанса Exchange ActiveSync произошли ошибки

Этапы проверки

Попытка отправить команду OPTIONS на сервер.
Не удалось выполнить проверку команды OPTIONS. Дополнительную информацию см. в разделе "Дополнительные сведения".

Дополнительные сведения
Ответ HTTP 500 возвращен ISA.

Это ответ с включенной опцией "пропустить доверие для SSL"

Алексей Богомолов (Alexx) комментирует...

А если в правиле публикации на ISA нажать кнопку Проверить (слева внизу)?

Анонимный комментирует...

все тесты проходят. а при попытке подключения в логах ISA правило для ActiveSync режет соединение со статусом "12206 The ISA Server detected a proxy chain loop. There is a problem with the configuration of the ISA Server routing policy. Please contact your server administrator"

Алексей Богомолов (Alexx) комментирует...

Попробуйте решить эту проблему с ISA. Возможно информация от сюда http://www.eventid.net/display.asp?eventid=14141&eventno=2601&source=Microsoft%20Web%20Proxy&phase=1 вам поможет.

Анонимный комментирует...

Алексей, спасибо. Решил проблему. Надо было прописать еще внутреннее имя сервера.

Алимов Александр комментирует...
Этот комментарий был удален автором.
Алимов Александр комментирует...

Алексей, activesync не синхронизирует аккаунты администраторов домена. Как можно решить эту проблему?

Алексей Богомолов (Alexx) комментирует...

Попробуйте сделать тестового пользователя, добавьте его в Domain Admins и посмотрите, работает ли ActiveSync. Если нет, то переместите его в стандартное OU Users - правой кнопкой - Свойства - Безопасносить (если нет вкладки, то в оснастке ADUC - вид - дополнительные компоненты) - Дополнительно - Восстановить умолчания.

Алимов Александр комментирует...

Алексей, спасибо. Я разобрался.
ActiveSync работает. Для пользователей принадлежащих к группе администраторы домена, по умолчанию запрещена работа с activesync.
Лечится установкой галки "добавить разрешения наследуемые от родительских объектов" во вкладке безопасность, свойств учетки AD

MaximAl комментирует...

А не подскажете, где можно почитать подобную подробную инструкцию про необходимые SSL-сертификаты для публикуемого Exchange-сервера (OWA & ActiveSync), где, какие, куда и как их устанавливать?

Алексей Богомолов (Alexx) комментирует...

Ну для начала можно заглянуть в TechNet, например вот сюда http://technet.microsoft.com/en-us/library/aa998840.aspx
Потом можно почитать мою преидущую статью - http://www.alexxhost.ru/2010/07/exchange-2010_20.html
Если заитересует своя собственная инфраструктура PKI, то можно почтать тут http://www.alexxhost.ru/2011/05/pki.html

MaximAl комментирует...

У вас достаточно серьезный подход к подаче материала.
Спасибо!

Анонимный комментирует...

Большое спасибо за материал.
Возник вопрос. Как заставить удаленных недоменных клиентов доверять корневому сертификату с моего ЦС? И как заставить Exchange этот сертификат показывать в сессии. Как я понимаю один из вариантов использовать публичный ЦС. Но хочется свой. И не только в OWA такая проблема, thebat! тоже ругается: "сервер не представил корневой сертификат в сессии". Скажите, TMG решит мою проблему? Сейчас доступ к сервисам организован через linux маршрутизатор.
Спасибо.

Алексей Богомолов (Alexx) комментирует...

Почитайте тему http://www.alexxhost.ru/2011/05/pki.html. Если кратко, то вам надо настроить расширения CDP и AIA в сертификате правильно. Либо вы можете просто экспортировать корневой сертификат, положить его в архив и разослать пользователям.

Анонимный комментирует...

Спасибо за статью, все хорошо и понятно описано.
Есть один вопрос. Если я знаю логин пользователя в домене, то мне не представляет сложности заблокировать его учетную запись, несколько раз (в зависимости от настроек в домене) введя неправильный пароль. Злоумышленник может заблокировать всех администраторов (зная логины) и тогда мало не покажется. Есть ли способ не допустить этого?

Алексей Богомолов (Alexx) комментирует...

Да, я думаю, что есть - не нужно всем администраторам домена создавать почтовые ящики на Exch`e. Достаточно одной админской учетки с почтовым ящиком, через которую вы будете админить сам Exch.

Анонимный комментирует...

Хорошо, задам вопрос по другому. Есть Директор, у него есть удаленный доступ к почте через https. Как в этом случае обезопаситься от бликировки кем-нибудь с учетом того что отключать блокировку нельзя? есть ли возможность блокировать не учетную запись в домене, а что-то на самом TMG?

Алексей Богомолов (Alexx) комментирует...

В этом случае вам скорее всего поможет только заведение авторизации через радиус сервер.

salex комментирует...

Добрый день, Алексей.
Спасибо за ваши публикации, всё настраивал по ним.
Возникла у меня проблема, найти в интернете не могу ответов.
Суть проблему в следующем.
При настройке на TMG избыточности ISP автоматическое переключение провайдеров (в данном случае при обрывае переключается на другого)- перестает работать OWA и прочие опубликованные службы, почта при этом ходит.
При ВЫключении избыточности ISP - всё работает.

Анонимный комментирует...

Попытка отправить команду OPTIONS на сервер.
Не удалось выполнить проверку команды OPTIONS. Дополнительную информацию см. в разделе "Дополнительные сведения".

Дополнительные сведения
Ответ HTTP 500 возвращен ISA.

тоже столкнулся с этой ситуацией, оказалось что невнимательность может повлечь за собой потерю времени. При настройке правила TMG оказалось вместо локального имени написал внешнее имя сервера, после исправления все заработало.
Отдельное спасибо Алексею за отзывчивость, уже не первый раз помогает советами и знаниями.

Алексей Мустяц комментирует...

Алексей, добрый день. Подскажите, пожалуйста как настроить ActiveSync для внутренних пользователей.
С внешней сети подключение и синхронизация проходят успешно, а вот с внутренней возникли проблемы.
Догадываюсь что дело в авторизации, т.к. FBA уже использует TMG, а внутренние пользователи сразу пытаются авторизоваться на почтовом сервере на котором установлена Basic авторизация.

Алексей Мустяц комментирует...

Решил проблему. Была отключена "Anonymous" авторизация в IIS в ActiveSync. Так как мобильные устройства не в домене, она требуется.

Анонимный комментирует...

Нет возможности поработать с OWA TMG+Exch2010. Но есть опыт настройки OWA EXch2007+ISA2006. Скажите пожалуйста, как я понимаю, настройка OWA практически идентична, как с EXch2007+isa2006?

Алексей Богомолов (Alexx) комментирует...

Да, верно.

Максим комментирует...

Алексей добрый день, все сделал по вашей статье, Owa и Outlook anywhere работатют, проблема с activesync, при синхронизации на эмуляторе windows mobile 6.5 дает ошибку «Сертификат безопасности на сервере является недопустимым. Код поддержки: 0x80072f0d.»

анализатор подключения проходит все тесты кроме последнего, При проверке сеанса Exchange ActiveSync произошли ошибки.
Этапы проверки
Попытка отправить команду OPTIONS на сервер.
Не удалось выполнить проверку команды OPTIONS. Подробнее об этом: раздел "Дополнительные сведения".
Подробнее
От сервера получен HTTP-ответ 401 - доступ запрещен. Это может быть результатом неправильных учетных данных или проблемы конфигурации на сервере Exchange Server.

Максим комментирует...

а забыл, ТМГ в сети нет,

Алексей Богомолов (Alexx) комментирует...

А вы на эмулятор импортировали корневой сертификат вашего СА? Указанная вами ошибка говорит о проблеме с сертом http://support.microsoft.com/kb/915438

Анонимный комментирует...

Если я настраиваю Outlook на компьютере не входящем в домен или вообще за пределами сети у меня возникают следующие проблемы:
1. не работает автонастройка
2. при попытке дать доступ к своему календарю, задачам и общим папкам вылетает ошибка (ошибка при подготовке сообщения об общем доступе)
3. не могу открыть календари, задачи и общие папки других пользователей к которым у меня есть доступ
При этом календарь,задачи, папки учетной записи которая настроена на Outlook работают превосходно, в чем может быть проблема
Заранее благодарен за ответ на TechNet мне так ничего и не ответили, одна надежда на Вас.
skype: iddqd_iddqfa
email: anton.vdovin@chekker.ru
ну или хотя бы оставьте свой комментарий в блоге
Заранее благодарен

Алексей Богомолов (Alexx) комментирует...

А вы автодискавер публиковали? С удаленного компа открывается ссылка https://autodiscover.firma.ru/autodiscover/autodiscover.xml ?
Воспользуйтесь ресурсом testexchangeconnectivity.com для тестирования ваших сервисов.

Анонимный комментирует...

открывается страница авторизации TMG и после ввода логина и пароля открывается xml

Анонимный комментирует...

Анализатор удаленного подключения ругается на сертификат (Не удалось создать для сертификата цепочку сертификатов. Не удалось построить цепочку сертификатов. Требуемые промежуточные сертификаты могут отсутствовать.)как-то вот так

Алексей Богомолов (Alexx) комментирует...

Во всех тестах кроме Outlook Anywhere можно поставить галку "Игнорировать доверие сертификата"

Анонимный комментирует...

Попытка отправить запрос POST автообнаружения на потенциальные URL-адреса автообнаружения.
Не удалось получить параметры службы автообнаружения при отправке запроса POST в эту службу.

Этапы проверки

Анализатор Microsoft Connectivity Analyzer пытается получить XML-ответ от службы автообнаружения с URL-адреса https://autodiscover.chekker.ru/AutoDiscover/AutoDiscover.xml для пользователя admin.vdovin@chekker.ru.
Анализатору Microsoft Connectivity Analyzer не удалось получить XML-ответ службы автообнаружения.
Подробные сведения об этой проблеме и способах ее устранения

Подробнее
Получена ошибка HTTP 403, так как сервер ISA Server отклонил указанный URL-адрес.
Получены заголовки:
Connection: close
Pragma: no-cache
Content-Length: 2040
Cache-Control: no-cache
Content-Type: text/html

Анонимный комментирует...

я так понимаю у меня где-то косяк с публикацией вышел этого самого autodiskovery и anywhare

Алексей Богомолов (Alexx) комментирует...

проверьте вкладку Paths в правиле публикации. В результате https://autodiscover.chekker.ru/AutoDiscover/AutoDiscover.xml должен открываться как с наружи, так и изнутри.

Анонимный комментирует...

Скажите пожалуйста нормально-ли что при переходе по ссылке https://autodiscover.chekker.ru/AutoDiscover/AutoDiscover.xml у меня выходит форма авторизации Forefront TMG?

Алексей Богомолов (Alexx) комментирует...

Да, нормально. На ней вы должны авторизоваться и увидеть в результате XML с 600-й ошибкой.

Анонимный комментирует...

This XML file does not appear to have any style information associated with it. The document tree is shown below.



600
Недопустимый запрос



Анонимный комментирует...

а что тогда не так у меня с автоопределением, если autodiscover открывается правильно

Алексей Богомолов (Alexx) комментирует...

А вот теперь я уже не могу сказать, далее надо смотреть детально и самостоятельно...

Анонимный комментирует...

ну а хоть где копать то? какие логи пошерстить? на клиенте, на сервере, мож днс, мож чего с прт записями (если это важно)???

Антон Вдовин комментирует...

я разобрался с autodiscovery, нужно было из правил публикации убрать группу пользователей "все пользователи" (так что я думаю лучше вырезать из вэбкаста упоминание о возможности использовать эту группу пользователей, но календари из вне домена и из интернета все равно не расшариваются (ошибка при подготовке сообщения о совместном доступе)

Антон Вдовин комментирует...

Теперь вот какую ошибку анализатор выдает:

Создание временной папки для выполнения тестов синхронизации.
Не удалось создать временную папку для выполнения тестов.

Подробнее
Сведения об исключении:
Сообщение: The request failed. The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.
Тип: Microsoft.Exchange.WebServices.Data.ServiceRequestException
Трассировка стека:
at Microsoft.Exchange.WebServices.Data.ServiceRequestBase.GetEwsHttpWebResponse(IEwsHttpWebRequest request)
at Microsoft.Exchange.WebServices.Data.ServiceRequestBase.ValidateAndEmitRequest(IEwsHttpWebRequest& request)
at Microsoft.Exchange.WebServices.Data.MultiResponseServiceRequest`1.Execute()
at Microsoft.Exchange.WebServices.Data.ExchangeService.BindToFolder[TFolder](FolderId folderId, PropertySet propertySet)
at Microsoft.Exchange.Tools.ExRca.Tests.GetOrCreateSyncFolderTest.PerformTestReally()
Сведения об исключении:
Сообщение: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.
Тип: System.Net.WebException
Трассировка стека:
at System.Net.HttpWebRequest.GetResponse()
at Microsoft.Exchange.WebServices.Data.EwsHttpWebRequest.Microsoft.Exchange.WebServices.Data.IEwsHttpWebRequest.GetResponse()
at Microsoft.Exchange.WebServices.Data.ServiceRequestBase.GetEwsHttpWebResponse(IEwsHttpWebRequest request)
Сведения об исключении:
Сообщение: The remote certificate is invalid according to the validation procedure.
Тип: System.Security.Authentication.AuthenticationException
Трассировка стека:
at System.Net.TlsStream.EndWrite(IAsyncResult asyncResult)
at System.Net.ConnectStream.WriteHeadersCallback(IAsyncResult ar)

Алексей Богомолов (Alexx) комментирует...

А у вас Mailbox сервера стоят отдельно от CAS-ов? Если да, то проверьте, что у них есть доступ в Интернет по 443-му порту.

Антон Вдовин комментирует...

нет у меня все на одном сервере

Антон Вдовин комментирует...

снова что-то новенькое:
Не удалось создать временную папку для выполнения тестов.

Подробнее
Сведения об исключении:
Сообщение: The request failed. The remote server returned an error: (403) Forbidden.
Тип: Microsoft.Exchange.WebServices.Data.ServiceRequestException
Трассировка стека:
at Microsoft.Exchange.WebServices.Data.ServiceRequestBase.GetEwsHttpWebResponse(IEwsHttpWebRequest request)
at Microsoft.Exchange.WebServices.Data.ServiceRequestBase.ValidateAndEmitRequest(IEwsHttpWebRequest& request)
at Microsoft.Exchange.WebServices.Data.MultiResponseServiceRequest`1.Execute()
at Microsoft.Exchange.WebServices.Data.ExchangeService.BindToFolder[TFolder](FolderId folderId, PropertySet propertySet)
at Microsoft.Exchange.Tools.ExRca.Tests.GetOrCreateSyncFolderTest.PerformTestReally()
Сведения об исключении:
Сообщение: The remote server returned an error: (403) Forbidden.
Тип: System.Net.WebException
Трассировка стека:
at System.Net.HttpWebRequest.GetResponse()
at Microsoft.Exchange.WebServices.Data.EwsHttpWebRequest.Microsoft.Exchange.WebServices.Data.IEwsHttpWebRequest.GetResponse()
at Microsoft.Exchange.WebServices.Data.ServiceRequestBase.GetEwsHttpWebResponse(IEwsHttpWebRequest request)

Антон Вдовин комментирует...

я обречен?

Алексей Богомолов (Alexx) комментирует...

Трудно сказать ))
Попробуйте пересоздать виртуальный каталог EWS. Если не поможет, надо для начала посмотреть в сторону логов IIS.

Антон Вдовин комментирует...

ок спс

Alex комментирует...

Добрый день
Делал все используя вашу статью
Все работало. Но сотрудники стали обращаться с проблемой отправки писем через active sync с вложение больше 50 кб. Письма зависают в исходящих на мобильных устройствах. Создается впечатление что они вообще не попадают на сервер.

Farhad Sadihov комментирует...

Добрый День.
прошу посодействовать в маленькой проблемке..С exchange недавно познакомился близко поэтому не решаюсь делать сразу все. При создании нового юзера он автоматом открывает у него OWA и ActiveSync.Но мне нужно что б у нового юзера по умолчанию был он на disable.

Алексей Богомолов (Alexx) комментирует...

Попробуйте пример из этой статьи (в самом низу) http://www.alexxhost.ru/2011/05/scripting-agents-cmdlet-extension.html

Farhad Sadihov комментирует...

А если я просто во вкладке Organization Configuration -> Client access изменю политику во вкладке segmentation OWA и ActiveSync сделаю disable то она будет распространяться только на новых юзеров или на всех, Не закроется доступ у тех у кого был доступ на OWA.

Иван Шевченко комментирует...

Добрый день.
Подскажите пожалуйста, в одном домене есть два сервера exchange 2007 и 2010. OWA с мира работает на 2007 сервер. Как сделать что бы пользователь при входе на 2007 сервер мог просматривать свою почту при условии что его ящик находится на 2010 сервере.

Алексей Богомолов (Alexx) комментирует...

Опубликуйте 2010-й сервер, он будет автоматически проксировать (или редиректить) запросы на 2007-й (на 2007-м надо полностью убрать External URL для нужной службы)

Иван Шевченко комментирует...

Спасибо за оперативность.
Если сделать так как вы говорите то придется изменить сертификат безопасности, этого делать пока нельзя. Есть ли вариант проксировать с 2007 на 2010

Алексей Богомолов (Alexx) комментирует...

Не очень понимаю почему надо менять сертификат... но вам виднее. 2007 -> 2010 настроить не получится, по крайней мере, на сколько я знаю.

Иван Шевченко комментирует...

Сертификат на anywear, но бог с ним с генерирую новый. Опубликовал 2010 сервер но автоматический редирект не происходит. При попике входа пишет что "Изменение конфигурации сервера временно препятствует доступу к вашей учетной записи"
В логах на серваках нет по этому поводу ничего. Подскажите пожалуйста куда копать?

Максим Попов комментирует...

Алексей, добрый день!
Вопрос следующий:
У меня настроены почтовые сервера в точности по описанному вами варианту здесь: http://www.alexxhost.ru/2010/05/edge-transport-exchange-2010.html?showComment=1383300747134#c8087223915466852547
Нам нужно следующее:
Доступ к почте из любой удаленной точки мира, при чем OWA здесь не всегда катит, так как человеку нужно чтобы при попадении письма в его почтовый ящик, сразу же приходило уведомление. Проще говоря, чтобы была возможность подключаться к почте с мобильного телефона (например), при помощи какого-нибудь локально установленного приложения, так как в этом случае, если телефон находится в зоне доступа, это приложение сообщает о вновь пришедшем письме. Но сложность в том, что непосредственно база exchange не публикуется в инете. Как в данном случае быть?

Алексей Богомолов (Alexx) комментирует...

Что значит не публикуется? Какая ошибка на мобильном клиенте? Вы используете приложение, поддерживающее работу по ActiveSync (Exchange профиль)? Вы Autodiscover.domain.com опубликовали? Выполните тест ActiveSync на testexchangeconnectivity.com

Максим Попов комментирует...

Алексей, мне не совсем понятно, можно ли опубликовать доступ к базе через сервер edge, а не через сервер с бд (hub), так как у меня белый ip адрес имеет только edge, но не hub, из соображений безопасности

Алексей Богомолов (Alexx) комментирует...

Через Edge проходит только SMTP трафик, все веб сервисы надо публиковать в другом месте, либо на шлюзе пробрасывать 443-й порт до CAS сервера, либо использовать TMG (кстати, TMG можно поставить и на EDGE). Также можно попробовать поставить на Edge`a Reverse Proxy (например IIS ARR) и использовать его для публикации (но я так не делал).

Анонимный комментирует...

Добрый День!
Здесь уже задавался вопрос:
проблемой отправки писем через active sync с вложение больше 50 кб. Письма зависают в исходящих на мобильных устройствах. Создается впечатление что они вообще не попадают на сервер.
Ответа небыло! :( может кто-то что-то посоветует?

Алексей Богомолов (Alexx) комментирует...

На всех версиях ОС одинаковое поведение (Android, iOS, WP)? Попробуйте поднять уровень логирования для ActiveSync (на уровне конфигурирования серверов - справа Manage Diagnostic Logging) после чего почитайте Application логи.

Анонимный комментирует...

на всех. :) вчера локализовал ошибку. блочит tmg,
HTTPS Denied Connection
0xc0040017 FWX_E_TCP_NOT_SYN_PACKET_DROPPED.
Странное поведение, вложение до 50 к TMG пропускает, более - NOT_SYN_PACKET_DROPPED. Пытаюсь побороть.

Анонимный комментирует...

Перенастраивал внешние IP (смена IPсети провайдера) В итоге заработало, - почта, ActiveSync, owa. Однако при проверке (https://testconnectivity.microsoft.com) не проходит последняя (ранее проходившая) цепочка:

Попытка отправить запрос POST автообнаружения на потенциальные URL-адреса автообнаружения.
Не удалось получить параметры службы автообнаружения при отправке запроса POST в эту службу.

Подробнее

Затраченное время: 2430 мс.

Этапы проверки

Анализатор Microsoft Connectivity Analyzer пытается получить XML-ответ от службы автообнаружения с URL-адреса https://owa.домен.ru/Autodiscover/Autodiscover.xml для пользователя testexch@домен.ru.
Анализатору Microsoft Connectivity Analyzer не удалось получить XML-ответ службы автообнаружения.

Подробнее

Сообщение об ошибке, возвращенное откликом XML
службы автообнаружения:



en:us

testexch
testexch@домен.ru



1
Внешний URL-адрес недоступен для выполнения входа в почтовый ящик с помощью Exchange ActiveSync. Для получения доступа к почтовому ящику необходимо настроить конфигурацию сервера Exchange.
UserMailbox




Затраченное время: 2429 мс.

В чем может быть проблема?

Антон Вдовин комментирует...

Последняя надежда=)
есть exchange 2010, на нем есть адреса двух видов
1. ареса с внешним доменным именем(@domain.ru)
2. адреса с внутренним доменным именем (@domain.local)
Когда я настраиваю outlook на адрес с внешним доменным именем (машина с аутлук не в сети а подключается из интернета) все нормально, но когда я настаиваю на этой же машине адрес с внутренним доменным именем то получается следующее
почта работает, задачи работают, свой календарь работает, но при попытке открыть календарь другого пользователя с внешним доменным именем) то получаю ошибку, также получаю ошибку при попытке открыть доступ к своему календарю.
Скажите, возможно ли это настроить в принципе и как это сделать, или это нормальная ситуация так и должно быть, и нужно всем давать внешние доменные имена

Алексей Богомолов (Alexx) комментирует...

А зачем Вам вообще адреса вида @domain.local? В таком случае из внешки не будет работать сервис Autodiscover. Вы настраиваете Outlook руками для таких адресов? Скорее всего проблема именно в том, что не работает Autodiscover.
Я бы отказался от адресов вида @domain.local.

Neri комментирует...

Алекс, добрый день!
А можете подсказать куда копать при проблеме:

Есть EX 2010 + TMG (EDGE)
Перестала работать owa через external URL
доходит до запроса логина/пароля, при вводе валидных данныех пишет, что

404 - файл или каталог не найден.
Запрашиваемый ресурс перемещен, переименован либо временно недоступен.


По internal URL все работает.

Алексей Богомолов (Alexx) комментирует...

Надо решить где проблема - на TMG или на Exch`e, следовательно надо попробовать сделать простое правило NAT 443-го порта до Exch`a на TMG и посмотреть что будет.

Neri комментирует...

Спасибо за ответ, проблема было во мне =)))

Unknown комментирует...

Алексей, приветствую! Спасибо за кучу статей по Exchange, много раз они пригождались.
Вопрос такой - опубликовал Exchange 2010 через роутер Mikrotik и всё работает (почта ходит, ова работает нормально).
Проблема в том что при посылке сообщений некоторым почтовым серверам приходит ошибка "Invalid RDNS entry for 80.252.45.84" или "Domain must resolve".
Я так понимаю что при общении моего сервера и сервера получателя мой сервер представляется как somecompany.local а должен somecompany.ru . И сервер получателя определяя по ip-адресу мой обратный днс выдаёт ошибку по несоответствию.
Правильно понимаю что это происходит из-за не совсем правильной публикации и надо чтобы мой микротик переделывал это приветствие в правильно? Я так понимаю ТМГ это делает.
Или мне просто надо изменить коннектор отправки в Ексчендже? Кстати как это сделать? =)
Заранее благодарю за ответы.

Алексей Богомолов (Alexx) комментирует...

Нет, шлюз ни чего не переделывает. Ваша МХ запись должна иметь PTR-запись в обратной зоне. При этом 80.252.45.84 должен быть адрес, который прописан в SPF-записи, или являться MX-записью.
Кроме того, в свойствах Send Connector`a на самой первой вкладке есть поле HELO\EHLO FQDN - это и есть имя, которым сервер представляется в SMTP сессии.

Unknown комментирует...

Запись в обратной зоне есть. Тесты проходит.
Мой ip имеет mx запись (да и почта на большинство серверов ходит).
spf нет, просто пока не заморочился. Значит на первой вкладке всё верно.
Получается сервера которые не принимают от меня почту, неправильно настроены, или им обязательно нужна spf-запись?

Алексей Богомолов (Alexx) комментирует...

SPF лучше сделать.
Если IP 80.252.45.84 реально Ваш, то для него нет записи в обратной зоне.

Unknown комментирует...

SPF конечно полезен, но пока руки не доходят.
Конечно, он не мой, это просто ради примера, как и имена
доменов.
Так каков вердикт? Неправильная настройка серверов получателей писем с моего сервера, а с моим сервером всё в порядке?

Алексей Богомолов (Alexx) комментирует...

Я не могу здесь вердикты ставить :)
Попробуйте сделать тест ещё и на http://mxtoolbox.com/ если и там все ОК, то может действительно что-то не так с "той стороны" с DNS.

Кирилл Приходдько комментирует...

Не могу настроить подключение к ActiveSync. Анализатор testconnectivity.microsoft выдает вот такую ошибку:

При проверке сеанса Exchange ActiveSync произошли ошибки.

Подробнее

Этапы проверки

Попытка отправить команду OPTIONS на сервер.

Не удалось выполнить проверку команды OPTIONS. Подробнее об этом: раздел "Дополнительные сведения".

Анализатору Microsoft Connectivity Analyzer не удалось найти заголовок MS-Server-ActiveSync and MS-ASProtocolVersions.
Заголовки ответов HTTP:
MS-Author-Via: DAV
DASL:
DAV: 1, 2
Public: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH
Allow: OPTIONS, TRACE, GET, HEAD, LOCK, UNLOCK
Accept-Ranges: bytes
Content-Length: 0
Cache-Control: private
Date: Sat, 17 Jan 2015 12:07:02 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Затраченное время: 5800 мс

Куда копать?

eagle комментирует...

Публикация ActiveSync без TMG возможна или нет?
Outlook anywhere я так понимаю возможен, а вот с активсинк ?
и с учетом того что на почтовик переброшен с роутера только 443 порт ( 80 идет на сервер с сайтом )

Алексей Богомолов (Alexx) комментирует...

ActiveSync, также как и Outlook Anywhere и OWA требуют только 443-го порта, так что не вижу проблем... главное, чтобы сертификат был доверенный для мобильного клиента (некоторые без SSL не хотят работать).

Отправить комментарий