Доступ к сервисам почтового сервера в локальной сети – это одно, а вот доступ из сети Интернет должен быть хорошо защищен, так что без HTTPS тут никуда! Если речь заходит о безопасном подключении через HTTPS, то на ум сразу приходит вопрос обеспечения этого соединения сертификатом безопасности, а соответственно и задача этот сертификат где-то получить.
У Exchange 2010 уже есть свой собственный (самоподписанный) сертификат, который по умолчанию используется для предоставления локального доступа к Outlook 2010, OWA и т.п.. В нашем случае такой сертификат не подойдет и мы озадачимся выдачей сертификата безопасности серверу Exchange 2010 из локального центра сертификации (вопросы приобретения и установки коммерческих сертификатов рассматривать не будем). Для того чтобы выдать сертификат серверу, нам необходимо в локальной сети иметь как минимум одни Центр сертификации (ЦС). Для этого на любом сервере под управлением Windows Server 2008 R2 нужно установить роль Службы сертификации Active Directory и добавить компоненты Центр сертификации и Служба регистрации в центре сертификации через Интернет (для получения сертификатов через веб-браузер).
Рис.1: Установка служб сертификации Active Directory.
Дело в том, что сертификаты по умолчанию могут быть привязаны только к одному FQDN-имени. Для включения в сертификат нескольких имен узлов необходимо в центре сертификации активировать функцию SAN.
Примечание: Дополнительное имя может потребоваться для публикации службы Autodiscover. О том, как обойтись без дополнительного имени в сертификате, читайте этот цикл статей http://www.alexxhost.ru/2011/05/autodiscover-1.html.
Subject Alternative Name – это специальное поле в сертификате, которое содержит набор имен узлов. Exchange 2010, при генерации запроса на сертификат, сам добавляет в него несколько имен узлов, но без включенной функции SAN, центр сертификации попросту проигнорирует все лишние имена и оставит только одно.
Для включения функции SAN, на сервере с установленной ролью центра сертификации, необходимо выполнить команду:
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
и перезапустить сам ЦС:
net stop certsvc
net start certsvc
В результате во всех новых сертификатах этого ЦС появится ещё одно поле (конечно, если в запросе оно пребуется):
Примечание: Подробнее про развертывание инфраструктуры центров сертификации можно почитать здесь http://www.alexxhost.ru/2011/05/pki.html
Закончив настройки ЦС можно перемещаться на сервер Exchange, здесь в разделе Конфигурация серверов давайте выберем наш сервер клиентского доступа (CAS), и создадим запрос на получения нового сертификата при помощи действия New Exchange Certificate… (это можно сделать и через EMS при помощи командлета New-ExchangeCertifate). Введем понятное имя сертификата и на странице и на странице Exchange Configuration внимательно заполним FQDN имена узлов для необходимых нам сервисов.
Рис.2: Конфигурирование доменных имен для сертификата.
В результате мастер предложит вам список доменных имен, которые будут включены в сертификат. Если бы мы не включили функцию SAN в нашем центре сертификации, то в этом случае сертификат был бы привязан только к доменному имени указанному как Set as common name.
Рис.3: Конфигурирование списка доменных имен.
Примечание: Обратите внимание, что здесь используются разные FQDN имена для внутренних и внешних клиентов. Так делать совсем не обязательно, о том, как настроить сервер на работу с одним FQDN именем, можно почитать здесь http://www.alexxhost.ru/2011/05/dns-ru-local.html и здесь - http://www.alexxhost.ru/2011/05/owa-exchange-2010-2.html.
На следующем шаге мастера необходимо заполнить информацию о вашей организации и сохранить запрос в файл с расширением *.req.
После формирования запроса его нужно будет подтвердить в ЦС. Для этого откроем веб-страничку нашего ЦС по адресу http://YourCA/certsrv и нажмем кнопку Запрос сертификата – Расширенный запрос – Выдать запрос используя Base-64 шифрованный файл….
Рис.4: Расширенный запрос сертификата.
Затем нужно открыть фал с сохраненным запросом (*.req) например Блокнотом, скопировать его содержание в поле Сохраненный запрос, выбрать шаблон сертификата – Веб-сервер и нажать кнопку Выдать.
Рис.5: Генерация сертификата для Exchange.
Теперь возвращаемся в консоль управления Exchange, выбираем новый сертификат и подтверждаем его действием Complete Pending Request…
Рис.6: Подтверждение сертификата.
Если все сделано правильно, то в значок сертификата будет помечен белой галочкой на голубом фоне, и мы сможем приступить к следующему шагу.
Примечание: Если сертификат принят не был, то стоит проверить есть ли у сервера доверие к выдавшему его центру сертификации, для этого нужно открыть MMC, добавить оснастку Сертификаты – Локальный компьютер и посмотреть в раздел Trusted Root Certification Authorities, там должен быть сертификат корневого ЦС, если его там нет, то его нужно запросить со странички http://YourCA/certsrv - запрос сертификата ЦС и импортировать.
После успешного подтверждения сертификата, необходимо ему назначить нужные сервисы, для этого нажмем на нем правой кнопкой мыши – Assign Services to Certificate… и выберем необходимые сервисы, включая IIS.
Рис.7: Присвоение сертификату необходимых служб.
В результате в службе IIS у сайта по умолчанию (Default Web Site) должен измениться SLL сертификат для https, проверить это можно выбрав действие Привязки (Bindings).
Рис.8: SSL сертификат для https.
Теперь нужно установить сертификат вашего ЦС на всех клиентов в Trusted Root Certification Authorities и можно пользоваться безопасным HTTPS соединением (доменным клиентам сертификат корневого ЦС раздается автоматически после установки самого ЦС).
Если вам нужен сертификат самого ЦС, то проще всего его запросить через веб-браузер по адресу http://YourCA/certsrv - Загрузка сертификатов ЦС, цепочки сертификатов или CRL.
Рис.9: Запрос сертификата ЦС.
Скачав сертификат на локальный компьютер его можно импортировать на клиентов при помощи групповой политики (для доменных пользователей) - Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certificate Authorities
Рис.10: Назначение корневых сертификатов при помощи GPO.
Или вручную при помощи оснастки MMC – Certificates. Запускаем MMC от имени администратора – File – Add/Remove Snap-is – Certificates – Computer Account – Local Computer – выбираем нужный раздел и нажимаем Импорт.
Рис.11: Импорт сертификата через MMC.
Также сертификат можно установить нажав на файле правой кнопкой мыши – Установить сертификат (Install Certificate) и поместить его в необходимый контейнер:
Рис.12: Установка сертификата в выбранный контейнер.
Что касается экспорта, то Личные (Personal) сертификаты выгружаются с приватным ключом
Рис.13: Выгрузка сертификата с приватным ключом.
И при выгрузке надо указать, что экспорт необходимо осуществить со всеми дополнительными параметрами:
Рис.14: Выгрузка с дополнительными параметрами.
Далее необходимо указать пароль на файл и сохранить файл с расширением *.pfx на локальный компьютер.
Корневые сертификаты выгружаются проще, здесь нужно указать формат DER encoded binary X.509 (.CER) и сохранить сертификат в файл с расширением *.cer.
Рис.15: Выгрузка корневых сертификатов в файл *.cer
Затем скопировать полученные файлы на нужный сервер/компьютер и импортировать их.
Что касается клиентских ПК, то им необходим только сертификат корневого ЦС, для того, чтобы доверять всем другим сертификатам, выданным этим ЦС. Для серверов (TMG/ISA) плюсом к корневому сертификату нужно импортировать сертификат Exchange`a, для того, чтобы он мог использоваться на прослушивателе (Listener`e).
Данная статья является частью цикла “Публикация сервисов Exchange 2010 через TMG”, скачать все целиком вы можете в виде PDF файла – здесь, или посмотреть веб-каст на эту тему на портале TechDays по адресу - http://www.techdays.ru/videos/2814.html
У Exchange 2010 уже есть свой собственный (самоподписанный) сертификат, который по умолчанию используется для предоставления локального доступа к Outlook 2010, OWA и т.п.. В нашем случае такой сертификат не подойдет и мы озадачимся выдачей сертификата безопасности серверу Exchange 2010 из локального центра сертификации (вопросы приобретения и установки коммерческих сертификатов рассматривать не будем). Для того чтобы выдать сертификат серверу, нам необходимо в локальной сети иметь как минимум одни Центр сертификации (ЦС). Для этого на любом сервере под управлением Windows Server 2008 R2 нужно установить роль Службы сертификации Active Directory и добавить компоненты Центр сертификации и Служба регистрации в центре сертификации через Интернет (для получения сертификатов через веб-браузер).
Рис.1: Установка служб сертификации Active Directory.
Дело в том, что сертификаты по умолчанию могут быть привязаны только к одному FQDN-имени. Для включения в сертификат нескольких имен узлов необходимо в центре сертификации активировать функцию SAN.
Примечание: Дополнительное имя может потребоваться для публикации службы Autodiscover. О том, как обойтись без дополнительного имени в сертификате, читайте этот цикл статей http://www.alexxhost.ru/2011/05/autodiscover-1.html.
Subject Alternative Name – это специальное поле в сертификате, которое содержит набор имен узлов. Exchange 2010, при генерации запроса на сертификат, сам добавляет в него несколько имен узлов, но без включенной функции SAN, центр сертификации попросту проигнорирует все лишние имена и оставит только одно.
Для включения функции SAN, на сервере с установленной ролью центра сертификации, необходимо выполнить команду:
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
и перезапустить сам ЦС:
net stop certsvc
net start certsvc
В результате во всех новых сертификатах этого ЦС появится ещё одно поле (конечно, если в запросе оно пребуется):
Примечание: Подробнее про развертывание инфраструктуры центров сертификации можно почитать здесь http://www.alexxhost.ru/2011/05/pki.html
Закончив настройки ЦС можно перемещаться на сервер Exchange, здесь в разделе Конфигурация серверов давайте выберем наш сервер клиентского доступа (CAS), и создадим запрос на получения нового сертификата при помощи действия New Exchange Certificate… (это можно сделать и через EMS при помощи командлета New-ExchangeCertifate). Введем понятное имя сертификата и на странице и на странице Exchange Configuration внимательно заполним FQDN имена узлов для необходимых нам сервисов.
Рис.2: Конфигурирование доменных имен для сертификата.
В результате мастер предложит вам список доменных имен, которые будут включены в сертификат. Если бы мы не включили функцию SAN в нашем центре сертификации, то в этом случае сертификат был бы привязан только к доменному имени указанному как Set as common name.
Рис.3: Конфигурирование списка доменных имен.
Примечание: Обратите внимание, что здесь используются разные FQDN имена для внутренних и внешних клиентов. Так делать совсем не обязательно, о том, как настроить сервер на работу с одним FQDN именем, можно почитать здесь http://www.alexxhost.ru/2011/05/dns-ru-local.html и здесь - http://www.alexxhost.ru/2011/05/owa-exchange-2010-2.html.
На следующем шаге мастера необходимо заполнить информацию о вашей организации и сохранить запрос в файл с расширением *.req.
После формирования запроса его нужно будет подтвердить в ЦС. Для этого откроем веб-страничку нашего ЦС по адресу http://YourCA/certsrv и нажмем кнопку Запрос сертификата – Расширенный запрос – Выдать запрос используя Base-64 шифрованный файл….
Рис.4: Расширенный запрос сертификата.
Затем нужно открыть фал с сохраненным запросом (*.req) например Блокнотом, скопировать его содержание в поле Сохраненный запрос, выбрать шаблон сертификата – Веб-сервер и нажать кнопку Выдать.
Рис.5: Генерация сертификата для Exchange.
Теперь возвращаемся в консоль управления Exchange, выбираем новый сертификат и подтверждаем его действием Complete Pending Request…
Рис.6: Подтверждение сертификата.
Если все сделано правильно, то в значок сертификата будет помечен белой галочкой на голубом фоне, и мы сможем приступить к следующему шагу.
Примечание: Если сертификат принят не был, то стоит проверить есть ли у сервера доверие к выдавшему его центру сертификации, для этого нужно открыть MMC, добавить оснастку Сертификаты – Локальный компьютер и посмотреть в раздел Trusted Root Certification Authorities, там должен быть сертификат корневого ЦС, если его там нет, то его нужно запросить со странички http://YourCA/certsrv - запрос сертификата ЦС и импортировать.
После успешного подтверждения сертификата, необходимо ему назначить нужные сервисы, для этого нажмем на нем правой кнопкой мыши – Assign Services to Certificate… и выберем необходимые сервисы, включая IIS.
Рис.7: Присвоение сертификату необходимых служб.
В результате в службе IIS у сайта по умолчанию (Default Web Site) должен измениться SLL сертификат для https, проверить это можно выбрав действие Привязки (Bindings).
Рис.8: SSL сертификат для https.
Теперь нужно установить сертификат вашего ЦС на всех клиентов в Trusted Root Certification Authorities и можно пользоваться безопасным HTTPS соединением (доменным клиентам сертификат корневого ЦС раздается автоматически после установки самого ЦС).
Импорт/экспорт сертификатов
Для того, чтобы клиенты и серверы (например, ISA/TMG) могли принимать сертификат Exchange`a и пользоваться им, нужно выполнить 2 условия:- Обеспечить клиентов доверием к этому сертификату;
- Обеспечить серверы самим сертификатом.
Если вам нужен сертификат самого ЦС, то проще всего его запросить через веб-браузер по адресу http://YourCA/certsrv - Загрузка сертификатов ЦС, цепочки сертификатов или CRL.
Рис.9: Запрос сертификата ЦС.
Скачав сертификат на локальный компьютер его можно импортировать на клиентов при помощи групповой политики (для доменных пользователей) - Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certificate Authorities
Рис.10: Назначение корневых сертификатов при помощи GPO.
Или вручную при помощи оснастки MMC – Certificates. Запускаем MMC от имени администратора – File – Add/Remove Snap-is – Certificates – Computer Account – Local Computer – выбираем нужный раздел и нажимаем Импорт.
Рис.11: Импорт сертификата через MMC.
Также сертификат можно установить нажав на файле правой кнопкой мыши – Установить сертификат (Install Certificate) и поместить его в необходимый контейнер:
Рис.12: Установка сертификата в выбранный контейнер.
Что касается экспорта, то Личные (Personal) сертификаты выгружаются с приватным ключом
Рис.13: Выгрузка сертификата с приватным ключом.
И при выгрузке надо указать, что экспорт необходимо осуществить со всеми дополнительными параметрами:
Рис.14: Выгрузка с дополнительными параметрами.
Далее необходимо указать пароль на файл и сохранить файл с расширением *.pfx на локальный компьютер.
Корневые сертификаты выгружаются проще, здесь нужно указать формат DER encoded binary X.509 (.CER) и сохранить сертификат в файл с расширением *.cer.
Рис.15: Выгрузка корневых сертификатов в файл *.cer
Затем скопировать полученные файлы на нужный сервер/компьютер и импортировать их.
Что касается клиентских ПК, то им необходим только сертификат корневого ЦС, для того, чтобы доверять всем другим сертификатам, выданным этим ЦС. Для серверов (TMG/ISA) плюсом к корневому сертификату нужно импортировать сертификат Exchange`a, для того, чтобы он мог использоваться на прослушивателе (Listener`e).
Заключение
На этом тему выдачи сертификата мы закончим. В следующей статье поговорим про публикацию самих сервисов Exchange 2010 в сеть Интернет.Данная статья является частью цикла “Публикация сервисов Exchange 2010 через TMG”, скачать все целиком вы можете в виде PDF файла – здесь, или посмотреть веб-каст на эту тему на портале TechDays по адресу - http://www.techdays.ru/videos/2814.html
150 комментариев:
Спасибо. Статья познавательна
Рад, что понравилось! :)
Большое спасибо за статью! Очень пригодилась :)
Спасибо
спасибо
один вопрос:
планируем использовать OWA, CA внутренний, нужно ли для внешних пользователей обеспечить доступ к CRL файлам нашего CA?
Не доменным пользователям нужно просто импортировать сертификат вашего СА в корневые сертификаты компьютера, тогда они будут доверять вашему локальному СА и соответственно Exch`y. Если такой возможности нет, то скорее всего вам придется купить сертификат.
речь не об этом.
пример: разворачивали терминальную ферму с RD Gateway. RDC 7.0 при подключении к шлюзу проверяет сертификат на отзыв. Потому по аналогии спрашиваю, нет ли в других свежих продуктах Microsoft подобных проверок?
К сожалению у меня нет такой информации, если что-то выясните - буду признателен, если оставите здесь комментарий.
У меня процесс застрял на моменте подтверждения сертификата (Рис.6). Подтверждение как бы проходит, но значок сертификата не меняется.
Что может быть не так?
В логах ошибки есть? Команда Get-ExchangeCertificate | fl говорит что-нить подозрительное.
есть событие 4999 в журнале приложений:
-----------------------------
Watson report about to be sent for process id: 5704, with parameters: E12, c-RTL-AMD64, 14.01.0218.015, MSExchangeMailSubmission, M.Exchange.StoreProvider, M.M.MapiEventManager.SaveWatermarks, M.Mapi.MapiExceptionArgument, 69c9, 14.01.0218.011.
ErrorReportingEnabled: False
------------------------------
но не думаю, что оно имеет отношение к делу
может быть такое, что exchange не видит ЦС?
[PS] C:\Windows\system32>Get-ExchangeCertificate | fl
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
ule}
CertificateDomains : {smth.ru, mailserver.smth.ru, autodiscover.smth.ru, autodiscover.fantasier.ru}
HasPrivateKey : True
IsSelfSigned : False
Issuer : CN=smth.ru, OU=smth, O=smth, L=smth, S=smth, C=RU
NotAfter : 17.01.2012 18:15:12
NotBefore : 17.01.2011 17:55:12
PublicKeySize : 2048
RootCAType : Unknown
SerialNumber : 0F4163A19BF9669B41B4017DE7199A3A
Services : None
Status : PendingRequest
Subject : CN=smth.ru, OU=smth, O=smth, L=smth, S=smth, C=RU
Thumbprint : 2482EC0417BF4F1B5D8608235B987D87E1C7AA30
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
ule}
CertificateDomains : {smth.ru, mailserver.smth.ru, async.smth.ru, autodiscover.smth.ru, autodiscove
r.fantasier.ru, fantasier.ru}
HasPrivateKey : True
IsSelfSigned : False
Issuer : C=RU, S=some, L=moscow, O=smth, OU=some, CN=smth.ru
NotAfter : 13.12.2011 19:48:52
NotBefore : 13.12.2010 19:28:52
PublicKeySize : 2048
RootCAType : Unknown
SerialNumber : 37352D91F6A0BEA24FCDB2CD5594B39E
Services : None
Status : PendingRequest
Subject : C=RU, S=some, L=moscow, O=smth, OU=some, CN=smth.ru
Thumbprint : 2C882F78C1D4ED3E9F6CD764F45FA09A49714AE6
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
ule, System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAcc
essRule}
CertificateDomains : {mailserver, mailserver.smth.ru}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=mailserver
NotAfter : 05.05.2015 11:10:21
NotBefore : 05.05.2010 11:10:21
PublicKeySize : 2048
RootCAType : None
SerialNumber : 36878ED46BF7F7BD4B25A64EDE0BC516
Services : IMAP, POP, IIS, SMTP
Status : Valid
Subject : CN=mailserver
Thumbprint : F636852EE02D660F94D6E7B5AFB4061155E93AB9
>Подтверждение как бы проходит...
У вас подтверждение НЕ проходит, смотрите вот эту строчку:
Status : PendingRequest
Именно по этому и не меняется значок.
После рис.6 есть примечание, вы его читали?
>может быть такое, что exchange не видит ЦС?
Врятли, скорее всего он просто ему не "доверяет".
PS Вы сервер перезагружать пробовали? Иногда помогает.
примечание я читал.
Сертификат локального ЦС есть в Trusted Root Certification Authorities на эксченже.
тут следует отметить, что
1. если после "Рис.5: Генерация сертификата для Exchange" зайти в ЦС, то новоиспеченный сертификат можно найти в запросах в ожидании...
Я его соотв-но выдаю и отмечаю как выданный.
2.при нажатии "complete pending request" эксченж выводит визард:
-------------------------
Complete Pending Request
Introduction
This wizard will help you to import a certificate issued from the certification authority to your Exchange server. Before the import occurs, the certificate will be mapped to the certificate request that already exists on the server.
Select a certificate to map to this certificate request:
--------------------------
и предлагает выбрать файл сертификата *.cer
Если дать ему соответствующий cer,скопированный из ЦС, то:
либо по-прежнему будет Status : PendingRequest
либо:
Exchange Management Shell command completed: Import-ExchangeCertificate -Server 'MAILSERIVER' -FileData '< Binary Data>'
The certificate status could not be determined because the revocation check failed.
либо (если добавить этот cer в Trusted Root Certification Authorities эксченжа) он просто исчезает из Exchange Certificates
>Trusted Root Certification Authorities
Здесь нужно уточнить, что эта оснастка относится к локальному компьтеру, а не к пользователю. У вас так?
>Я его соотв-но выдаю и отмечаю как выданный.
немного не понял, как вы его выдаете и зачем отмечаете? После запроса вам нужно просто скачать файл со странички после той, которая на рис.5, далее именно этот скачанный файл и надо подсунуть Exch`y.
>Если дать ему соответствующий cer, скопированный из ЦС
С самого ЦС ни чего копировать не надо, все делается через браузер!
да, оснастка относится к local computer
>Я его соотв-но выдаю и отмечаю как выданный
>Если дать ему соответствующий cer, скопированный из ЦС
это, наверное, потому, что ЦС (http://cert/certsrv/certrqxt.asp) у меня отличается от рис.5 отсутствием поля "Шаблон сертификата: веб сервер" (его просто нет - а так все тоже)
и после выдачи (кн. выдать на Рис.5) он меня редиректит на http://cert/certsrv/certfnsh.asp, где написано:
-------------------------
Ожидаемый сертификат
Ваш запрос на сертификат был получен. Однако следует дождаться, когда администратор выдаст запрошенный сертификат.
Код запроса: 16.
Вновь вернитесь на этот веб-сайт через один-два дня для получения вашего сертификата.
Примечание: нужно вернуться сюда с помощью этого же браузера в течение 10 дней для получения вашего сертификата
-------------------------
ЗЫ: у меня роль службы сертификации AD на W2008r2
>отсутствием поля "Шаблон сертификата: веб сервер"
Вот с этого и надо было начинать! :)
Без шаблона Веб-сервер у вас ни чего не получиться. Вам нужно идти на ваш ЦС и добавлять шаблон!!!
>у меня роль службы сертификации AD на W2008r2
у меня тоже!
спасибо. я кажись понял.
все дело в том, что сервер сертификатов должен работать на Enterprise версии.
a у меня роль службы сертификации AD на W2008r2 standart. и что-то не вижу путей обойти эти грабли кроме как поставить энтерпрайс (
Делал всё по инстукции )) внутри домена всё работает.
Но при подключении по внешнему имени происходит следующее: отображается OWA, ввожу логин/пароль, нажимаю "вход в систему" и вижу :
Не удается отобразить страницу ... Код ошибки: 500 Внутренняя ошибка сервера. Цепочка сертификатов выпущена центром сертификации, не имеющим доверия. (-2146893019)
на Exchange в IIS поменял сертификат. Теперь из вне всё хорошо, но изнутри говорит, что сертификат выдан для веб-узла с другим именем.
Вы в поле SAN все нужные имена добавили?
это исправил. спасибо. Другой вопрос: при проверке правила публикации Outlook AnyWhere выявил отсутствие узла mail.firma.ru/rpc на сервере exchange. Как быть?
Это маловероятно, проверьте физические есть ли виртуальный каталог RPC на IIS`e, где установлен Exchange. Скорее всего просто проблема с типом проверки подлинности.
"Не забывайте, что в случае публикации OWA на сервере Exchange нужно отказаться от использования FBA, т.к. при помощи форм авторизация будет происходить на сервере TMG" - как раз мой случай ) А можно как-нибудь сохранить для OWA сохранить авторизацию при помощи форм?
а зачем для OWA сохранять авторизацию при помощи формы? ИМХО, доменные пользователи могут автоматом входить, вообще не забивая логин/пароль, а все остальные (даже локальные) пусть на внешний адрес ходят, где авторизуются через форму.
Приветствую, Алексей!
Ты мне как-то помог с перемещением почтовой базы на TechNet...
Тут решил обзавестись сертификатом, но застрял в самом начале.
Все делаю строго по пунктам, но никак не появляется Subject Alternative Name в списке сертификата.
Сервер 2008R2 Standart, ADC, Exchange 2010.
Делаю все именно так:
1.Отмечаю галкой роль «Службы сертификации AD», далее;
2.Отмечаю «Центр сертификации», «Служба регистрации в центре сертификации через Интернет», далее;
3.Задание типа установки - «Предприятие», далее;
4.Задание типа ЦС – «Корневой ЦС», далее;
5.Установка закрытого ключа «Создать новый закрытый ключ», далее;
6.Шифрование «RSA (SHA1)», Галочку «Разрешить взаимодействие с администратором…. – не ставлю, далее;
7.Имя – оставляю по умолчанию, далее;
8.Срок – 5 лет, далее;
9.Расположение по умолчанию, далее;
10.Устанавливаем;
11.В PowerShell (x86) вставляю «certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2», пишет, что выполнилось успешно;
12.Перезапускаю службу «certsvc»;
13.Захожу в диспетчер сервера, службы сертификации AD, нахожу сертификат, и нет там SAN (Дополнительное имя субъекта).
Очередной раз нуждаюсь в твоей помощи:)
Что я делаю не так?
Большое спасибо за ранее.
Запись SAN появилась только на следущее утро... Решил снести центр сертификации и поставить заного. Пока после команды certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2 ничего не появилось. Ждем:)
После ывполнения команды certutil.... поле SAN появится в только:
1. В новых сертификатах
2. В сертификатах, запрос которых содержал несколько имен хостов.
Т.е. в уже выданном сертификате это поле ни как не появится, и будет присутствовать в новом сертификате если в мастере запроса сертификата на сервере Exchange вы указали несколько разных имен вашео сервера.
Так как его получить?:)
Я удалил центр сертификации,
удалил все файлы в C:\Windows\system32\CertLog,
перезагрузил сервер и сделал все пункты из моего прошлого коммента (1-13)... Т.е. ты говоришь о том, что до выполнения "Публикация Exchange 2010 – “сертификация”" нужно еще что-то было сделать?
Спасибо за ранее.
>Так как его получить?:)
Кого получить? Сертификат для сервера Exchange? Или ещё что-то? Если первое, то собственно об этом вся статья и написана ;) Надо читать сразу после слов "Закончив настройки ЦС можно перемещаться на сервер Exchange..."
Возможно вас ввела в заблуждение фраза: "В результате в сертификатах этого ЦС появится ещё одно поле"
Так вот, иначе говоря, я имел ввиду следующее "В сертификатах, ВЫДАВАЕМЫХ этим ЦС появится ещё одно поле"
Прошу прощения, мыслю строго последовательно: Вот и застрял...
Теперь разобрался и иду дальше))
С праздником Великой Победы!!!!
Доброе время суток и огромное спасибо за Ваши публикации.
У меня тоже вопрос по SAN. В случае двухуровневой схемы сертификации с офлайновым корневым центром (изолированным) мы все равно должны должны ыполнить команду на нем и потом перевыпустить его сертификат и сертификаты подчиненных центров?
И второй вопросик. При обращении к certsrv у меня запрашивается логин и пароль. Я так понимаю, он не хочет пускать от имени компьютера. Это надо где-то в IIS`e смотреть?
to Dima:
1. Нет, функция SAN активируется на том СА, на котором планируется выпускать сертификаты с SAN. Корневой СА тут не причем, перевыпускать сертификат самого СА - тоже не нужно.
2. Он и не должен пускать от имени компьютера. На СА вы должны зайти под пользователем, которому разрешено получать сертификаты по шаблону Web Server (см. вкладку Security в свойствах шаблона). Domain Admins`ам - разрешено.
Утро доброе. Случайно при настройке удалил сертификат созданный Exchange 2010 по умолчанию, теперь клиент Outlook просит пароль при входе. Подскажите как восстановить работоспособность?
А в локальном хранилище сертификатов сертификат остался? (Чтобы посмотреть откройте ММС - Добавить/удалить оснастку - Сертификаты - Локальный компьютер - Личные)
Если остался, то воспользуйтесь командлетом Enable-ExchangeCertificate.
Проверил, нет :(
Тогда в любом случае придется генерить новый сертификат.
Отличная статья! Большое спасибо автору.
Добрый день! Алексей, вопрос, который меня интересует уже поднимался здесь. Надеюсь ты не будешь против его прокомментировать.
Вопрос в следующем. Контролер домена поднят на Windows 2008 R2 Standart, на нем же установлена роль Центра Сертификации. В этой версии ОС нет шаблонов сертификатов и нет возможности их добавить. Поиски в инете дали только один результат - нужно ставить Windows 2008 Enterprise. Сделать это не представляется никакой возможности - инфраструктура построена, а переустанавка системы и настройка ролей займет продолжительное время.
Можешь что либо посоветовать либо дать какой-нибудь вектор направления в решении этой задачи?
С уважением, Save-L.
Как так нет шаблонов? Так не бывает. Скриншот оснастки с шаблонами покажите?
В R2 Enterprise и Standard почти все различия в СА были убраны.
Приветвствую, Алексей!
Проблема в том что у меня нет раздела Exchange Configuration в окне создания New Exchange Sertificate!
Подскажите пожалуйста в чем проблема?
Не мучайтесь, сделайте просто запрос через EMS - http://technet.microsoft.com/ru-ru/library/dd351057.aspx
Алексей, так и использую ESM. ТОлько у меня нет в запросе Exchange Configuration.
EMS - Exchange Management SHELL, там в принципе нет разделов и Exchange Configuration в том числе, т.к. это командная консоль PowerShell.
Проблема в следующем. Все сделал по инструкции как написано. Почта работает. Вопрос в следующем: внутри домена пользователи заходят в owa, но вот те кто не в домене получают форму owa с приглашением на вход. После ввода логина и пароля снова вылазит форма owa. Может ли сей феномен быть из за того что сертификат CA не установлен в доверенных центрах сертификации на клиентах которые не в домене?
За пост спасибо. Особенно помог момент експорта серитификатов на TMG.
Нет, это не из-за сертификата.
Вы в каком виде вводите логин? Проверьте требуемый формат в разделе Настройки сервера - клиентский доступ - OWA - Свойства - вкладка Проверка подлинности.
Проверка стоит обычная и встроенная.
Так у вас через TMG сделана публикация OWA? Если да, то проблема в правиле публикации, читайте следующую статью http://www.alexxhost.ru/2010/07/exchange-2010-owa-activesync.html
дело в том что TMG находится в домене. И на прослушивателе стоит проверка пользователя на основе форм с помощью AD. может в этом причина.
Все сделал как в статье но с наружи owa не видно
на вкладки веб прослушивателя надпись что данный прослушиватель не настроен на ssl
Добрый день. Алексей, вопрос вот какой. Ошибка на странице "Выдача запроса на сертификат или на обновление сертификата" - не дает выбрать шаблон. "Не найдены шаблоны сертификатов. вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к active directory". Проверял, права у пользователя есть, делаю все под пользователем с правами Администраторы Домена.
Вы через IE запрос делаете? Попробуйте отключить у него встроенную безопасность + добавить узел СА в доверенные.
Столкнулся с такой проблемой. При попытке в owa зайти в настройках в "Пересылка письма" выходит ошибка Сбой метода сервера "GetList". Также еще в некоторых меню. Поиск дал понять только, что проблема в настройках https, но где именно - не понятно...
Доброе время суток!
Столкнулся с такой проблемой:
Установил СЦ на сервер с ад. Выполнил "certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2" (почтовик стоит на сервере в локальном домене, все роли на одной машине. С Маршрутизатора просто прокинуты пока порты. Соответственно требуется сертификат как для local так и для ru)
Загрузил сертификат для сц (Загрузка сертификата ЦС (не запрос))(его не было в доверенных на почтовике) Импортировал, ругнулось что проверить не может но работать всё будет. Сделал запрос с Ex на сертификат, импортировал сам сертификат, но не проходит, пишет что сертификат недопустим. В доверенных на ад, там же где и сц естественно сертификат есть (один простой, второй с ключом)
Может есть ещё какие то нюансы: метод шифрования, данные о организации должны с чем то совпадать? куда копать? Или как ещё можно найти мою ошибку?
Какой у вас алгоритм подписи, хэширования и длина ключа?
Сорри, извиняюсь, как и следовало ожидать, просто невнимательность. Когда в mmc добавлял оснастку сертификаты, то всё время добавлял в консоль пользователя а не локальной машины.
Какое правильно использовать шифрование, длину ключа, подпись?
Разбираюсь по вашим блогам с exchange. Нужно ли добавлять серификаты для служб smtp, pop3, imap? Если планируется использовать в локалке и снаруже в качестве клиентов оutlook и клиенты под ipad с совместной работой с календарями и задачами, стоит делать на pop или на imap? И вообще, что дальше читать из ваших блогов? (начал с видеоподкастов о установке, вот сертификаты поставил)?
IPAD отлично работает без IMAP/SMTP/POP - подключаясь через OMA
Сам долго с этим разбирался, готов помочь, если есть проблемы
tomilin@gmail.com
по поводу "закольцованной" формы OWA FBA: как вариант можно отключить требование SSL на узлах эксченджа в IIS, и поставить галку HTTP на закладке "bridge"
Или, Как другой вариант надо разобраться с SSL-каналом между ISA и EXCHANGE (IIS)
вот мануал
http://www.osp.ru/win2000/2005/02/177517
http://www.osp.ru/win2000/2005/05/177766
Все сделано как написано. OWA и Microsoft Outlook удаленно работают. Почтовый клиент на Android через ActivSync подключается (принимает настройки пользователя), но не отправляет и не принимает сообщений. Непонятно, в чем может быть ошибка?
Посмотрите, что скажет про ActiveSync тест на сайте http://testexchangeconnectivity.com/
Спасибо за помощь! После тестирования обнаружена ошибка с кодом 500. Согласно рекомендациям в свойствах учетной записи AD в разделе "безопасность/дополнительно/" отметить наследовать разрешения - отметил и все заработало, хотя по этим же рекомендациям для пользователей входящих в административные группы этого не стоило делать.
Добрый день. Exchange 2010. Всё сделал, как написано здесь. Работает, однако, для внешних не доменных клиентов не действует Outlook anywhere,т.к. по какой-то причине сервер выдаёт старый неправильно сконфигурированный сертификат. Давно создан новый, старый удален отовсюду. Такое ощущение, что где-то Exchange скэшировал старый сертификат...
При проверке http://testexchangeconnectivity.com/ также видно обращение к старому сертификату.
Каким образом опубликован Outlook Anywhere? На web-listener`e на TMG/ISA тоже сертификат поменяли?
Алексей, в нашей сети мы вообще не используем TMG или аналогичное ПО. Трафик до почтовика Cisco пробрасывает на внутренний адрес Exchange.
Я правильно понимаю, что если вы открваете ММС - Сертификаты - Локальный компьютер - Персональные, то там вашего старого сертификата вы не наблюдаете?
Да, старого сертификата нет ни в оснастке "Сертификаты\УЗ Компьютер", ни в IIS, ни в Exchange.
Очень странно. В этом случае я не могу вам так помочь, надо самому смотреть что и как у вас настроено.
Алексей, вы знаете, уже настроенные Аутлуки работают по HTTPS, после принятия даже не совсем актуального сертификата. Это переживём. Но вот новые Аутлуки не сетапятся (опять же, не доменные и извне). Autodiscover находит сервер, просит авторизоваться, но пароль не принимает и бесконечно выскакивает эта табличка...как быть?
Пишите на электронку - будем разбираться.
Здравствуйте, помогите пожалуйста, делаем все по инструкции, создаем и сохраняем запрос, после подписываем его в ЦС после сохраняем файл сертификата, нажимаем "Complete Pending Request" выходит окно, даем ему скаченный сертификат с ЦС и тыкаем готово, пишет что все без ошибок, однако сертификат просто исчезает и все, помогите плиззз.
Попробуйте открыть ММС - Сервификаты - Локальный компьютер - Personal - там есть сертификат?
Если нет, то нужно попробовать сгенерировать самостоятельно на СА сертификат с нужными именами и подсунуть в Exchange при помощи командлета enable-ExchangeCertificate
Добрый день, Алексей!
Посмотрел все ваши инструкции по установке и настройке exchange в связке с tmg.
Всё настроил как у вас. Owa и activesync работают, а вот с outlook anywhere проблемы.
Дело в том что при подключении с удалённого компьютера через outook к exchange первые два этапа ("установка сетевого подключения" и "поиск параметров сервера")
проходят успешно, а вот последний (вход на сервер) выдает ошибку (требуется постоянное подключение к серверу и т. д.).
Если вам не сложно, можете хоть как нибудь помочь, натолкнуть на мысль, а то уже вторую неделю голову ломаю а так проблему и не решил.
ещё дополнительно напишу о том что если после ошибки нажат ОК, то почтовый сервер написан правильно, а вот перед почтовым адресом стоит такая надпись (=smtp:).
Заранее Спасибо большое!!!
Сертификат сервера Exchange проходитпроверку на клиенте? (owa в IE открывается без ошибки сертификата?)
Добрый день, Алексей!
Сертификат в OWA открывается с ошибкой сертификата.
Хочу ещё написать о том куда продвинулись мои попытки настроить OutlookAnywhere. Вообщем в менеджере IIS в EWS я установи простую аутентификацию и ещё я скачал помимо ssl сертификата ещё корневой сертификат и тоже установил его на компьютер в результате при ручной настройке OutlookAnywhere стал цепятся и почта подгрузилась, но вот при автоматической настройке опять превые два пунка ("установка сетевого подключения" и "поиск параметров сервера")проходят нормально, появляется окно запроса пароля для подключения к autodiscover, ввожу пароль он нормально проглатывается, а вот затем появляется окно запроса пароля для подключения к серверу и в нем его можно вводить до бесконечности и ни чего не изменится (после ввода пароля окно появляется снова). Правило для autodiscover создано отдельно.
Заранее Спасибо большое!!!
"Сертификат в OWA открывается с ошибкой сертификата." - этого не должно быть. Нужно настроить доверие к сертификату на клиенте, иначе OА работать не будет нормально. Почему вы не можете настроить доверие?
После установки сертификатов OWA открывается без ошибки сертификата,но проблемы с outlookanywhere так и остались, пароль можно вводить до бесконечности.
Если вы используете TMG/ISA, то попробуйте пересоздать правило публикации, включите мониторинг, чтобы увидеть ошибки.
Воспользуйтесь testexchangeconnectivity.com для проверки.
Камрады выручайте, после установке служб сертификации не подклюючается по Web http://YourCA/certsrv пишет ошибку!
Ошибка HTTP 500.19 - Internal Server Error
Запрашиваемая страница не доступна из-за неверной конфигурации данных для этой страницы.
Модуль IIS Web Core
Уведомление BeginRequest
Обработчик Пока не определено
Код ошибки 0x80070003
Ошибка конфигурации Не удалось прочитать файл конфигурации
Файл конфигурации \\?\C:\Windows\system32\CertSrv\ru-RU\web.config
Запрашиваемый URL-адрес http://localhost:80/CertSrv
Физический путь C:\Windows\system32\CertSrv\ru-RU
Способ входа Пока не определено
Пользователь, выполнивший вход Пока не определено
Файл C:\Windows\system32\CertSrv\ru-RU\web.config существует? В Authentication что выбрано для вирт. каталога?
А Web Enrollment для СА вообще ставился?
1. web.config существует в этой папке C:\Windows\system32\CertSrv\ru-RU. И она же указана физическим путем!
2. для вирт. каталога CertEnroll (если я правильно понимаю что это виртуальный каталог) стоит проверка подлинности Windows - Включен (остальные 2 в положении выкл)
3. из зистемных служб установлены и работают
1. Служба Web публикаций
2. Службы сертификации Aktive Directory
А Службы ролей установлены
1. Центр сертификации
2. Служба регистрации в центре сертификации через интернет
День добрый, Алексей...
Спасибо за ролики на течдэйз и блог - уже не однократно ими пользовался... и все было ОК!
Но вот и у меня случилась проблема - после настроек по Вашему туториалу публикации EX2010+TMG2010 (оба в домене) - все работает... НО - локальные аутлуки при включении получают сообщение о несоответствии имен в сертификате (имя физ. сервера с Exchange не совпадает с опубликованным - прописанным CNAME в локальном DNS, т.е.:
1. Имя сервера - srv.firma.loc
2. CNAME - mail.firma.loc
3. Публичное имя - mail.firma.ru
4. Сертификат содержит SANы для 2 и 3 - и аутлуки ругаются на несоответствие их п.1
Какие пути решения? перевыпускать сертификат?
Добрый день Алексей!
Хочу поделиться как решил свою проблему.
последний ваш ответ:
Если вы используете TMG/ISA, то попробуйте пересоздать правило публикации, включите мониторинг, чтобы увидеть ошибки.
Воспользуйтесь testexchangeconnectivity.com для проверки.)
Решилась проблема с anywhere. Всё стало автоматически подключаться. Дело было в том что при подключении autodiscover подставлял имя участника сертификата *.mydomain.ru, а нужно было, так как сертификат был перевыпущен, owa.mydomain.ru.
В общем я использовал командлет
Set-OutlookProvider -identity EXPR -CertPrincipalName "msstd:"
Тем самым установив нужные мне настройки. После этого всё заработало.
А вот ссылка оставляю её так как видел что вам уже задавали аналогичный вопрос про ввод пароля при настройке outlook anywhere до бескончности
http://technet.microsoft.com/ru-ru/library/dd789899%28v=exchg.80%29.aspx
Добрый день!
Не подскажете, как быть в ситуации, если сертификат для доступа из вне покупается(thawte), руководство не готово платить за SAN, но требует, чтобы при подключении Outlook изнутри не выдавало ошибку сертификата(ошибка несовпадения доменного имени сервера с именем в сертификате). С веб-доступом изнутри проблем нет, адрес тот-же, что и снаружи, а outlook подменяет его на внутреннее имя сервера.
Настройте локальный DNS так, чтобы внешнее имя сервера ссылалось на локальное имя (я так понимаю, что вы это уже сделали).
Выполните команду Set-MailboxDatabase -RPCClientAccessServer
В результате в настройках Outlook`ов должно изменить имя сервера на внешнее.
Но проблема у вас скорее всего останется, т.к. клиенты будут пытаться открыть ещё и адрес autodiscover`a, а его у вас тоже нет в сертификате...
Добрый вечер Алексей. Есть вот такой вопрос:
при публикации ActiveSync на мобильном устройстве невозможно произвести синхронизацию поскольку сервер exchange требует личный сертификат, корневой сертификат был импортирован. На CAS в закладке ActiveSync стоит обычная проверка подлинности и пропускать сертификат клиента.Где еще на сервере отключить запрос на сертефикат?
Это на всех клиентах, или только на одном? Попробуйте сделать reset виртуального каталога activeSync.
На всех клиентах. А не подскажите как сделать этот reset?
http://technet.microsoft.com/en-us/library/ff629372.aspx
Да, спасибо огромное сброс произвел, но всё равно проблема осталась. Такое чувство что проблема с железкой (телефоном). Вот ещё странность при настройке ActiveSync на устройстве на этапе сведения о пользователе выводится сообщение "в вашем сервере используются клиентские сертификаты.Пароль не требуется."с чего он это решил, клиентские сер. не используются. Может с корневым сертификатом что-то не то?
Всё заработало. Удалил профиль с устройства произвёл настройку заново и всё пошло.
Наверное сброс каталога всётаки сделал своё дело.
Алексей, спасибо огромное за советы!
Алексей здравствуйте. Прошу вашей помощи.
Все сделал по вашей инструкции. Сертификат создался, подписался (на сертификате в эксчендже появился голубенький кружок с белой галочкой).
Назначил службы этому сертификату, после чего он начал распространяться по AD. Пользователям при загрузке Outlook 2010\2007 показывается сообщение "Оповещение системы безопасности" с предложением установить сертификат. Куда бы я его не устанавливал (начинал конечно с доверенных корневых центров) это окно так и продолжает выскакивать при каждой перезагрузке outllok. Удалил этот сертификат с сервера exchange 2010, отозвал этот сертификат в центре сертификации, почистил этот сертификат из всех хранилищ на почтовом сервере и на ЦС, так же на тестовом компьютере с Outlook. Перезагружал ЦС, Exchange, компьютер с outlook все равно этот сертификат продолжает пытаться установиться при запуске почтового клиента.
Помогите убрать этот сертификат.
P.S. Get-ExchangeCertificate | fl показывает только один сертификат сейчас (тот который самоподписанный для Exchange)
Вам надо устанавливать доверие не самому сертификату Exch`a на клиенте, а доверие сертификату СА, выдавшего сертификат Exch`y (положить сертификат СА в доверенные корнтевые пользователя (для доменных компьютеров он сам распространяется черех GPO, если вы подняли Enterprise CA)
Спасибо за ответ.
Я сертификат делал на Корпоративном ЦС, который достаточно давно уже существует, сертификат этого ЦС давно уже распространен по всем пользователям AD. На сколько я понял сертификат не устанавливался из-за "Имя сертификата безопасности недопостимо или не соответствует имени узла".
На следующий день перезагрузил Exchange. Сертификат перестал распространяться по пользователям.
добрый день.
Установил exchange, установил центр сертификации. Выпустил сертификаты для самого центра и для exchange. Зашел в оснастку users&computers, зашел в свойства домена, зашел в GPOE, далее computer configuration/windows settings/security settings/public key policies/trusted root certification authorities и туда импортировал сертификат ЦС.
со своей локальной машины сдела gpupdate? дабы не ждать применения и в итоге у меня локальная машина при попытке зайти на https://mail1/certsrv
выдает ошибку сертификата.
Для OWA внутри домена ошибок сертификата не выходит. За пределами домена, при попытке открыть сайт с OWA выдает ошибку сертификата.
Но сегодня ночью, когда я скопировал (предварительно экспортированный сертификат CA) на домашнюю машину и установил его в ручную - все заработало.
Вопрос, почему автоматом не раздается сертификат?
С уважением, Илья.
Добрый вечер , пришло время менять сертификат , мне нужно заново проделывать всю процедуру по выпуску или можно просто на нем выбрать обновить сертификат Exchange ? Спасибо
Можете нажать Обновить, в результате будет сгенерирован req файл (также как и при выпуске нового), после чего файл надо будет скормить СА.
Добрый день! Все делаем по Вашей инструкции, за нее Вам спасибо, но есть одно но, выдается сертификат не на сервер, а на пользователя. То есть когда последовательность действий доходит до "выбрать шаблон сертификата – Веб-сервер", там у нас есть только "Пользователь" и базовое шифрование EFS. Выбираем "Пользователя" в итоге выдается на пользователя sysroot.
Смотрите права на шаблоны сертификатов на СА. Скорее всего у вашего пользователя нет прав выдавать серты по шаблону "Веб-сервер".
Добрый день подскажите делал по вашей инструкции: установил новый сертификат для exchange 2010 sp1 перестал работать вход через owa + если произвести первоначальную настройку почты через outlook при подключении ящика выдает ошибку. произошла неизвестная ошибка. код ошибки 0x80070057.
Алексей, добрый день.
сгенерировал запрос на обновление сертификата, а подсунуть его серверу не получается. Посмотрел формат старого запроса на новый сертификат и сравнил его с новым на обновление - различаются сильно.
Как сделать правильный запрос на обновление сертификата, чтобы сервер сертификатов его понял?
Покажите первые две и последние две строки запроса на сертификат, который не получается скоримть СА
в том то и дело, что если смотреть старый запрос на новый сертификат, там:
в начале стоит -----BEGIN NEW CERTIFICATE REQUEST-----
в конце -----END NEW CERTIFICATE REQUEST-----
и между ними ровная структура из англ. букв и цифр
А в запросе на обновление нет ни BEGIN, ни END и все идет из одной строчки и символу-сплошные "кракозямбы".
запрос формировал через консоль управлениz
Проверьте настройки локализации на сервере, если кракозябры, значит где-то кодировка сбилась... попробуйте конвертировать полученные кракозябры в нормальную кодировку.
Может быть через Shell будет другая картина?
Пишет "Сертификат недопустим для использования с Exchange". "Get-ExchangeCertificate | fl" пишет "Status : Invalid" и "RootCAType: Unknown". Неясно, куда копать. Сертификат корневого центра добавил на Exchnge и локально на контроллере домена.
Если просто сертификат открыть двойным кликом, то там с ним все ОК?
да, показывает, что сам сертификат в порядке.
Странно, боюсь что не подскажу в чем дело (
Отвалился на SAN. Всё вроде прошло нормально, но по-русски добавилось вроде как "Дополнительное имя субъекта" ... но в нём стандартное имя server.local и ещё GUID объекта DS=04. 10 a6 d9 и т.д. ..... никаких server.ru и прочих нет
Добрый день, столкнулся с проблемой. Создал самодписный сертификат, установил. Но работает либо OWA(web интерфейс), либо activesync(моб. устройства).
Если работает одно то второе не работает и ругается на сертификат.
Подскажите если сталкивались с таким!
Спасибо!
Подскажите, а как именно вы переключаетесь между OWA и ActiveSync?
захожу из вне на OWA(ноутбук) и обновляю на телефоне почту. На телефоне моб. инет, на ноутбуке проводной.
Если с ноутбука пишет:
Ошибка подключения SSL
С телефона:
Нет подключения к серверу
Добрый день, проблема следующая:
Сервер SBS 2011 на нем Exchange 2010, закончились сертификаты exchange, создали заново по вашей статье. Параллельно с этим действием добавили в сети второй сервер exchange 2010 на 2008r2 standart(на нем установили только роль Почтовых ящиков) и перенесли на него все почтовые ящики с помощью "Создать локальный запрос на перемещение"
После этого почта работает, на сертификат никто не ругается, но у всех пользователей на компьютерах в домене Outlook постоянно спрашивает логин и пароль. С чем может быть связана эта проблема?
поправка к предыдущему комментарию от 5 марта.
С сертификатами проверили еще раз, похоже все правильно. Проблема в том, что у всех пользователей на компьютерах в домене в outlook 2010 добавилась настройка "подключение к microsoft exchange по протоколу HTTP"(способ проверки подлинности - обычная проверка) Поэтому и просит пароль постоянно при запуске Outlook, так и должно быть. И в связи с этим у меня два вопроса:
1) как эти настройки могли появиться
2) как массово изменить у всех пользователей эту настройку с обычной проверки на NTLM(или вообще отключить "подключение Ms exchange по http" у всех в outlook 2010 на компьютерах в домене, тк компьютеры стационарные)
Я правильно понимаю что autodiscover настраивает outlook только при добавлении новой учетной записи?
Спасибо за Ваш блог, много раз помогал!
У меня вот такая ситуация, на Windows Server 2008 R2 стоит Exchange 2010, подключено 18 пользователей по MAPI, всё работало прекрасно, но в один прекрасный день(не для меня), Outlook начал запрашивать пароль постоянно, и выдавать ошибку что не видит сервер! Тогда было принято решение быстро перейти на IMAP, так как у пользователей много подпапок, а через браузер неудобно! Всё так же работало(хотя плохо), вчера у одного пользователя опять начало спрашивать пароль, и не пускает в почту, через браузер всё работает! Не могу понять в чём причина, уже больше суток не сплю! Может Вы подскажите в какую сторону смотреть?
Забыл добавить, не где этого нету, но MAPI дает создавать папки с любыми символами, а IMAP ругается на / и на " , и не синхронизирует папки, где есть эти символы!
Exchange 2010 SP1
публикация через TMG 2010
OWA и мобильники как часы подключаются
внутри Outlook просто бесподобен
а вот снаружи Outlook-ом - не подключиться...
не может найти типа сервер
сертификат на внутренние имена (autodiscover, mail, exchange, proxy) и на внешние соответственно
DNS-ы полностью отвечают на служебные записи
сертификаты везде установлены
мой голова сломался уже вашпее
А на самом Exchange`e Outlook Anywhere вы включили? (по дефолту выключен)
да, все включил. проверил еще раз
уже на сертификаты грешу
Надо смотреть настройки публикации... скорее всего там косяк. Попробуйте с внешки открыть адрес https:\\mail.firma.ru\rpc\rpcproxy.dll - должна быть пустая белая страничка
установил по инструкции сертификат на exchange 2010 sp1 теперь не заходит на корпоративный сайт фирмы, как исправить проблему ошибка ошибка http 403.4 - forbidden
сделал как Вы сказали - вылетела ошибка;
"Ошибка сервера в приложении '/Rpc'"
из за этого значит?
если да - то как "лечить"?
- "Ошибка сервера в приложении '/Rpc'" - какая версия Exchange стоит? Если есть возможность поставить Service Pack, то это надо сделать. Данная процедура перезапишет файлы в виртуальном каталоге на более новые и возможно это решит проблему.
Анастасия, честно говоря я не вижу связи между сертификатом на Exchange и корпоративным сайтом, если только они у Вас не на одном IIS-е крутятся и по одному имени отвечают.
Сделал все по статье клиенты с телефонов nokia на windows 8 подключаются, с iphone подключаются, аппараты на андроиде пишут следующее сообщение
Не удалось установить защищенное подключение к серверу. javax.net.ssl.SSLProtocolException: SSL handshake aborted: ssl=0x5eeb9d38: Failure in SSL library, usually a protocol error
error: 140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol (external/openssl/ssl/s23_clnt.c:655 0x59ba2890:0x00000000)
проблему решил надо использовать TLS на порту 25 на нем все работает
http://answers.microsoft.com/en-us/outlook_com/forum/osecurity-osafe/outlook-imap-on-android-native-email-app/8bd782b5-731f-4cf5-b15e-440c829df89b?page=2
Добрый день. Застрял на этапе импорта сохраненного запроса. В списке шаблонов отсутствуют шаблоны. Не подскажите как решить проблему? спасибо
Надо в консоли СА - Templates - Manage Templates - выбрать шаблон Web Server - на вкладке security дать себе на него права. Или просто открыть IE от имени администратора, который поднимал СА. Проблема вероятнее всего в том, что у Вас просто нет прав на шаблон.
Да, проблема была с правами, спасибо большое. Теперь у меня новая проблема, чую не последняя :) учитывая то кол-во вещей, которое мне нужно настроить, а опыта нет)))
Режим запроса:newreq - Новый запрос
Назначение:(еще не установлено)
Сообщение о назначении:(нет)
Результат:Неверный формат имени домена. 0x800704bc (WIN32: 1212)
Сведения о COM-ошибке:CCertRequest::Submit: Неверный формат имени домена. 0x800704bc (WIN32: 1212)
Последнее состояние:Неверный формат имени домена. 0x800704bc (WIN32: 1212)
Предполагаемая причина: (нет вариантов)
Подскажите?
Может кто подскажет - есть сертификат mail.mydomname.ru выпущенный внешним довtренным CA
Есть редирект IIS https://mail.mydomname.ru/owa
Но как внутренним клиентам дать самовыпущенный (E2k7.loverabotadomain.local) сертификат Exchange 2007 а с внешнего мира -
mail.mydomname.ru
Коллеги, добрый день. Подскажите пожалуйста в чем может быть проблема, ситуация следующая, был сертификат выпущенный средствами Exchange, подписанный своим CA. Перед окончанием срока, он был продлен. OWA, ActiveSync работает хорошо, а локальные клиенты при открытии Outlook получают "Оповещение системы безопасности" в нем расположен старый не действующий сертификат.При соглашении или отказе, Outlook нормально загружается. Буду рад любому совету.
Ссылка на документ PublishingExchange2010withTMG.pdf дохлая. Если есть возможность поправьте.
Статья супер, именно она и нужна была...
Сделал все по вашей статье. Сейчас подошел срок смены сертификата. В консоли exchange я выбираю пункт "Обновить сертификат" Создается запрос на создание сертификата сроком на 1 год, но после создания сертификата в certsrv, срок изменяется на 1 месяц. Подскажите почему изменяется срок и как это исправить?
Срок выдачи сертификата зависит от настроек шаблона издающего центра, а не Exchange. Смотрите свойства шаблона на СА.
После какого-то сбоя на сервере не удается просмотреть сертификат, назначенный серверу Exchange 2010 SP3. В консоли управления в дереве стоим на "Конфигурация сервера", в центральном поле сверху на сервере, снизу список сертификатов пустой. Вывод powershell
[PS] C:\Windows\system32>Get-exchangecertificate
Запрошенный контейнер ключа не обнаружен.
+ CategoryInfo : NotSpecified: (:) [Get-ExchangeCertificate], InvalidOperationException
+ FullyQualifiedErrorId : 770AD31B,Microsoft.Exchange.Management.SystemConfigurationTasks.GetExchangeCertificate
В хранилище "Личные" локального компьютера есть и текущий действующий сертификат, и новый, сделанный в попытке починить такое поведение. Сам сервер работает, клиенты без проблем подключаются.
Помогите,пожалуйста, с направлением поиска. В сети описания похожего поведения вообще не встретил.
Забыл сказать - все это происходит на сервере SBS 2011, т.е. сервер Exchange одновременно является AD, единственным и неповторимым.
Не сталкивался с таким. Честно говоря и не стоит решать эту проблему, сертификат на веб-службы все равно через IIS назначается, так что там его можно и без Exch консоли поменять.
Спасибо и на этом. ;-) Буду терпеть, пока меня этот SBS окончательно не доведет, и перейду на обычные продукты - 12R2 или, если повезет дотерпеть - на 16R2.
В общем, сам не понимаю, что конкретно помогло, но проблема решена. Кроме всего прочего, я еще заметил, что у меня скоро закончится корневой сертификат (оставалось полгода). Таким образом, я изменил настройку ЦС на б'ольшие сроки выдачи всех сертификатов, обновил корневой сертификат ЦС, удалил все лишние сертификаты в личном хранилище в MMC, создал в EMC новый запрос на сертификат, исполнил этот запрос, сохранил сертификат вместе с закрытым ключом в файл и импортировал через EMC. По крайней мере, в EMC теперь сертификаты видны и в PowerShell тоже.
Здравствуйте! Подскажите пожалуйста, существует ли возможность средствами Exchange настроить работу почтовых сервисов таким образом, что бы внутренние пользователи использовали сертификат mail.domain.local а а внешние работали с wildcard сертификатом *.domain.ru? Знаю что TMG умеет подменять сертификат, но вот пришлось от него отказаться, и нужно другое решение.
В качестве прокси сервера можно использовать IIS ARR с другим сертификатом. Ну или на крайний случай создать два сайта на IIS Exchange`a с разными биндингами https://blogs.technet.microsoft.com/exchange/2015/02/11/configuring-multiple-owaecp-virtual-directories-on-the-exchange-2013-client-access-server-role/
А в идеале привести все имена к общему знаменателю (избавиться от .local)
Спасибо большое за статью, очень интересно и надеюсь будет полезно! Попробуем такой Вариант реализовать, тока забэкапить надо будет Exchange!))) Но вот избавиться от .local думаю в ближаешее время не светит, очень много сервисов, которые будет трудно перевести разом... Ещё раз спасибо за подсказку)
drastvuye Alex.sozdal EX CA kak vi napisali,no tolko dlya owa i autodiscover sozdal odin adress
local.myadomain.com
public.mydomain.com
vopros perviy-vozmojno li sozdat CA ne usnatavlivaya ad ca?esli da podskajite kak,mojet internet resurs kakoyto...
i eshe-nujno li mne PUblic CA toje na dva domaina?ili odin public na public.mydomain.com dostatochno
zaranee blagodaren Ilya
Спасибо за статью.
Подскажите, после замены сертификата на сервере CAS надо ли пересоздавать пограничную подписку с EDGE ?
Да, нужно пересоздавать подписку.
Здраствуйте. Ситуация следующая. Exchange 2010 и TMG настроены в соответствии с Вашими статьями. Давно. Сейчас осуществлена миграция AD на 2016 сервер. Со сменой имени кд. Сам домен работает. Пришла очередь миграции почты на 2016 сервер. После установки на TMG SP3(условие миграции) пытаюсь пересоздать подписку, но New-EdgeSubcr... пишет ошибку "сервер LDAP недоступен". Как указать имя нового кд ?
Алексей добрый день, подскажите пожалуйста.
Excnage 2010, сервера с ролью HUB, к службе SMTP привязаны несколько выпущенных и действительных сертификатов. Как определить какой именно используется службой SMTP (и не только smtp)?
отличто, огромное спасибо!!!
Результат:Неверный формат имени домена. 0x800704bc (WIN32: 1212)
Отправить комментарий