вторник, 20 июля 2010 г.

Публикация Exchange 2010 – “сертификация”

Доступ к сервисам почтового сервера в локальной сети – это одно, а вот доступ из сети Интернет должен быть хорошо защищен, так что без HTTPS тут никуда! Если речь заходит о безопасном подключении через HTTPS, то на ум сразу приходит вопрос обеспечения этого соединения сертификатом безопасности, а соответственно и задача этот сертификат где-то получить.
У Exchange 2010 уже есть свой собственный (самоподписанный) сертификат, который по умолчанию используется для предоставления локального доступа к Outlook 2010, OWA и т.п.. В нашем случае такой сертификат не подойдет и мы озадачимся выдачей сертификата безопасности серверу Exchange 2010 из локального центра сертификации (вопросы приобретения и установки коммерческих сертификатов рассматривать не будем). Для того чтобы выдать сертификат серверу, нам необходимо в локальной сети иметь как минимум одни Центр сертификации (ЦС). Для этого на любом сервере под управлением Windows Server 2008 R2 нужно установить роль Службы сертификации Active Directory и добавить компоненты Центр сертификации и Служба регистрации в центре сертификации через Интернет (для получения сертификатов через веб-браузер).
clip_image002
Рис.1: Установка служб сертификации Active Directory.
Дело в том, что сертификаты по умолчанию могут быть привязаны только к одному FQDN-имени. Для включения в сертификат нескольких имен узлов необходимо в центре сертификации активировать функцию SAN.  

Примечание: Дополнительное имя может потребоваться для публикации службы Autodiscover. О том, как обойтись без дополнительного имени в сертификате, читайте этот цикл статей http://www.alexxhost.ru/2011/05/autodiscover-1.html.
Subject Alternative Name – это специальное поле в сертификате, которое содержит набор имен узлов. Exchange 2010, при генерации запроса на сертификат, сам добавляет в него несколько имен узлов, но без включенной функции SAN, центр сертификации попросту проигнорирует все лишние имена и оставит только одно.
Для включения функции SAN, на сервере с установленной ролью центра сертификации, необходимо выполнить команду:
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
и перезапустить сам ЦС:
net stop certsvc
net start certsvc
В результате во всех новых сертификатах этого ЦС появится ещё одно поле (конечно, если в запросе оно пребуется):
image
Примечание: Подробнее про развертывание инфраструктуры центров сертификации можно почитать здесь http://www.alexxhost.ru/2011/05/pki.html

Закончив настройки ЦС можно перемещаться на сервер Exchange, здесь в разделе Конфигурация серверов давайте выберем наш сервер клиентского доступа (CAS), и создадим запрос на получения нового сертификата при помощи действия New Exchange Certificate… (это можно сделать и через EMS при помощи командлета New-ExchangeCertifate). Введем понятное имя сертификата и на странице и на странице Exchange Configuration внимательно заполним FQDN имена узлов для необходимых нам сервисов.
clip_image003
Рис.2: Конфигурирование доменных имен для сертификата.
В результате мастер предложит вам список доменных имен, которые будут включены в сертификат. Если бы мы не включили функцию SAN в нашем центре сертификации, то в этом случае сертификат был бы привязан только к доменному имени указанному как Set as common name.
clip_image004
Рис.3: Конфигурирование списка доменных имен.
Примечание: Обратите внимание, что здесь используются разные FQDN имена для внутренних и внешних клиентов. Так делать совсем не обязательно, о том, как настроить сервер на работу с одним FQDN именем, можно почитать здесь http://www.alexxhost.ru/2011/05/dns-ru-local.html и здесь - http://www.alexxhost.ru/2011/05/owa-exchange-2010-2.html.
На следующем шаге мастера необходимо заполнить информацию о вашей организации и сохранить запрос в файл с расширением *.req.
После формирования запроса его нужно будет подтвердить в ЦС. Для этого откроем веб-страничку нашего ЦС по адресу http://YourCA/certsrv и нажмем кнопку Запрос сертификатаРасширенный запросВыдать запрос используя Base-64 шифрованный файл….
clip_image006
Рис.4: Расширенный запрос сертификата.
Затем нужно открыть фал с сохраненным запросом (*.req) например Блокнотом, скопировать его содержание в поле Сохраненный запрос, выбрать шаблон сертификата – Веб-сервер и нажать кнопку Выдать.
clip_image008
Рис.5: Генерация сертификата для Exchange.
Теперь возвращаемся в консоль управления Exchange, выбираем новый сертификат и подтверждаем его действием Complete Pending Request
clip_image009
Рис.6: Подтверждение сертификата.
Если все сделано правильно, то в значок сертификата будет помечен белой галочкой на голубом фоне, и мы сможем приступить к следующему шагу.
Примечание: Если сертификат принят не был, то стоит проверить есть ли у сервера доверие к выдавшему его центру сертификации, для этого нужно открыть MMC, добавить оснастку Сертификаты – Локальный компьютер и посмотреть в раздел Trusted Root Certification Authorities, там должен быть сертификат корневого ЦС, если его там нет, то его нужно запросить со странички http://YourCA/certsrv - запрос сертификата ЦС и импортировать.
После успешного подтверждения сертификата, необходимо ему назначить нужные сервисы, для этого нажмем на нем правой кнопкой мыши – Assign Services to Certificate… и выберем необходимые сервисы, включая IIS.
clip_image010
Рис.7: Присвоение сертификату необходимых служб.
В результате в службе IIS у сайта по умолчанию (Default Web Site) должен измениться SLL сертификат для https, проверить это можно выбрав действие Привязки (Bindings).
clip_image012
Рис.8: SSL сертификат для https.
Теперь нужно установить сертификат вашего ЦС на всех клиентов в Trusted Root Certification Authorities и можно пользоваться безопасным HTTPS соединением (доменным клиентам сертификат корневого ЦС раздается автоматически после установки самого ЦС).

Импорт/экспорт сертификатов

Для того, чтобы клиенты и серверы (например, ISA/TMG) могли принимать сертификат Exchange`a и пользоваться им, нужно выполнить 2 условия:
  1. Обеспечить клиентов доверием к этому сертификату;
  2. Обеспечить серверы самим сертификатом.
Что касается клиентов, то в случае рабочих станций, находящихся в домене, сервер ЦС сам позаботится о том, чтобы доменные пользователи ему доверяли, и установит свой сертификат к ним в Trusted Root Certification Authorities. Если же у вас есть не доменные пользователи или вам необходимо обеспечить клиентов другим сертификатом, то для этого нужно выполнить операцию экспорта/импорта.
Если вам нужен сертификат самого ЦС, то проще всего его запросить через веб-браузер по адресу http://YourCA/certsrv - Загрузка сертификатов ЦС, цепочки сертификатов или CRL.
clip_image002[1]
Рис.9: Запрос сертификата ЦС.
Скачав сертификат на локальный компьютер его можно импортировать на клиентов при помощи групповой политики (для доменных пользователей) - Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certificate Authorities
clip_image003[1]
Рис.10: Назначение корневых сертификатов при помощи GPO.
Или вручную при помощи оснастки MMC – Certificates. Запускаем MMC от имени администратора – File – Add/Remove Snap-is – Certificates – Computer AccountLocal Computer – выбираем нужный раздел и нажимаем Импорт.
clip_image005
Рис.11: Импорт сертификата через MMC.
Также сертификат можно установить нажав на файле правой кнопкой мыши – Установить сертификат (Install Certificate) и поместить его в необходимый контейнер:
clip_image006[1]
Рис.12: Установка сертификата в выбранный контейнер.
Что касается экспорта, то Личные (Personal) сертификаты выгружаются с приватным ключом
clip_image008[1]
Рис.13: Выгрузка сертификата с приватным ключом.
И при выгрузке надо указать, что экспорт необходимо осуществить со всеми дополнительными параметрами:
clip_image010[1]
Рис.14: Выгрузка с дополнительными параметрами.
Далее необходимо указать пароль на файл и сохранить файл с расширением *.pfx на локальный компьютер.
Корневые сертификаты выгружаются проще, здесь нужно указать формат DER encoded binary X.509 (.CER) и сохранить сертификат в файл с расширением *.cer.
clip_image011
Рис.15: Выгрузка корневых сертификатов в файл *.cer
Затем скопировать полученные файлы на нужный сервер/компьютер и импортировать их.
Что касается клиентских ПК, то им необходим только сертификат корневого ЦС, для того, чтобы доверять всем другим сертификатам, выданным этим ЦС. Для серверов (TMG/ISA) плюсом к корневому сертификату нужно импортировать сертификат Exchange`a, для того, чтобы он мог использоваться на прослушивателе (Listener`e).

Заключение

На этом тему выдачи сертификата мы закончим. В следующей статье поговорим про публикацию самих сервисов Exchange 2010 в сеть Интернет.
Данная статья является частью цикла “Публикация сервисов Exchange 2010 через TMG”, скачать все целиком вы можете в виде PDF файла – здесь, или посмотреть веб-каст на эту тему на портале TechDays по адресу - http://www.techdays.ru/videos/2814.html

150 комментариев:

Анонимный комментирует...

Спасибо. Статья познавательна

Алексей Богомолов (Alexx) комментирует...

Рад, что понравилось! :)

Анонимный комментирует...

Большое спасибо за статью! Очень пригодилась :)

Unknown комментирует...

Спасибо

Unknown комментирует...

спасибо

Unknown комментирует...

один вопрос:
планируем использовать OWA, CA внутренний, нужно ли для внешних пользователей обеспечить доступ к CRL файлам нашего CA?

Алексей Богомолов (Alexx) комментирует...

Не доменным пользователям нужно просто импортировать сертификат вашего СА в корневые сертификаты компьютера, тогда они будут доверять вашему локальному СА и соответственно Exch`y. Если такой возможности нет, то скорее всего вам придется купить сертификат.

Unknown комментирует...

речь не об этом.
пример: разворачивали терминальную ферму с RD Gateway. RDC 7.0 при подключении к шлюзу проверяет сертификат на отзыв. Потому по аналогии спрашиваю, нет ли в других свежих продуктах Microsoft подобных проверок?

Алексей Богомолов (Alexx) комментирует...

К сожалению у меня нет такой информации, если что-то выясните - буду признателен, если оставите здесь комментарий.

ilia комментирует...

У меня процесс застрял на моменте подтверждения сертификата (Рис.6). Подтверждение как бы проходит, но значок сертификата не меняется.
Что может быть не так?

Алексей Богомолов (Alexx) комментирует...

В логах ошибки есть? Команда Get-ExchangeCertificate | fl говорит что-нить подозрительное.

ilia комментирует...

есть событие 4999 в журнале приложений:
-----------------------------
Watson report about to be sent for process id: 5704, with parameters: E12, c-RTL-AMD64, 14.01.0218.015, MSExchangeMailSubmission, M.Exchange.StoreProvider, M.M.MapiEventManager.SaveWatermarks, M.Mapi.MapiExceptionArgument, 69c9, 14.01.0218.011.
ErrorReportingEnabled: False
------------------------------
но не думаю, что оно имеет отношение к делу

может быть такое, что exchange не видит ЦС?



[PS] C:\Windows\system32>Get-ExchangeCertificate | fl


AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
ule}
CertificateDomains : {smth.ru, mailserver.smth.ru, autodiscover.smth.ru, autodiscover.fantasier.ru}
HasPrivateKey : True
IsSelfSigned : False
Issuer : CN=smth.ru, OU=smth, O=smth, L=smth, S=smth, C=RU
NotAfter : 17.01.2012 18:15:12
NotBefore : 17.01.2011 17:55:12
PublicKeySize : 2048
RootCAType : Unknown
SerialNumber : 0F4163A19BF9669B41B4017DE7199A3A
Services : None
Status : PendingRequest
Subject : CN=smth.ru, OU=smth, O=smth, L=smth, S=smth, C=RU
Thumbprint : 2482EC0417BF4F1B5D8608235B987D87E1C7AA30

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
ule}
CertificateDomains : {smth.ru, mailserver.smth.ru, async.smth.ru, autodiscover.smth.ru, autodiscove
r.fantasier.ru, fantasier.ru}
HasPrivateKey : True
IsSelfSigned : False
Issuer : C=RU, S=some, L=moscow, O=smth, OU=some, CN=smth.ru
NotAfter : 13.12.2011 19:48:52
NotBefore : 13.12.2010 19:28:52
PublicKeySize : 2048
RootCAType : Unknown
SerialNumber : 37352D91F6A0BEA24FCDB2CD5594B39E
Services : None
Status : PendingRequest
Subject : C=RU, S=some, L=moscow, O=smth, OU=some, CN=smth.ru
Thumbprint : 2C882F78C1D4ED3E9F6CD764F45FA09A49714AE6

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
ule, System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAcc
essRule}
CertificateDomains : {mailserver, mailserver.smth.ru}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=mailserver
NotAfter : 05.05.2015 11:10:21
NotBefore : 05.05.2010 11:10:21
PublicKeySize : 2048
RootCAType : None
SerialNumber : 36878ED46BF7F7BD4B25A64EDE0BC516
Services : IMAP, POP, IIS, SMTP
Status : Valid
Subject : CN=mailserver
Thumbprint : F636852EE02D660F94D6E7B5AFB4061155E93AB9

Алексей Богомолов (Alexx) комментирует...

>Подтверждение как бы проходит...
У вас подтверждение НЕ проходит, смотрите вот эту строчку:
Status : PendingRequest
Именно по этому и не меняется значок.
После рис.6 есть примечание, вы его читали?

>может быть такое, что exchange не видит ЦС?
Врятли, скорее всего он просто ему не "доверяет".

PS Вы сервер перезагружать пробовали? Иногда помогает.

ilia комментирует...

примечание я читал.
Сертификат локального ЦС есть в Trusted Root Certification Authorities на эксченже.

тут следует отметить, что
1. если после "Рис.5: Генерация сертификата для Exchange" зайти в ЦС, то новоиспеченный сертификат можно найти в запросах в ожидании...
Я его соотв-но выдаю и отмечаю как выданный.

2.при нажатии "complete pending request" эксченж выводит визард:
-------------------------
Complete Pending Request
Introduction
This wizard will help you to import a certificate issued from the certification authority to your Exchange server. Before the import occurs, the certificate will be mapped to the certificate request that already exists on the server.
Select a certificate to map to this certificate request:
--------------------------
и предлагает выбрать файл сертификата *.cer

Если дать ему соответствующий cer,скопированный из ЦС, то:
либо по-прежнему будет Status : PendingRequest
либо:
Exchange Management Shell command completed: Import-ExchangeCertificate -Server 'MAILSERIVER' -FileData '< Binary Data>'
The certificate status could not be determined because the revocation check failed.
либо (если добавить этот cer в Trusted Root Certification Authorities эксченжа) он просто исчезает из Exchange Certificates

Алексей Богомолов (Alexx) комментирует...

>Trusted Root Certification Authorities
Здесь нужно уточнить, что эта оснастка относится к локальному компьтеру, а не к пользователю. У вас так?

>Я его соотв-но выдаю и отмечаю как выданный.
немного не понял, как вы его выдаете и зачем отмечаете? После запроса вам нужно просто скачать файл со странички после той, которая на рис.5, далее именно этот скачанный файл и надо подсунуть Exch`y.

>Если дать ему соответствующий cer, скопированный из ЦС
С самого ЦС ни чего копировать не надо, все делается через браузер!

ilia комментирует...

да, оснастка относится к local computer

>Я его соотв-но выдаю и отмечаю как выданный
>Если дать ему соответствующий cer, скопированный из ЦС

это, наверное, потому, что ЦС (http://cert/certsrv/certrqxt.asp) у меня отличается от рис.5 отсутствием поля "Шаблон сертификата: веб сервер" (его просто нет - а так все тоже)

и после выдачи (кн. выдать на Рис.5) он меня редиректит на http://cert/certsrv/certfnsh.asp, где написано:
-------------------------
Ожидаемый сертификат

Ваш запрос на сертификат был получен. Однако следует дождаться, когда администратор выдаст запрошенный сертификат.

Код запроса: 16.

Вновь вернитесь на этот веб-сайт через один-два дня для получения вашего сертификата.

Примечание: нужно вернуться сюда с помощью этого же браузера в течение 10 дней для получения вашего сертификата
-------------------------
ЗЫ: у меня роль службы сертификации AD на W2008r2

Алексей Богомолов (Alexx) комментирует...

>отсутствием поля "Шаблон сертификата: веб сервер"
Вот с этого и надо было начинать! :)
Без шаблона Веб-сервер у вас ни чего не получиться. Вам нужно идти на ваш ЦС и добавлять шаблон!!!

>у меня роль службы сертификации AD на W2008r2
у меня тоже!

ilia комментирует...

спасибо. я кажись понял.
все дело в том, что сервер сертификатов должен работать на Enterprise версии.
a у меня роль службы сертификации AD на W2008r2 standart. и что-то не вижу путей обойти эти грабли кроме как поставить энтерпрайс (

Пётр комментирует...

Делал всё по инстукции )) внутри домена всё работает.
Но при подключении по внешнему имени происходит следующее: отображается OWA, ввожу логин/пароль, нажимаю "вход в систему" и вижу :
Не удается отобразить страницу ... Код ошибки: 500 Внутренняя ошибка сервера. Цепочка сертификатов выпущена центром сертификации, не имеющим доверия. (-2146893019)

Пётр комментирует...

на Exchange в IIS поменял сертификат. Теперь из вне всё хорошо, но изнутри говорит, что сертификат выдан для веб-узла с другим именем.

Алексей Богомолов (Alexx) комментирует...

Вы в поле SAN все нужные имена добавили?

Пётр комментирует...

это исправил. спасибо. Другой вопрос: при проверке правила публикации Outlook AnyWhere выявил отсутствие узла mail.firma.ru/rpc на сервере exchange. Как быть?

Алексей Богомолов (Alexx) комментирует...

Это маловероятно, проверьте физические есть ли виртуальный каталог RPC на IIS`e, где установлен Exchange. Скорее всего просто проблема с типом проверки подлинности.

Пётр комментирует...

"Не забывайте, что в случае публикации OWA на сервере Exchange нужно отказаться от использования FBA, т.к. при помощи форм авторизация будет происходить на сервере TMG" - как раз мой случай ) А можно как-нибудь сохранить для OWA сохранить авторизацию при помощи форм?

Алексей Богомолов (Alexx) комментирует...

а зачем для OWA сохранять авторизацию при помощи формы? ИМХО, доменные пользователи могут автоматом входить, вообще не забивая логин/пароль, а все остальные (даже локальные) пусть на внешний адрес ходят, где авторизуются через форму.

Анонимный комментирует...

Приветствую, Алексей!
Ты мне как-то помог с перемещением почтовой базы на TechNet...
Тут решил обзавестись сертификатом, но застрял в самом начале.
Все делаю строго по пунктам, но никак не появляется Subject Alternative Name в списке сертификата.
Сервер 2008R2 Standart, ADC, Exchange 2010.
Делаю все именно так:
1.Отмечаю галкой роль «Службы сертификации AD», далее;
2.Отмечаю «Центр сертификации», «Служба регистрации в центре сертификации через Интернет», далее;
3.Задание типа установки - «Предприятие», далее;
4.Задание типа ЦС – «Корневой ЦС», далее;
5.Установка закрытого ключа «Создать новый закрытый ключ», далее;
6.Шифрование «RSA (SHA1)», Галочку «Разрешить взаимодействие с администратором…. – не ставлю, далее;
7.Имя – оставляю по умолчанию, далее;
8.Срок – 5 лет, далее;
9.Расположение по умолчанию, далее;
10.Устанавливаем;
11.В PowerShell (x86) вставляю «certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2», пишет, что выполнилось успешно;
12.Перезапускаю службу «certsvc»;
13.Захожу в диспетчер сервера, службы сертификации AD, нахожу сертификат, и нет там SAN (Дополнительное имя субъекта).
Очередной раз нуждаюсь в твоей помощи:)
Что я делаю не так?

Большое спасибо за ранее.

Анонимный комментирует...

Запись SAN появилась только на следущее утро... Решил снести центр сертификации и поставить заного. Пока после команды certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2 ничего не появилось. Ждем:)

Алексей Богомолов (Alexx) комментирует...

После ывполнения команды certutil.... поле SAN появится в только:
1. В новых сертификатах
2. В сертификатах, запрос которых содержал несколько имен хостов.
Т.е. в уже выданном сертификате это поле ни как не появится, и будет присутствовать в новом сертификате если в мастере запроса сертификата на сервере Exchange вы указали несколько разных имен вашео сервера.

Анонимный комментирует...

Так как его получить?:)
Я удалил центр сертификации,
удалил все файлы в C:\Windows\system32\CertLog,
перезагрузил сервер и сделал все пункты из моего прошлого коммента (1-13)... Т.е. ты говоришь о том, что до выполнения "Публикация Exchange 2010 – “сертификация”" нужно еще что-то было сделать?

Спасибо за ранее.

Алексей Богомолов (Alexx) комментирует...

>Так как его получить?:)
Кого получить? Сертификат для сервера Exchange? Или ещё что-то? Если первое, то собственно об этом вся статья и написана ;) Надо читать сразу после слов "Закончив настройки ЦС можно перемещаться на сервер Exchange..."

Возможно вас ввела в заблуждение фраза: "В результате в сертификатах этого ЦС появится ещё одно поле"
Так вот, иначе говоря, я имел ввиду следующее "В сертификатах, ВЫДАВАЕМЫХ этим ЦС появится ещё одно поле"

Анонимный комментирует...

Прошу прощения, мыслю строго последовательно: Вот и застрял...
Теперь разобрался и иду дальше))
С праздником Великой Победы!!!!

Dima комментирует...

Доброе время суток и огромное спасибо за Ваши публикации.
У меня тоже вопрос по SAN. В случае двухуровневой схемы сертификации с офлайновым корневым центром (изолированным) мы все равно должны должны ыполнить команду на нем и потом перевыпустить его сертификат и сертификаты подчиненных центров?
И второй вопросик. При обращении к certsrv у меня запрашивается логин и пароль. Я так понимаю, он не хочет пускать от имени компьютера. Это надо где-то в IIS`e смотреть?

Алексей Богомолов (Alexx) комментирует...

to Dima:
1. Нет, функция SAN активируется на том СА, на котором планируется выпускать сертификаты с SAN. Корневой СА тут не причем, перевыпускать сертификат самого СА - тоже не нужно.
2. Он и не должен пускать от имени компьютера. На СА вы должны зайти под пользователем, которому разрешено получать сертификаты по шаблону Web Server (см. вкладку Security в свойствах шаблона). Domain Admins`ам - разрешено.

Анонимный комментирует...

Утро доброе. Случайно при настройке удалил сертификат созданный Exchange 2010 по умолчанию, теперь клиент Outlook просит пароль при входе. Подскажите как восстановить работоспособность?

Алексей Богомолов (Alexx) комментирует...

А в локальном хранилище сертификатов сертификат остался? (Чтобы посмотреть откройте ММС - Добавить/удалить оснастку - Сертификаты - Локальный компьютер - Личные)
Если остался, то воспользуйтесь командлетом Enable-ExchangeCertificate.

Анонимный комментирует...

Проверил, нет :(

Алексей Богомолов (Alexx) комментирует...

Тогда в любом случае придется генерить новый сертификат.

Анонимный комментирует...

Отличная статья! Большое спасибо автору.

Анонимный комментирует...

Добрый день! Алексей, вопрос, который меня интересует уже поднимался здесь. Надеюсь ты не будешь против его прокомментировать.

Вопрос в следующем. Контролер домена поднят на Windows 2008 R2 Standart, на нем же установлена роль Центра Сертификации. В этой версии ОС нет шаблонов сертификатов и нет возможности их добавить. Поиски в инете дали только один результат - нужно ставить Windows 2008 Enterprise. Сделать это не представляется никакой возможности - инфраструктура построена, а переустанавка системы и настройка ролей займет продолжительное время.
Можешь что либо посоветовать либо дать какой-нибудь вектор направления в решении этой задачи?

С уважением, Save-L.

Алексей Богомолов (Alexx) комментирует...

Как так нет шаблонов? Так не бывает. Скриншот оснастки с шаблонами покажите?
В R2 Enterprise и Standard почти все различия в СА были убраны.

Анонимный комментирует...

Приветвствую, Алексей!
Проблема в том что у меня нет раздела Exchange Configuration в окне создания New Exchange Sertificate!
Подскажите пожалуйста в чем проблема?

Алексей Богомолов (Alexx) комментирует...

Не мучайтесь, сделайте просто запрос через EMS - http://technet.microsoft.com/ru-ru/library/dd351057.aspx

Анонимный комментирует...

Алексей, так и использую ESM. ТОлько у меня нет в запросе Exchange Configuration.

Алексей Богомолов (Alexx) комментирует...

EMS - Exchange Management SHELL, там в принципе нет разделов и Exchange Configuration в том числе, т.к. это командная консоль PowerShell.

Анонимный комментирует...

Проблема в следующем. Все сделал по инструкции как написано. Почта работает. Вопрос в следующем: внутри домена пользователи заходят в owa, но вот те кто не в домене получают форму owa с приглашением на вход. После ввода логина и пароля снова вылазит форма owa. Может ли сей феномен быть из за того что сертификат CA не установлен в доверенных центрах сертификации на клиентах которые не в домене?
За пост спасибо. Особенно помог момент експорта серитификатов на TMG.

Алексей Богомолов (Alexx) комментирует...

Нет, это не из-за сертификата.
Вы в каком виде вводите логин? Проверьте требуемый формат в разделе Настройки сервера - клиентский доступ - OWA - Свойства - вкладка Проверка подлинности.

Анонимный комментирует...

Проверка стоит обычная и встроенная.

Алексей Богомолов (Alexx) комментирует...

Так у вас через TMG сделана публикация OWA? Если да, то проблема в правиле публикации, читайте следующую статью http://www.alexxhost.ru/2010/07/exchange-2010-owa-activesync.html

Анонимный комментирует...

дело в том что TMG находится в домене. И на прослушивателе стоит проверка пользователя на основе форм с помощью AD. может в этом причина.

Анонимный комментирует...

Все сделал как в статье но с наружи owa не видно
на вкладки веб прослушивателя надпись что данный прослушиватель не настроен на ssl

Анонимный комментирует...

Добрый день. Алексей, вопрос вот какой. Ошибка на странице "Выдача запроса на сертификат или на обновление сертификата" - не дает выбрать шаблон. "Не найдены шаблоны сертификатов. вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к active directory". Проверял, права у пользователя есть, делаю все под пользователем с правами Администраторы Домена.

Алексей Богомолов (Alexx) комментирует...

Вы через IE запрос делаете? Попробуйте отключить у него встроенную безопасность + добавить узел СА в доверенные.

Анонимный комментирует...

Столкнулся с такой проблемой. При попытке в owa зайти в настройках в "Пересылка письма" выходит ошибка Сбой метода сервера "GetList". Также еще в некоторых меню. Поиск дал понять только, что проблема в настройках https, но где именно - не понятно...

Art комментирует...

Доброе время суток!
Столкнулся с такой проблемой:
Установил СЦ на сервер с ад. Выполнил "certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2" (почтовик стоит на сервере в локальном домене, все роли на одной машине. С Маршрутизатора просто прокинуты пока порты. Соответственно требуется сертификат как для local так и для ru)
Загрузил сертификат для сц (Загрузка сертификата ЦС (не запрос))(его не было в доверенных на почтовике) Импортировал, ругнулось что проверить не может но работать всё будет. Сделал запрос с Ex на сертификат, импортировал сам сертификат, но не проходит, пишет что сертификат недопустим. В доверенных на ад, там же где и сц естественно сертификат есть (один простой, второй с ключом)
Может есть ещё какие то нюансы: метод шифрования, данные о организации должны с чем то совпадать? куда копать? Или как ещё можно найти мою ошибку?

Алексей Богомолов (Alexx) комментирует...

Какой у вас алгоритм подписи, хэширования и длина ключа?

Art комментирует...

Сорри, извиняюсь, как и следовало ожидать, просто невнимательность. Когда в mmc добавлял оснастку сертификаты, то всё время добавлял в консоль пользователя а не локальной машины.
Какое правильно использовать шифрование, длину ключа, подпись?
Разбираюсь по вашим блогам с exchange. Нужно ли добавлять серификаты для служб smtp, pop3, imap? Если планируется использовать в локалке и снаруже в качестве клиентов оutlook и клиенты под ipad с совместной работой с календарями и задачами, стоит делать на pop или на imap? И вообще, что дальше читать из ваших блогов? (начал с видеоподкастов о установке, вот сертификаты поставил)?

Viktor Ganeles комментирует...

IPAD отлично работает без IMAP/SMTP/POP - подключаясь через OMA
Сам долго с этим разбирался, готов помочь, если есть проблемы
tomilin@gmail.com

Viktor Ganeles комментирует...

по поводу "закольцованной" формы OWA FBA: как вариант можно отключить требование SSL на узлах эксченджа в IIS, и поставить галку HTTP на закладке "bridge"

Или, Как другой вариант надо разобраться с SSL-каналом между ISA и EXCHANGE (IIS)
вот мануал
http://www.osp.ru/win2000/2005/02/177517
http://www.osp.ru/win2000/2005/05/177766

Андрей комментирует...

Все сделано как написано. OWA и Microsoft Outlook удаленно работают. Почтовый клиент на Android через ActivSync подключается (принимает настройки пользователя), но не отправляет и не принимает сообщений. Непонятно, в чем может быть ошибка?

Алексей Богомолов (Alexx) комментирует...

Посмотрите, что скажет про ActiveSync тест на сайте http://testexchangeconnectivity.com/

Андрей комментирует...

Спасибо за помощь! После тестирования обнаружена ошибка с кодом 500. Согласно рекомендациям в свойствах учетной записи AD в разделе "безопасность/дополнительно/" отметить наследовать разрешения - отметил и все заработало, хотя по этим же рекомендациям для пользователей входящих в административные группы этого не стоило делать.

Анонимный комментирует...

Добрый день. Exchange 2010. Всё сделал, как написано здесь. Работает, однако, для внешних не доменных клиентов не действует Outlook anywhere,т.к. по какой-то причине сервер выдаёт старый неправильно сконфигурированный сертификат. Давно создан новый, старый удален отовсюду. Такое ощущение, что где-то Exchange скэшировал старый сертификат...
При проверке http://testexchangeconnectivity.com/ также видно обращение к старому сертификату.

Алексей Богомолов (Alexx) комментирует...

Каким образом опубликован Outlook Anywhere? На web-listener`e на TMG/ISA тоже сертификат поменяли?

Анонимный комментирует...

Алексей, в нашей сети мы вообще не используем TMG или аналогичное ПО. Трафик до почтовика Cisco пробрасывает на внутренний адрес Exchange.

Алексей Богомолов (Alexx) комментирует...

Я правильно понимаю, что если вы открваете ММС - Сертификаты - Локальный компьютер - Персональные, то там вашего старого сертификата вы не наблюдаете?

Анонимный комментирует...

Да, старого сертификата нет ни в оснастке "Сертификаты\УЗ Компьютер", ни в IIS, ни в Exchange.

Алексей Богомолов (Alexx) комментирует...

Очень странно. В этом случае я не могу вам так помочь, надо самому смотреть что и как у вас настроено.

Анонимный комментирует...

Алексей, вы знаете, уже настроенные Аутлуки работают по HTTPS, после принятия даже не совсем актуального сертификата. Это переживём. Но вот новые Аутлуки не сетапятся (опять же, не доменные и извне). Autodiscover находит сервер, просит авторизоваться, но пароль не принимает и бесконечно выскакивает эта табличка...как быть?

Алексей Богомолов (Alexx) комментирует...

Пишите на электронку - будем разбираться.

Анонимный комментирует...

Здравствуйте, помогите пожалуйста, делаем все по инструкции, создаем и сохраняем запрос, после подписываем его в ЦС после сохраняем файл сертификата, нажимаем "Complete Pending Request" выходит окно, даем ему скаченный сертификат с ЦС и тыкаем готово, пишет что все без ошибок, однако сертификат просто исчезает и все, помогите плиззз.

Алексей Богомолов (Alexx) комментирует...

Попробуйте открыть ММС - Сервификаты - Локальный компьютер - Personal - там есть сертификат?
Если нет, то нужно попробовать сгенерировать самостоятельно на СА сертификат с нужными именами и подсунуть в Exchange при помощи командлета enable-ExchangeCertificate

Анонимный комментирует...

Добрый день, Алексей!

Посмотрел все ваши инструкции по установке и настройке exchange в связке с tmg.
Всё настроил как у вас. Owa и activesync работают, а вот с outlook anywhere проблемы.
Дело в том что при подключении с удалённого компьютера через outook к exchange первые два этапа ("установка сетевого подключения" и "поиск параметров сервера")
проходят успешно, а вот последний (вход на сервер) выдает ошибку (требуется постоянное подключение к серверу и т. д.).

Если вам не сложно, можете хоть как нибудь помочь, натолкнуть на мысль, а то уже вторую неделю голову ломаю а так проблему и не решил.

ещё дополнительно напишу о том что если после ошибки нажат ОК, то почтовый сервер написан правильно, а вот перед почтовым адресом стоит такая надпись (=smtp:).

Заранее Спасибо большое!!!

Алексей Богомолов (Alexx) комментирует...

Сертификат сервера Exchange проходитпроверку на клиенте? (owa в IE открывается без ошибки сертификата?)

Анонимный комментирует...

Добрый день, Алексей!

Сертификат в OWA открывается с ошибкой сертификата.

Хочу ещё написать о том куда продвинулись мои попытки настроить OutlookAnywhere. Вообщем в менеджере IIS в EWS я установи простую аутентификацию и ещё я скачал помимо ssl сертификата ещё корневой сертификат и тоже установил его на компьютер в результате при ручной настройке OutlookAnywhere стал цепятся и почта подгрузилась, но вот при автоматической настройке опять превые два пунка ("установка сетевого подключения" и "поиск параметров сервера")проходят нормально, появляется окно запроса пароля для подключения к autodiscover, ввожу пароль он нормально проглатывается, а вот затем появляется окно запроса пароля для подключения к серверу и в нем его можно вводить до бесконечности и ни чего не изменится (после ввода пароля окно появляется снова). Правило для autodiscover создано отдельно.

Заранее Спасибо большое!!!

Алексей Богомолов (Alexx) комментирует...

"Сертификат в OWA открывается с ошибкой сертификата." - этого не должно быть. Нужно настроить доверие к сертификату на клиенте, иначе OА работать не будет нормально. Почему вы не можете настроить доверие?

Анонимный комментирует...

После установки сертификатов OWA открывается без ошибки сертификата,но проблемы с outlookanywhere так и остались, пароль можно вводить до бесконечности.

Алексей Богомолов (Alexx) комментирует...

Если вы используете TMG/ISA, то попробуйте пересоздать правило публикации, включите мониторинг, чтобы увидеть ошибки.
Воспользуйтесь testexchangeconnectivity.com для проверки.

Анонимный комментирует...

Камрады выручайте, после установке служб сертификации не подклюючается по Web http://YourCA/certsrv пишет ошибку!

Ошибка HTTP 500.19 - Internal Server Error
Запрашиваемая страница не доступна из-за неверной конфигурации данных для этой страницы.
Модуль IIS Web Core
Уведомление BeginRequest
Обработчик Пока не определено
Код ошибки 0x80070003
Ошибка конфигурации Не удалось прочитать файл конфигурации
Файл конфигурации \\?\C:\Windows\system32\CertSrv\ru-RU\web.config
Запрашиваемый URL-адрес http://localhost:80/CertSrv
Физический путь C:\Windows\system32\CertSrv\ru-RU
Способ входа Пока не определено
Пользователь, выполнивший вход Пока не определено

Алексей Богомолов (Alexx) комментирует...

Файл C:\Windows\system32\CertSrv\ru-RU\web.config существует? В Authentication что выбрано для вирт. каталога?
А Web Enrollment для СА вообще ставился?

Анонимный комментирует...

1. web.config существует в этой папке C:\Windows\system32\CertSrv\ru-RU. И она же указана физическим путем!
2. для вирт. каталога CertEnroll (если я правильно понимаю что это виртуальный каталог) стоит проверка подлинности Windows - Включен (остальные 2 в положении выкл)
3. из зистемных служб установлены и работают
1. Служба Web публикаций
2. Службы сертификации Aktive Directory

А Службы ролей установлены
1. Центр сертификации
2. Служба регистрации в центре сертификации через интернет

Анонимный комментирует...

День добрый, Алексей...
Спасибо за ролики на течдэйз и блог - уже не однократно ими пользовался... и все было ОК!
Но вот и у меня случилась проблема - после настроек по Вашему туториалу публикации EX2010+TMG2010 (оба в домене) - все работает... НО - локальные аутлуки при включении получают сообщение о несоответствии имен в сертификате (имя физ. сервера с Exchange не совпадает с опубликованным - прописанным CNAME в локальном DNS, т.е.:
1. Имя сервера - srv.firma.loc
2. CNAME - mail.firma.loc
3. Публичное имя - mail.firma.ru
4. Сертификат содержит SANы для 2 и 3 - и аутлуки ругаются на несоответствие их п.1

Какие пути решения? перевыпускать сертификат?

Анонимный комментирует...

Добрый день Алексей!

Хочу поделиться как решил свою проблему.

последний ваш ответ:
Если вы используете TMG/ISA, то попробуйте пересоздать правило публикации, включите мониторинг, чтобы увидеть ошибки.
Воспользуйтесь testexchangeconnectivity.com для проверки.)

Решилась проблема с anywhere. Всё стало автоматически подключаться. Дело было в том что при подключении autodiscover подставлял имя участника сертификата *.mydomain.ru, а нужно было, так как сертификат был перевыпущен, owa.mydomain.ru.
В общем я использовал командлет

Set-OutlookProvider -identity EXPR -CertPrincipalName "msstd:"

Тем самым установив нужные мне настройки. После этого всё заработало.

Анонимный комментирует...

А вот ссылка оставляю её так как видел что вам уже задавали аналогичный вопрос про ввод пароля при настройке outlook anywhere до бескончности

http://technet.microsoft.com/ru-ru/library/dd789899%28v=exchg.80%29.aspx

Анонимный комментирует...

Добрый день!
Не подскажете, как быть в ситуации, если сертификат для доступа из вне покупается(thawte), руководство не готово платить за SAN, но требует, чтобы при подключении Outlook изнутри не выдавало ошибку сертификата(ошибка несовпадения доменного имени сервера с именем в сертификате). С веб-доступом изнутри проблем нет, адрес тот-же, что и снаружи, а outlook подменяет его на внутреннее имя сервера.

Алексей Богомолов (Alexx) комментирует...

Настройте локальный DNS так, чтобы внешнее имя сервера ссылалось на локальное имя (я так понимаю, что вы это уже сделали).
Выполните команду Set-MailboxDatabase -RPCClientAccessServer
В результате в настройках Outlook`ов должно изменить имя сервера на внешнее.
Но проблема у вас скорее всего останется, т.к. клиенты будут пытаться открыть ещё и адрес autodiscover`a, а его у вас тоже нет в сертификате...

Анонимный комментирует...

Добрый вечер Алексей. Есть вот такой вопрос:
при публикации ActiveSync на мобильном устройстве невозможно произвести синхронизацию поскольку сервер exchange требует личный сертификат, корневой сертификат был импортирован. На CAS в закладке ActiveSync стоит обычная проверка подлинности и пропускать сертификат клиента.Где еще на сервере отключить запрос на сертефикат?

Алексей Богомолов (Alexx) комментирует...

Это на всех клиентах, или только на одном? Попробуйте сделать reset виртуального каталога activeSync.

Анонимный комментирует...

На всех клиентах. А не подскажите как сделать этот reset?

Алексей Богомолов (Alexx) комментирует...

http://technet.microsoft.com/en-us/library/ff629372.aspx

Анонимный комментирует...

Да, спасибо огромное сброс произвел, но всё равно проблема осталась. Такое чувство что проблема с железкой (телефоном). Вот ещё странность при настройке ActiveSync на устройстве на этапе сведения о пользователе выводится сообщение "в вашем сервере используются клиентские сертификаты.Пароль не требуется."с чего он это решил, клиентские сер. не используются. Может с корневым сертификатом что-то не то?

Анонимный комментирует...

Всё заработало. Удалил профиль с устройства произвёл настройку заново и всё пошло.
Наверное сброс каталога всётаки сделал своё дело.
Алексей, спасибо огромное за советы!

Анонимный комментирует...

Алексей здравствуйте. Прошу вашей помощи.
Все сделал по вашей инструкции. Сертификат создался, подписался (на сертификате в эксчендже появился голубенький кружок с белой галочкой).
Назначил службы этому сертификату, после чего он начал распространяться по AD. Пользователям при загрузке Outlook 2010\2007 показывается сообщение "Оповещение системы безопасности" с предложением установить сертификат. Куда бы я его не устанавливал (начинал конечно с доверенных корневых центров) это окно так и продолжает выскакивать при каждой перезагрузке outllok. Удалил этот сертификат с сервера exchange 2010, отозвал этот сертификат в центре сертификации, почистил этот сертификат из всех хранилищ на почтовом сервере и на ЦС, так же на тестовом компьютере с Outlook. Перезагружал ЦС, Exchange, компьютер с outlook все равно этот сертификат продолжает пытаться установиться при запуске почтового клиента.
Помогите убрать этот сертификат.
P.S. Get-ExchangeCertificate | fl показывает только один сертификат сейчас (тот который самоподписанный для Exchange)

Алексей Богомолов (Alexx) комментирует...

Вам надо устанавливать доверие не самому сертификату Exch`a на клиенте, а доверие сертификату СА, выдавшего сертификат Exch`y (положить сертификат СА в доверенные корнтевые пользователя (для доменных компьютеров он сам распространяется черех GPO, если вы подняли Enterprise CA)

Анонимный комментирует...

Спасибо за ответ.
Я сертификат делал на Корпоративном ЦС, который достаточно давно уже существует, сертификат этого ЦС давно уже распространен по всем пользователям AD. На сколько я понял сертификат не устанавливался из-за "Имя сертификата безопасности недопостимо или не соответствует имени узла".
На следующий день перезагрузил Exchange. Сертификат перестал распространяться по пользователям.

Анонимный комментирует...

добрый день.
Установил exchange, установил центр сертификации. Выпустил сертификаты для самого центра и для exchange. Зашел в оснастку users&computers, зашел в свойства домена, зашел в GPOE, далее computer configuration/windows settings/security settings/public key policies/trusted root certification authorities и туда импортировал сертификат ЦС.
со своей локальной машины сдела gpupdate? дабы не ждать применения и в итоге у меня локальная машина при попытке зайти на https://mail1/certsrv
выдает ошибку сертификата.
Для OWA внутри домена ошибок сертификата не выходит. За пределами домена, при попытке открыть сайт с OWA выдает ошибку сертификата.
Но сегодня ночью, когда я скопировал (предварительно экспортированный сертификат CA) на домашнюю машину и установил его в ручную - все заработало.
Вопрос, почему автоматом не раздается сертификат?
С уважением, Илья.

Анонимный комментирует...

Добрый вечер , пришло время менять сертификат , мне нужно заново проделывать всю процедуру по выпуску или можно просто на нем выбрать обновить сертификат Exchange ? Спасибо

Алексей Богомолов (Alexx) комментирует...

Можете нажать Обновить, в результате будет сгенерирован req файл (также как и при выпуске нового), после чего файл надо будет скормить СА.

Анонимный комментирует...

Добрый день! Все делаем по Вашей инструкции, за нее Вам спасибо, но есть одно но, выдается сертификат не на сервер, а на пользователя. То есть когда последовательность действий доходит до "выбрать шаблон сертификата – Веб-сервер", там у нас есть только "Пользователь" и базовое шифрование EFS. Выбираем "Пользователя" в итоге выдается на пользователя sysroot.

Алексей Богомолов (Alexx) комментирует...

Смотрите права на шаблоны сертификатов на СА. Скорее всего у вашего пользователя нет прав выдавать серты по шаблону "Веб-сервер".

Анонимный комментирует...

Добрый день подскажите делал по вашей инструкции: установил новый сертификат для exchange 2010 sp1 перестал работать вход через owa + если произвести первоначальную настройку почты через outlook при подключении ящика выдает ошибку. произошла неизвестная ошибка. код ошибки 0x80070057.

Анонимный комментирует...

Алексей, добрый день.
сгенерировал запрос на обновление сертификата, а подсунуть его серверу не получается. Посмотрел формат старого запроса на новый сертификат и сравнил его с новым на обновление - различаются сильно.
Как сделать правильный запрос на обновление сертификата, чтобы сервер сертификатов его понял?

Алексей Богомолов (Alexx) комментирует...

Покажите первые две и последние две строки запроса на сертификат, который не получается скоримть СА

Анонимный комментирует...

в том то и дело, что если смотреть старый запрос на новый сертификат, там:
в начале стоит -----BEGIN NEW CERTIFICATE REQUEST-----
в конце -----END NEW CERTIFICATE REQUEST-----
и между ними ровная структура из англ. букв и цифр
А в запросе на обновление нет ни BEGIN, ни END и все идет из одной строчки и символу-сплошные "кракозямбы".
запрос формировал через консоль управлениz

Алексей Богомолов (Alexx) комментирует...

Проверьте настройки локализации на сервере, если кракозябры, значит где-то кодировка сбилась... попробуйте конвертировать полученные кракозябры в нормальную кодировку.
Может быть через Shell будет другая картина?

JSiB комментирует...

Пишет "Сертификат недопустим для использования с Exchange". "Get-ExchangeCertificate | fl" пишет "Status : Invalid" и "RootCAType: Unknown". Неясно, куда копать. Сертификат корневого центра добавил на Exchnge и локально на контроллере домена.

Алексей Богомолов (Alexx) комментирует...

Если просто сертификат открыть двойным кликом, то там с ним все ОК?

JSiB комментирует...

да, показывает, что сам сертификат в порядке.

Алексей Богомолов (Alexx) комментирует...

Странно, боюсь что не подскажу в чем дело (

MeJustMe комментирует...

Отвалился на SAN. Всё вроде прошло нормально, но по-русски добавилось вроде как "Дополнительное имя субъекта" ... но в нём стандартное имя server.local и ещё GUID объекта DS=04. 10 a6 d9 и т.д. ..... никаких server.ru и прочих нет

Unknown комментирует...

Добрый день, столкнулся с проблемой. Создал самодписный сертификат, установил. Но работает либо OWA(web интерфейс), либо activesync(моб. устройства).
Если работает одно то второе не работает и ругается на сертификат.
Подскажите если сталкивались с таким!
Спасибо!

Алексей Богомолов (Alexx) комментирует...

Подскажите, а как именно вы переключаетесь между OWA и ActiveSync?

Unknown комментирует...

захожу из вне на OWA(ноутбук) и обновляю на телефоне почту. На телефоне моб. инет, на ноутбуке проводной.
Если с ноутбука пишет:
Ошибка подключения SSL
С телефона:
Нет подключения к серверу

Анонимный комментирует...

Добрый день, проблема следующая:
Сервер SBS 2011 на нем Exchange 2010, закончились сертификаты exchange, создали заново по вашей статье. Параллельно с этим действием добавили в сети второй сервер exchange 2010 на 2008r2 standart(на нем установили только роль Почтовых ящиков) и перенесли на него все почтовые ящики с помощью "Создать локальный запрос на перемещение"
После этого почта работает, на сертификат никто не ругается, но у всех пользователей на компьютерах в домене Outlook постоянно спрашивает логин и пароль. С чем может быть связана эта проблема?

Анонимный комментирует...

поправка к предыдущему комментарию от 5 марта.
С сертификатами проверили еще раз, похоже все правильно. Проблема в том, что у всех пользователей на компьютерах в домене в outlook 2010 добавилась настройка "подключение к microsoft exchange по протоколу HTTP"(способ проверки подлинности - обычная проверка) Поэтому и просит пароль постоянно при запуске Outlook, так и должно быть. И в связи с этим у меня два вопроса:
1) как эти настройки могли появиться
2) как массово изменить у всех пользователей эту настройку с обычной проверки на NTLM(или вообще отключить "подключение Ms exchange по http" у всех в outlook 2010 на компьютерах в домене, тк компьютеры стационарные)
Я правильно понимаю что autodiscover настраивает outlook только при добавлении новой учетной записи?

Unknown комментирует...

Спасибо за Ваш блог, много раз помогал!
У меня вот такая ситуация, на Windows Server 2008 R2 стоит Exchange 2010, подключено 18 пользователей по MAPI, всё работало прекрасно, но в один прекрасный день(не для меня), Outlook начал запрашивать пароль постоянно, и выдавать ошибку что не видит сервер! Тогда было принято решение быстро перейти на IMAP, так как у пользователей много подпапок, а через браузер неудобно! Всё так же работало(хотя плохо), вчера у одного пользователя опять начало спрашивать пароль, и не пускает в почту, через браузер всё работает! Не могу понять в чём причина, уже больше суток не сплю! Может Вы подскажите в какую сторону смотреть?

Unknown комментирует...

Забыл добавить, не где этого нету, но MAPI дает создавать папки с любыми символами, а IMAP ругается на / и на " , и не синхронизирует папки, где есть эти символы!

Анонимный комментирует...

Exchange 2010 SP1
публикация через TMG 2010
OWA и мобильники как часы подключаются
внутри Outlook просто бесподобен
а вот снаружи Outlook-ом - не подключиться...
не может найти типа сервер
сертификат на внутренние имена (autodiscover, mail, exchange, proxy) и на внешние соответственно
DNS-ы полностью отвечают на служебные записи
сертификаты везде установлены
мой голова сломался уже вашпее

Алексей Богомолов (Alexx) комментирует...

А на самом Exchange`e Outlook Anywhere вы включили? (по дефолту выключен)

Анонимный комментирует...

да, все включил. проверил еще раз
уже на сертификаты грешу

Алексей Богомолов (Alexx) комментирует...

Надо смотреть настройки публикации... скорее всего там косяк. Попробуйте с внешки открыть адрес https:\\mail.firma.ru\rpc\rpcproxy.dll - должна быть пустая белая страничка

Unknown комментирует...

установил по инструкции сертификат на exchange 2010 sp1 теперь не заходит на корпоративный сайт фирмы, как исправить проблему ошибка ошибка http 403.4 - forbidden

Анонимный комментирует...

сделал как Вы сказали - вылетела ошибка;
"Ошибка сервера в приложении '/Rpc'"
из за этого значит?
если да - то как "лечить"?

Алексей Богомолов (Alexx) комментирует...

- "Ошибка сервера в приложении '/Rpc'" - какая версия Exchange стоит? Если есть возможность поставить Service Pack, то это надо сделать. Данная процедура перезапишет файлы в виртуальном каталоге на более новые и возможно это решит проблему.

Алексей Богомолов (Alexx) комментирует...

Анастасия, честно говоря я не вижу связи между сертификатом на Exchange и корпоративным сайтом, если только они у Вас не на одном IIS-е крутятся и по одному имени отвечают.

eagle комментирует...

Сделал все по статье клиенты с телефонов nokia на windows 8 подключаются, с iphone подключаются, аппараты на андроиде пишут следующее сообщение
Не удалось установить защищенное подключение к серверу. javax.net.ssl.SSLProtocolException: SSL handshake aborted: ssl=0x5eeb9d38: Failure in SSL library, usually a protocol error
error: 140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol (external/openssl/ssl/s23_clnt.c:655 0x59ba2890:0x00000000)

eagle комментирует...

проблему решил надо использовать TLS на порту 25 на нем все работает
http://answers.microsoft.com/en-us/outlook_com/forum/osecurity-osafe/outlook-imap-on-android-native-email-app/8bd782b5-731f-4cf5-b15e-440c829df89b?page=2

Unknown комментирует...

Добрый день. Застрял на этапе импорта сохраненного запроса. В списке шаблонов отсутствуют шаблоны. Не подскажите как решить проблему? спасибо

Алексей Богомолов (Alexx) комментирует...

Надо в консоли СА - Templates - Manage Templates - выбрать шаблон Web Server - на вкладке security дать себе на него права. Или просто открыть IE от имени администратора, который поднимал СА. Проблема вероятнее всего в том, что у Вас просто нет прав на шаблон.

Unknown комментирует...

Да, проблема была с правами, спасибо большое. Теперь у меня новая проблема, чую не последняя :) учитывая то кол-во вещей, которое мне нужно настроить, а опыта нет)))
Режим запроса:newreq - Новый запрос
Назначение:(еще не установлено)
Сообщение о назначении:(нет)
Результат:Неверный формат имени домена. 0x800704bc (WIN32: 1212)
Сведения о COM-ошибке:CCertRequest::Submit: Неверный формат имени домена. 0x800704bc (WIN32: 1212)
Последнее состояние:Неверный формат имени домена. 0x800704bc (WIN32: 1212)
Предполагаемая причина: (нет вариантов)

Подскажите?

Александр комментирует...

Может кто подскажет - есть сертификат mail.mydomname.ru выпущенный внешним довtренным CA
Есть редирект IIS https://mail.mydomname.ru/owa
Но как внутренним клиентам дать самовыпущенный (E2k7.loverabotadomain.local) сертификат Exchange 2007 а с внешнего мира -
mail.mydomname.ru

Анонимный комментирует...

Коллеги, добрый день. Подскажите пожалуйста в чем может быть проблема, ситуация следующая, был сертификат выпущенный средствами Exchange, подписанный своим CA. Перед окончанием срока, он был продлен. OWA, ActiveSync работает хорошо, а локальные клиенты при открытии Outlook получают "Оповещение системы безопасности" в нем расположен старый не действующий сертификат.При соглашении или отказе, Outlook нормально загружается. Буду рад любому совету.

Анонимный комментирует...

Ссылка на документ PublishingExchange2010withTMG.pdf дохлая. Если есть возможность поправьте.

Unknown комментирует...

Статья супер, именно она и нужна была...

idShura комментирует...

Сделал все по вашей статье. Сейчас подошел срок смены сертификата. В консоли exchange я выбираю пункт "Обновить сертификат" Создается запрос на создание сертификата сроком на 1 год, но после создания сертификата в certsrv, срок изменяется на 1 месяц. Подскажите почему изменяется срок и как это исправить?

Alexey Bogomolov комментирует...

Срок выдачи сертификата зависит от настроек шаблона издающего центра, а не Exchange. Смотрите свойства шаблона на СА.

Teddy комментирует...

После какого-то сбоя на сервере не удается просмотреть сертификат, назначенный серверу Exchange 2010 SP3. В консоли управления в дереве стоим на "Конфигурация сервера", в центральном поле сверху на сервере, снизу список сертификатов пустой. Вывод powershell
[PS] C:\Windows\system32>Get-exchangecertificate
Запрошенный контейнер ключа не обнаружен.
+ CategoryInfo : NotSpecified: (:) [Get-ExchangeCertificate], InvalidOperationException
+ FullyQualifiedErrorId : 770AD31B,Microsoft.Exchange.Management.SystemConfigurationTasks.GetExchangeCertificate

В хранилище "Личные" локального компьютера есть и текущий действующий сертификат, и новый, сделанный в попытке починить такое поведение. Сам сервер работает, клиенты без проблем подключаются.

Помогите,пожалуйста, с направлением поиска. В сети описания похожего поведения вообще не встретил.

Teddy комментирует...

Забыл сказать - все это происходит на сервере SBS 2011, т.е. сервер Exchange одновременно является AD, единственным и неповторимым.

Alexey Bogomolov комментирует...

Не сталкивался с таким. Честно говоря и не стоит решать эту проблему, сертификат на веб-службы все равно через IIS назначается, так что там его можно и без Exch консоли поменять.

Teddy комментирует...

Спасибо и на этом. ;-) Буду терпеть, пока меня этот SBS окончательно не доведет, и перейду на обычные продукты - 12R2 или, если повезет дотерпеть - на 16R2.

Teddy комментирует...

В общем, сам не понимаю, что конкретно помогло, но проблема решена. Кроме всего прочего, я еще заметил, что у меня скоро закончится корневой сертификат (оставалось полгода). Таким образом, я изменил настройку ЦС на б'ольшие сроки выдачи всех сертификатов, обновил корневой сертификат ЦС, удалил все лишние сертификаты в личном хранилище в MMC, создал в EMC новый запрос на сертификат, исполнил этот запрос, сохранил сертификат вместе с закрытым ключом в файл и импортировал через EMC. По крайней мере, в EMC теперь сертификаты видны и в PowerShell тоже.

Unknown комментирует...

Здравствуйте! Подскажите пожалуйста, существует ли возможность средствами Exchange настроить работу почтовых сервисов таким образом, что бы внутренние пользователи использовали сертификат mail.domain.local а а внешние работали с wildcard сертификатом *.domain.ru? Знаю что TMG умеет подменять сертификат, но вот пришлось от него отказаться, и нужно другое решение.

Alexey Bogomolov комментирует...

В качестве прокси сервера можно использовать IIS ARR с другим сертификатом. Ну или на крайний случай создать два сайта на IIS Exchange`a с разными биндингами https://blogs.technet.microsoft.com/exchange/2015/02/11/configuring-multiple-owaecp-virtual-directories-on-the-exchange-2013-client-access-server-role/
А в идеале привести все имена к общему знаменателю (избавиться от .local)

Unknown комментирует...

Спасибо большое за статью, очень интересно и надеюсь будет полезно! Попробуем такой Вариант реализовать, тока забэкапить надо будет Exchange!))) Но вот избавиться от .local думаю в ближаешее время не светит, очень много сервисов, которые будет трудно перевести разом... Ещё раз спасибо за подсказку)

Ilya комментирует...

drastvuye Alex.sozdal EX CA kak vi napisali,no tolko dlya owa i autodiscover sozdal odin adress
local.myadomain.com
public.mydomain.com
vopros perviy-vozmojno li sozdat CA ne usnatavlivaya ad ca?esli da podskajite kak,mojet internet resurs kakoyto...
i eshe-nujno li mne PUblic CA toje na dva domaina?ili odin public na public.mydomain.com dostatochno
zaranee blagodaren Ilya

Анонимный комментирует...

Спасибо за статью.
Подскажите, после замены сертификата на сервере CAS надо ли пересоздавать пограничную подписку с EDGE ?

Алексей Богомолов (Alexx) комментирует...

Да, нужно пересоздавать подписку.

Unknown комментирует...

Здраствуйте. Ситуация следующая. Exchange 2010 и TMG настроены в соответствии с Вашими статьями. Давно. Сейчас осуществлена миграция AD на 2016 сервер. Со сменой имени кд. Сам домен работает. Пришла очередь миграции почты на 2016 сервер. После установки на TMG SP3(условие миграции) пытаюсь пересоздать подписку, но New-EdgeSubcr... пишет ошибку "сервер LDAP недоступен". Как указать имя нового кд ?

Unknown комментирует...

Алексей добрый день, подскажите пожалуйста.
Excnage 2010, сервера с ролью HUB, к службе SMTP привязаны несколько выпущенных и действительных сертификатов. Как определить какой именно используется службой SMTP (и не только smtp)?

Unknown комментирует...

отличто, огромное спасибо!!!

Alexey_O комментирует...

Результат:Неверный формат имени домена. 0x800704bc (WIN32: 1212)

Отправить комментарий