четверг, 29 июля 2010 г.

Публикация Outlook Anywhere и Autodiscover

image
Ранее мы рассмотрели вопросы “Сертификации” сервера Exchange 2010 и публикации таких служб как Outlook Web App и  Exchange ActiveSync, теперь настала очередь поговорить про Outlook Anywhere и AutoDiscover.
Перед публикацией Outlook Anywhere на TMG необходимо произвести некоторые настройки на сервере Exchange 2010.
Доступ клиентов MS Outlook находящихся за периметром организации к серверу CAS осуществляется по средствам упаковывания RPC запросов в HTTP трафик, следовательно, для успешной распаковки таких пакетов на сервере Exchange с ролью клиентского доступа должна быть установлена компонента RPC over HTTP Proxy.
Функция Outlook Anywhere по умолчанию отключена на серверах Exchange, чтобы ещё активировать, необходимо открыть раздел Настройка серверовКлиентский доступ и в правом меню выбрать действие Enable Outlook Anywhere...
image
Рис.1: Активация функции Outlook Anywhere.
В мастере нужно будет указать имя внешнего узла, на который будут подключаться клиенты и выбрать обычную проверку подлинности (если нужна сквозная авторизация для пользователей, которые работают удаленно с корпоративных ноутбуков, то лучше выбрать NTLM authentication). Данная функция будет активирована по прошествии порядка 10-15 минут.
Кроме самого доступа к серверу Exchange, клиентам MS Outlook установленным в режиме кэширования, необходим ещё и доступ к Автономной адресной книге (Offline Address Book). Следовательно, необходимо для её распространения настроить внешний URL адрес. Делается это там же где и настройка остальных сервисов – Конфигурирование серверовКлиентский доступРаспространение автономной адресной книги – вкладка URLs.
image
Рис.2: Настройка URL-ов распространения OAB.
Т.к. мы установили обычную проверку подлинности для Outlook Anywhere, то для виртуального каталога OAB нужно также разрешить обычную проверку подлинности. Делается это в диспетчере IIS – Sites – Default Web Site - OAB – Authentication – Basic Authentication – Enable.
image
Рис.3: Настройка параметров проверки подлинности для виртуального каталога OAB.
На этом настройку на стороне сервера Exchange можно закончить и переключиться на сервер с TMG. Здесь аналогично публикации OWA или Exchange ActiveSync (процедура рассмотрена выше) необходимо создать правило публикации Outlook Anywhere. Единственным нюансом здесь будет сервис Autodiscover.
Примечание: Если у вас возникнут проблемы с авторизацией при настройке MS Outlook, то нужно в правиле публикации Outlook Anywhere на вкладке Пользователи установить Все пользователи и убрать всех остальных с той целью, чтобы TMG сам не запрашивал авторизацию.

Публикация Autodiscover

Чтобы Outlook Anywhere работал правильно, необходимо опубликовать сервис Autodiscover. Находясь в домене Outlook берет адрес сервиса Autodiscover из Active Directory, а находясь за пределами корпоративной сети, Outlook пытается найти этот сервис обращаясь по двум адресам – firma.ru и autodiscover.firma.ru. Я буду использовать адрес autodiscover.firma.ru, следовательно мне нужно на DNS сервере, обслуживающем зону firma.ru зарегистрировать узел с соответствующим именем.
Далее можно создать отдельную политику публикации Autodiscover`a, а можно отредактировать уже имеющиеся.

Autodiscover для Outlook Anywhere

Если Autodiscover нужен только для Outlook Anywhere, то тут все достаточно просто – в правило публикации нужно добавить ещё одно внешнее имя. Открываем правило и на вкладке Внешние имена добавляем autodiscover.firma.ru:
image
Рис.4: Добавление внешних имен в правило публикации.
На этом с Outlook Anywhere можно закончить. С Exchange ActiveSync нужно выполнить ещё одно действие.

Autodiscover для Exchange ActiveSync

Если в правиле публикации Outlook Anywhere путь к виртуальному каталогу AutoDiscover включен автоматически, то для Exchange ActiveSync такого нет. Чтобы добавить ещё один путь в правило нужно открыть вкладку Пути и добавить значение /AutoDiscover/*
image
Рис.5: Добавление путей к правилу публикации.
На этом настройку публикации Outlook Anywhere можно закончить и перейти непосредственно к настройке MS Outlook.

Настройка MS Outlook 2010

Что касается MS Outlook, то тут можно создать новую учетную запись Exchange , или отредактировать уже имеющуюся.
Чтобы подключить MS Outlook к серверу Exchange 2010, проще всего воспользоваться мастером создания новых учетных записей, который сам попытает определить оптимальные настройки для подключения.
image
Рис.6: Добавление новой учетной записи.
Указав адрес электронной почты, Outlook попытается найти настройки сервера в том числе обращаясь к службе Autodiscover. Если ранее все было настроено правильно, то в результате три этапа должны быть успешно пройдены. При этом в процессе входа на сервер может быть выдано сообщение с запросом ваших учетных данных, где нужно указать логин и пароль почтового ящика на сервере Exchange.
image
Рис.7: Сообщение об успешном создании новой учетной записи.
Также можно указать настройки в ручном режиме. Для этого зайдем в свойства учетной записи – Другие настройки – Подключения – Мобильный Outlook:
image
Рис.8: Включение мобильного Outlook`a.
Включив мобильный Outlook в свойствах учетной записи, нужно также настроить параметры прокси-сервера, указав адрес для подключения и способ проверки подлинности:
image
Рис.9: Настройка параметров прокси- сервера Exchange.
На этом все, теперь пользователь может ехать в командировку и пользоваться Outlook`ом так, как словно он ни куда и не уезжал.

Возможные проблемы

Несколько советов:
  • Пожалуй самое основное это то, что в случае удаленного подключения к серверу Exchange необходимо правильно настроить сертификат:
        • клиент должен доверять центру сертификации, выдавшему сертификат для сервисов Exchange`a;
        • сертификат сервера Exchange должен содержать поле SAN со всеми используемыми именами узлов;
        • сертификат должен быть действительным.
  • Стоит внимательно отнестись к параметрам проверки подлинности, установленным на сервере Exchange и на вкладке Делегирование проверки подлинности в правиле публикации на сервере TMG (они должны быть идентичны);
  • Не забывайте, что в случае публикации OWA на сервере Exchange нужно отказаться от использования FBA, т.к. при помощи форм авторизация будет происходить на сервере TMG;
  • В случае нахождения сервера TMG в рабочей группе:
        • необходимо корректно настроить Проверку подлинности на прослушивателе, используемом в правиле публикации (Active Directory (LDAP));
        • необходимо создать набор LDAP-серверов и создать новую группу пользователей на основе этого набора;
  • Для решения проблем и тестирования подключеий стоит воспользоваться:
        • средством удаленного анализа - Microsoft Exchange Remote Connectivity Analyzer;
        • средством Проверки автоконфигурации электронной почты (при зажатой клавише CTRL нажмите на значок Outlook в трее – Проверить автоконфигурацию эл.почты).

Литература для подробного изучения:

Publishing Exchange Server 2010 with Forefront
Deploying Windows phones with the Windows Mobile 6.5 operating system on Microsoft Exchange Server 2010

Заключение

На этом тему публикации сервисов Exchange 2010 через сервер Threat Management Gateway можно считать закрытой.

Данная статья является частью цикла “Публикация сервисов Exchange 2010 через TMG”, скачать все целиком вы можете в виде PDF файла – здесь, или посмотреть веб-каст на эту тему на портале TechDays по адресу - http://www.techdays.ru/videos/2814.html

83 комментария:

Fanta комментирует...

В мемориз! Отличная статья! Осталось внедрить лишь Ексч 2010 :)

Алексей Богомолов (Alexx) комментирует...

>Осталось внедрить лишь Ексч 2010 :)
Да уж, дело за малым :)

Анонимный комментирует...

Алексей, должен ли внешний ip autodiscover.домен.ru совпадать с ip mail.домен.ru на который ссылается mx запись? Или нужно зарегистрировать отдельное имя autodiscover.домен.ru с отдельным ip?

Алексей Богомолов (Alexx) комментирует...

На DNS сервере, обслуживающем внешнюю зону необходимо зарегистрировать А-запись, autodiscover.domain.ru, ссылающуюся на IP адрес, где опубликован сам Autodiscover. При этом IP MX-запииси и IP службы autodiscover могут совпадать.

Анонимный комментирует...

Теперь понятно:) Алексей, думаю статья о настройке WPAD для
Forefront TMG была бы тоже интересна.

Алексей Богомолов (Alexx) комментирует...

скоро будет, не все сразу ;)

Konstantin комментирует...

Скажите, пожалуйста, с чем может быт ьсвязана такая проблема:
Уже работает OWA и Outlook Anywhere - через интернет, внутри работает Autodiscover.
при этом при подключении через интернет к autodiscover сначала запрашивается пароль на autodiscover.domen.my, я его ввожу, проглатывает и потом спрашивает пароль на внутренний сервер exchange (mail.domain.lo), я его ввожу и он снова спрашивает. так до бесконечности. в логах безопасности никаких сообщений.
ps. autodiscover, смотрит прямо в интернет, с сертификатами всё ок, если настроить outlook вручную без autodiscover, то всё работает.

Алексей Богомолов (Alexx) комментирует...

Попробуйте опубликовать Autodiscover отдельным правилом, при этом обратите внимание на то, что параметры проверки подлинности на виртуальном каталоге Autodiscover вашего сервера Exchange (IIS Management) должны соответствовать выставленным на вкладке Делегирование проверки подлинности в правиле на TMG. Ещё можно нажать соответствующую кнопку в правиле публикации, чтобы его проверить.

Konstantin комментирует...

спасибо за ответ, но у меня не используется TMG, я написал, что autodiscover смотрит прямо в интернет (ну если точнее то autodiscover стоит внутри сети, а на файрволе сделан проброс 443 порта до autodiscover, но это не принципиально).
естественно все dns записи ссылаются на внешний ip.
мне бы как-то включить логирование, а то outlook не коннектиться, а я нигде не вижу какой он ответ от сервера получает - ни на клиенте ни на сервере ничего не видно.

Alexey Nechay комментирует...

Добрый день Алексей! Мне нужна Ваша помощь, не получается совладать с autodiscover. Можно ли с Вами связаться как-нибудь другим образом, например mail, хотелось бы показать Вам результат анализатора, может натолкнете на мысль?! Если конечно есть такая возможность.

Алексей Богомолов (Alexx) комментирует...

Напишите мне на alexey @ list dot ru, но впереди выходные, так что я не обещаю, что отвечу.

Анонимный комментирует...

Алексей. подскажите пожалуйста. По ссылке https://autodiscover.firma.ru/autodiscaver/autodiscaver.xml что-то должно отображаться?
у меня сначала forefront пароль спрашивает, а потом:

-
-
-
600
Недопустимый запрос





делал все по вашей статье, OWA работает, Outlook Anywhere нет :(

Алексей Богомолов (Alexx) комментирует...

Да, так и есть, должна открывать страничку XML
....
600
Недопустимый запрос
....
ЗЫ Только Autodiscover пишется через О ;)

Анонимный комментирует...

А для возможности работы outlook достаточно rpc/https опубликовать, или еще сам rpc тоже надо?

Алексей Богомолов (Alexx) комментирует...

Нужно опубликовать виртуальный каталог RPC по протоколу HTTPS. Ну и про autodiscover тоже забывать не надо ;)

Art комментирует...

Доброе время суток.
Как правильно опубликовать Outlook Anywhere и Autodiscover для внешнего соединения не используя TMG? (сделать доступ к почтовому серверу пробросом портов). Почтовый сервер находится на отдельном пк mail.mydomen.local, RRAS в домен не входит. Сертификат был выдан для owa (по инструкции с Вашего блога), и в нём есть разрешение на Autodiscover.

Алексей Богомолов (Alexx) комментирует...

Вам нужно просто пробросить 443-й порт до mail.mydomen.local на шлюзе в Интернет

Art комментирует...

Это как раз я и сделал (owa работает), но можно немного поподробней (нужно из вне подключать outlook + клиенты от ipad). Не сочтите за спам, но чтобы не засорять эту ветку вот http://forum.ru-board.com/topic.cgi?forum=8&topic=18200&glp последнее сообщение от Patjomkin.

Alexander комментирует...

Алексей доброго времени суток. огромное спасибо за статью!
у меня похожай проблема как у пользователей оставивших коментарии.
при подключении удалённого клиента Outlook вываливается окно авторизации на firma.ru после чего я ввожу учётные данные доменного пользователя firma.local следом вываливается новое окно авторизации mail.firma.ru на этом авторизироваться не удается. TMG не используется, 443 порт с маршрутизатора проброшен на IP эксчаги внутри сети.
Подскажите пожалуйста в каком направлении двигаться дальше

Vic77 комментирует...

Алекс, спс - для имеющего ум и руки админа направление это самое главное, а оно здесь есть...
Вы не против если некоторые вещи из этой статьи заберу в свой блог (естественно, со ссылками на оригинал)?

Алексей Богомолов (Alexx) комментирует...

Да, конечно, никаких проблем!

Анонимный комментирует...

Добрый день
Появился вопрос. Можно ли принудительно отключить кеширование в Anywhere,чтобы на домашних ПК или Ноутбуках не создавалась копия писем?

Анонимный комментирует...

Алексей, может вы подскажете опубликовал anywhere добавил RPC over HTTP все работает, шлюз циско, так вот теперь проблема с локальными пользователями, получается что все пользователи подключаются через HTTP и используют адрес прокси сервера (внешнее) то которое я указывал для anywhere. Я так понимаю это настроилось автоматически через autodiscover, подскажите пожалуйста как изменить настройки autodiscover чтобы локальные пользователи подключались без HTTP спасибо!

Алексей Богомолов (Alexx) комментирует...

А вы уверены, что у вас пользователи через ОА работают? Зажмите CTRL и нажмите правой кнопкой значок Outlook`a в трее - Состояние подключение - колонка Подкл. Что там, TCP/IP или HTTPS?

Анонимный комментирует...

Значит там у нас подключение TCP/IP. Только теперь еще не понятно почему он каталог берет из DC2 а не DC1, ну а почта правильно идет через наш локальный почтовый сервер mail.maydomain.local

Анонимный комментирует...

Добрый день!
Очень тщательно прочитал вашу статью. Гуглю везде информацию по своей проблеме, но пока без результативно. Проблема в сквозной авторизации Outlook с Exchange, у пользователей при каждом открытии outlook появляется окно авторизации. Есть два CAS, на них с настройками IIS проставлено Windows Integrated + Basic Auth. У пользователей настроено подключение к Microsoft Exchange по протоколу HTTP. Так же есть TMG+EDGE с опубликованными правилами owa,autodiscovery.. (настройки такие же как в статьях -basic auth.)

Алексей Богомолов (Alexx) комментирует...

Мы говорим о входе в ОА с доменных компьютеров из локалки?
Если да, то нажимаете Ctrl и правой кнопкой значок Outlook`a в трее - Состояние подключения - там должно быть Подключение TCP/IP. Если у вас там HTTPS, значит у вас пользователи на CAS ходят через внешку. Почитайте статью http://www.alexxhost.ru/2011/05/dns-ru-local.html

Анонимный комментирует...

Добрый день, Алексей! Извиняюсь за анонимный профиль некогда было создавать.

Посмотрел все ваши инструкции по установке и настройке exchange в связке с tmg.
Всё настроил как у вас. Owa и activesync работают, а вот с outlook anywhere проблемы.
Дело в том что при подключении с удалённого компьютера через outook к exchange первые два этапа ("установка сетевого подключения" и "поиск параметров сервера")
проходят успешно, а вот последний (вход на сервер) выдает ошибку (требуется постоянное подключение к серверу и т. д.).

Если вам не сложно, можете хоть как нибудь помочь, натолкнуть на мысль, а то уже вторую неделю голову ломаю а так проблему и не решил.

ещё дополнительно напишу о том что если после ошибки нажат ОК, то почтовый сервер написан правильно, а вот перед почтовым адресом стоит такая надпись (=smtp:).

Заранее Спасибо большое!!!

Andrey Korobko комментирует...
Этот комментарий был удален автором.
Анонимный комментирует...

Ответьте, пожалуйста, на последний вопрос. У нас та же проблема.

Алексей Богомолов (Alexx) комментирует...

Напишите мне на электронку. На этот вопрос нет однозначного ответа, надо смотреть что конкретно у вас не так.

Анонимный комментирует...

Здравсвуйте, Алексей. Начал изучать Exchange и столкнулся с проблемой: в домене при настройке MS Outlook 2007 пояляется окно авторизации пользователя. При поиске в инете нашел что-то про OAB. Надо ли для это autodiscover? Или я просто не до конца понял. Почему авторизация появилась. Почта при этом работает. Заранее спасибо!!!

Алексей Богомолов (Alexx) комментирует...

Автодискавер всегда надо. В вашем случае сложно сказать почему конкретно появляется окно авторизации, возможно Outlook переключается в режим Outlook Anywhere и лезет через внешний шлюз на сервер... возможно нет.

Dmitry комментирует...

Добрый день, сделал все как у Вас в описано блоге, у меня после настройки autodiscover при проверке, используя Microsoft Remote Connectivity Analiver ошибка:
Попытка отправить запрос POST автообнаружения на потенциальные URL-адреса автообнаружения.
Не удалось получить параметры службы автообнаружения при отправке запроса POST в эту службу.

Этапы проверки

Анализатором ExRCA выполняется попытка получения XML-ответа от службы автообнаружения с URL-адреса https://autodiscover.mycompany.ru/AutoDiscover/AutoDiscover.xml для пользователя test@mycompany.ru.
Анализатору ExRCA не удалось получить XML-ответ службы автообнаружения.

Дополнительные сведения
В XML-ответе не найден ни один из ожидаемых XML-элементов.

Я вот не пойму в чем дело.

Анонимный комментирует...

Здравствуйте, по адресу который Вы указали выше, вас нет.
Не могли бы вы уточнить его? Есть пара вопросов(очень критичных) по anywhere access
Спасибо!

Алексей Богомолов (Alexx) комментирует...

У меня почтовый ящик Alexey_b at list dot ru Я там точно есть )

MaximAl комментирует...

У меня возникла аналогичная проблема как у Дмитрия:

Анализатору ExRCA не удалось получить XML-ответ службы автообнаружения.

Дополнительные сведения
В XML-ответе не найден ни один из ожидаемых XML-элементов.

С чем это может быть связано?

Максим Мурашко комментирует...

Возникла проблема. Дополнительные почтовые ящики не открываются. При добавлении учетки в outlook все работает, в списке появляются дополнительные ящики, но при попытки их раскрыть выводится сообщение о недоступности Exchange. В чем может быть проблема? Спасибо.

Алексей Богомолов (Alexx) комментирует...

Я правильно понимаю, что вы пытаетесь подключить доп. ящики к внешнему клиенту? Сложно сказать сразу что тут может быть... Попробуйте включить логирование в Outlook и посмотрите на каком этапе возникает проблема. Также логи на сервере почитать (в том числе Security) тоже не помешает. Может быть не доступен Autodiscover?

Андрей Игнатьев комментирует...

Добрый день, Алексей!

Подскажите, пожалуйста, как настроить доступ через rpc over http без tmg (у меня на границе сети стоит Cisco ASA5510)
анализатор удаленного подключения говорит При выполнении процесса RPC Runtime произошла ошибка RPC_S_SERVER_UNAVAILABLE (0x6ba)

Алексей Богомолов (Alexx) комментирует...

Надо пробросить 443-й порт до CAS`a.
Для проверки возможности подключения воспользуйтесь командой Test-OutlookConnectivity http://technet.microsoft.com/en-us/library/ee633453(v=exchg.141).aspx

Alex F комментирует...

Алексей, добрый день. Я являюсь вашим читателем и учусь по вашим постам. Сейчас развертываю Exchange 2010 и столкнулся с такой проблемой. Пока в интернете ничего не смог найти по моем случаю. Если сможете, помогите пожалуйста. Ситуация такая, у меня внешний домен почты отличается от внутреннего домена компании по имени. Сейчас когда я подключаюсь извне к Exchage, то работает autodiscover по внешнему имени домена и автоматом настраивается anywhere по https соединению, все ок. А когда пытаюсь настраивать outlook внутри локальной сети на компе который входит в домен, то срабатывает autodiscover, ящик сам подставляется правильный уже с именем внешнего домена и все работает до того пока не уберешь из настройки tcp/ip на этом компе шлюз по умолчанию. Если зажать ctrl то в коннектах показывает что связь идет по tcp/ip но если нет инета то подключаться outlook не хочет. Даже учетку заново не хочет настраивать на таком компьютере, пишет что нет связи с сервером. Почему так происходит? Он все равно идет через внешку? Зачем ему настройки шлюза по умолчанию?

Алексей Богомолов (Alexx) комментирует...

Сложно сказать. Тут два вопроса - зачем убирать Default Gateway и в какой подсети находится CAS сервер?

Максим Попов комментирует...

Алексей, добрый день!
У нас ситуация следующая:
1) Имеем внутренний домен, вида - firma.loc
2) Имеем внешнее DNS имя, типа А=mail.firma.ru и MX=mail.firma.ru:10. С помощью него получаем и отправляем почту.
3) Второе внешнее DNS имя, типа А=email.firma.ru и MX=email.firma.ru:10.
4) Шлюзом имеем Cisco ASA, который пробрасывает HTTPS до сервера CAS с помощью заранее зарегистрированного DNS имени, описанного мной в предыдущем пункте (3)
Почтовая система настроена в точности, как вы описывали (веделенная роль EDGE - является пограничным фильтром, так сказать, база и сервер CAS опубликованы внутри, без прямого доступа в инет (без белого ИП)).
Все работает хорошо - почта уходит\приходит, внутренние имена резолвятся, OWA опубликован как внутри так и наружу.
Необходимо сделать так, чтобы локальные аутлуки с ноутбуков пользователей могли подключаться к серваку из внешней сети. Для этого, по данной инструкции настроил autodiscover для outlook anywhere, заимел еще одно внешнее dns имя, вида autodiscover.email.firma.ru.
Но тем не менее не получается подключаться к почтовому ящику из внешней сети. В настройках аутлука все в точности так, как описано у Вас в данной статье.
Что может быть не так? Видимо что-то я упускаю. Подскажите, пожалуйста, в верном ли направлении я иду?

Максим Попов комментирует...

Оп, помарочка Второе внешнее DNS имя не имеет MX записи, естественно)

Алексей Богомолов (Alexx) комментирует...

Из внешки открывается url https://\rpc\rpcproxy.dll ?
Сомотрите в логах IIS`a вообще коннекты к виртуальному каталогу RPC есть? Если есть, то каким кодом заканчиваются? (200\401\500...)
testexchangeconnectivity.com посмотрите, возможно там тест что-то подскажет.

Максим Попов комментирует...

При попытке из внешки достучаться к https://email.firma.ru/rpc/rpcproxy.dll ошибка 404 (файл или каталог не найдены).
Как посмотреть есть ли коннекты к виртуальному каталогу RPC?

Алексей Богомолов (Alexx) комментирует...

А из локалки открывается страничка с dll-кой (должен быть белый лист)?
Логи IIS в папке c:\inetbub\... logs...
А вы не забыли включить ОА?

Максим Попов комментирует...

Включить-то не забыл, конечно.
При попытке открыть страничку с длл из локалки, по адресу: https://firma.loc/rpc/rpcproxy.dll - такая же ошибка: "404 - файл или каталог не найден.
Запрашиваемый ресурс перемещен, переименован либо временно недоступен".

Максим Попов комментирует...

В файле логов, находящиеся на сервере в директории C:\inetpub\logs\LogFiles\W3SVC1\ в файле за 20.11 содержатся следующие строки, относящиеся к RPC (если я, конечно, не ошибаюсь):
2013-11-20 02:25:40 192.168.150.121 RPC_IN_DATA /rpc/rpcproxy.dll firma.loc:6002 443 - 46.146.234.39 MSRPC 404 0 2 0
2013-11-20 02:25:40 192.168.150.121 RPC_OUT_DATA /rpc/rpcproxy.dll firma.loc:6002 443 - 46.146.234.39 MSRPC 404 0 2 0
2013-11-20 02:25:43 192.168.150.121 RPC_IN_DATA /rpc/rpcproxy.dll firma.loc:6004 443 - 46.146.234.39 MSRPC 404 0 2 0
2013-11-20 02:25:43 192.168.150.121 RPC_OUT_DATA /rpc/rpcproxy.dll firma.loc:6004 443 - 46.146.234.39 MSRPC 404 0 2 0
2013-11-20 02:25:57 192.168.150.121 RPC_IN_DATA /rpc/rpcproxy.dll firma.loc:6001 443 - 46.146.234.39 MSRPC 404 0 2 0
2013-11-20 02:25:57 192.168.150.121 RPC_OUT_DATA /rpc/rpcproxy.dll firma.loc:6001 443 - 46.146.234.39 MSRPC 404 0 2 0
2013-11-20 02:26:00 192.168.150.121 RPC_IN_DATA /rpc/rpcproxy.dll firma.loc:6002 443 - 46.146.234.39 MSRPC 404 0 2 15
2013-11-20 02:26:00 192.168.150.121 RPC_OUT_DATA /rpc/rpcproxy.dll firma.loc:6002 443 - 46.146.234.39 MSRPC 404 0 2 15
2013-11-20 02:26:02 192.168.150.121 RPC_IN_DATA /rpc/rpcproxy.dll firma.loc:6004 443 - 46.146.234.39 MSRPC 404 0 2 15
2013-11-20 02:26:02 192.168.150.121 RPC_OUT_DATA /rpc/rpcproxy.dll firma.loc:6004 443 - 46.146.234.39 MSRPC 404 0 2 0
2013-11-20 02:26:29 192.168.150.121 RPC_IN_DATA /rpc/rpcproxy.dll firma.loc:6001 443 - 46.146.234.39 MSRPC 404 0 2 15
2013-11-20 02:26:29 192.168.150.121 RPC_OUT_DATA /rpc/rpcproxy.dll firma.loc:6001 443 - 46.146.234.39 MSRPC 404 0 2 0
2013-11-20 02:26:31 192.168.150.121 RPC_IN_DATA /rpc/rpcproxy.dll firma.loc:6002 443 - 46.146.234.39 MSRPC 404 0 2 0
2013-11-20 02:26:31 192.168.150.121 RPC_OUT_DATA /rpc/rpcproxy.dll firma.loc:6002 443 - 46.146.234.39 MSRPC 404 0 2 0
2013-11-20 02:26:33 192.168.150.121 RPC_IN_DATA /rpc/rpcproxy.dll firma.loc:6004 443 - 46.146.234.39 MSRPC 404 0 2 0
2013-11-20 02:26:33 192.168.150.121 RPC_OUT_DATA /rpc/rpcproxy.dll firma.loc:6004 443 - 46.146.234.39 MSRPC 404 0 2 15
2013-11-20 02:26:46 192.168.150.121 RPC_IN_DATA /rpc/rpcproxy.dll firma.loc:6002 443 - 46.146.234.39 MSRPC 404 0 2 15
2013-11-20 02:26:46 192.168.150.121 RPC_OUT_DATA /rpc/rpcproxy.dll firma.loc:6002 443 - 46.146.234.39 MSRPC 404 0 2 15
2013-11-20 02:26:48 192.168.150.121 RPC_IN_DATA /rpc/rpcproxy.dll firma.loc:6004 443 - 46.146.234.39 MSRPC 404 0 2 0
2013-11-20 02:26:48 192.168.150.121 RPC_OUT_DATA /rpc/rpcproxy.dll firma.loc:6004 443 - 46.146.234.39 MSRPC 404 0 2 0
2013-11-20 02:27:03 192.168.150.121 RPC_IN_DATA /rpc/rpcproxy.dll firma.loc:6001 443 - 46.146.234.39 MSRPC 404 0 2 0
2013-11-20 02:27:03 192.168.150.121 RPC_OUT_DATA /rpc/rpcproxy.dll firma.loc:6001 443 - 46.146.234.39 MSRPC 404 0 2 15
2013-11-20 02:27:20 192.168.150.121 RPC_IN_DATA /rpc/rpcproxy.dll firma.loc:6002 443 - 46.146.234.39 MSRPC 404 0 2 0
2013-11-20 02:27:20 192.168.150.121 RPC_OUT_DATA /rpc/rpcproxy.dll firma.loc:6002 443 - 46.146.234.39 MSRPC 404 0 2 0
2013-11-20 02:27:22 192.168.150.121 RPC_IN_DATA /rpc/rpcproxy.dll firma.loc:6004 443 - 46.146.234.39 MSRPC 404 0 2 15
2013-11-20 02:27:22 192.168.150.121 RPC_OUT_DATA /rpc/rpcproxy.dll firma.loc:6004 443 - 46.146.234.39 MSRPC 404 0 2 15

Алексей Богомолов (Alexx) комментирует...

Так может действительно файла нет? Вы смотрели?
Попробуйте сделать Reset Virtual Directory.

Максим Попов комментирует...

Я правильно понимаю, что файл надо искать в IIS? В дефол сайт его действительно нет. Но как создать его? На каком этапе он создается? И вообще насколько критично что его нет, что он выполняет?

Максим Попов комментирует...

Правильно ли я понимаю, что именно с его помощью проксируется запросы аутлуков? Если так, то вопросы выше остаются актуальными

Алексей Богомолов (Alexx) комментирует...

Файл должен быть в папке Windows\System32\RPCProxy\

Максим Попов комментирует...

У меня даже директории такой нету... Ткните, плз, меня мордой в ту часть инструкции, где должен создаться этот раздел. Или какой-нить сторонний ман по фиксу этой проблемы...

Максим Попов комментирует...

Мдя.... Вот до чего доводят админа разноплановость... Компонент RPC over HTTP Proxy поставил, тестирую

Максим Попов комментирует...

Все получилось. После установки компоненты больше делать ничего не пришлось, спасибо за помощь!!

Дмитрий Шмаков комментирует...

Доброго дня, а у меня вот например такая проблема, на сервере стоит трафик инспектор (далее ТИ) раздает пользователям инет. Ставлю им Оутлук 2010, не работает, где прописать проксю не найду, в THE BAT прописываю проксю все работает, почта идет, а как оутлук пропустить не соображу, подскажите пожалуйста!

Алексей Богомолов (Alexx) комментирует...

Что конкретно не работает? Отправка\получение почты или подключение к серверу Exchange? Если Outlook находится в локалке, то зачем прокси?

Дмитрий Шмаков комментирует...

Exchange нету, инет идет в сервер с установленным ТИ, оттуда раздается пользователям, ТИ это проски

Алексей Богомолов (Alexx) комментирует...

Outlook использует прокси, настроенный в системе - смотрите настройки Internet Explorer`a

Дмитрий Шмаков комментирует...

увы не помогает, говорят не верно это предположение(

Алексей комментирует...

Большое спасибо за статью, очень помогла в настройке Exchange.

Йазь Петрович комментирует...

К сожалению пишет ошибку - Невозможно завершить действие. Отсутствует подключение к Microsoft Exchange.
на этапе добавления пользователя (

Йазь Петрович комментирует...

ып, исправлю - на этапе Поиск параметров сервера он выдает ошибку - зашифрованное подключение к серверу недоступно. впрочем незашифрованное тоже

Sergey Bakshtay комментирует...

здравствуйте. помогите пожалуйста в настройке outlook anywhere (outlook 2007, Exchange 2010 sp3) на windows xp.
суть проблемы в том что не работает мастер добавления новой учетной записи.
этапы установка сетевого подключения и поиск параметров проходят успешно,
а вот выполнить вход на сервер не получается (постоянно запрашивает пароль). если настраивать руками
и убрать галку "Подключаться только к прокси-серверам,
содержащим это основное имя в своем сертификате" подключение происходит,
но при каждом запуске оутлук спрашивает пароль. машина с win xp не в домене,
корневой сертификат импортирован, подключение через owa без проблем.
в сертификате для ексченжа 2 поля, 1-ое для mail.mydomain.local
2-ое для autodiscover.mydomain.local, на машинах с win7 мастер добавления новой учетки
работает без ошибок, (пароль сохраняется и в настройках стоит галка "Подключаться только к прокси-серверам...").
проблема №2: оутлук работает, но если происходит разрыв сетевого подключения иногда самопроизвольно
галка "Подключаться только к прокси-серверам,содержащим это основное имя в своем сертификате"
устанавливается сама, и пароль не проходит до тех пор пока руками не уберешь эту галку.

Алексей Богомолов (Alexx) комментирует...

Какое имя используется в настройках Outlook Anywhere? Какой тип проверки подлинности?

Sergey Bakshtay комментирует...

в настройках Outlook Anywhere используется имя mail.mydomain.local тип проверки подлинности NTLM

Алексей Богомолов (Alexx) комментирует...

Откройте ссылку https://mail.mydomain.local/rpc/rpcproxy.dll в браузере !Internet Explorer! - что вы видите?

Sergey Bakshtay комментирует...

появляется окно авторизации ввожу логин/пароль, открывается пустая страница

Sergey Bakshtay комментирует...

находясь внутри в одной локальной сети с ексченжем, открываю ссылку https://exchange_local_IP/rpc/rpcproxy.dll также открывается окно авторизации, но логин/пароль не проходит. TMG нет, на роутере проброшены 25-ый и 443-ий порт, OWA и почта бегает

Алексей Богомолов (Alexx) комментирует...

Если у Вас выставлено NTLM на виртуальном каталоге, то с доменной машинки не должно появляться окно ввода логина и пароля. Смотрите в сторону трафика, скорее всего он идет через какой-нить прокси. Попробуйте в IE поставить в исключения для прокси данные адреса.

Sergey Bakshtay комментирует...

машина, которая находится в одной локальной сети с ексченжем НЕ в одном домене с ним, аналогично, машина, на которой открываю https://mail.mydomain.local/rpc/rpcproxy.dll не в домене, прокси нет, шлюз для ексченжа обычный роутер. можно ли вас попросить удаленно глянуть настройки ексченжа? вопрос для меня оч. актуальный, а помощи попросить не у кого... (((

Алексей Богомолов (Alexx) комментирует...

"удаленно глянуть настройки" - не получится, сорри.
Сколько IP адресов на сетевой карте на Exch сервере? Посмотрите IIS -> вирт. каталог RPC -> Authentication, там должны стоять галки на Basic и Windows Integrated.
Посмотрите Bindings в IIS`e для default web site, все ли там правильно в плане IP адресов для HTTPS?
Посмотрите что трафик до Exch`a вообще доходит, т.е. вы должны увидеть коннекты в IIS логе c:\inetpub\logs - там смотреть стройки \rpc и в конце HTTP коды - 401-проблема с авторизацией, 200-все ОК.

Sergey Bakshtay комментирует...

проблема решилась созданием правильного сертификата: значение в поле Субьект и в Дополнительном имени субъекта должно совпадать и командой Set-OutlookProvider EXPR -CertPrincipalName:"msstd:mail.mydomain.local"
столкнулся со след. проблемой: outlook оч медленно прикрепляет файлы, ф. размером 3мб прикрепляется 2 мин, ексченж "сидит" на 20/10 мбитном канале, который загружен на 10-15%, подскажите в какую сторону копать?

Алексей Богомолов (Alexx) комментирует...

Странно. А если через OWA прикреплять?

Анонимный комментирует...

Оутлук 2010 версия 14,0,5128, настройки указной на рисунке 8 нет, как ее активировать?

Andrey Semenikhin комментирует...

Алексей, добрый день!
Надеюсь тема еще не мертва)
Не являюсь почтовым админом, и настройкой exchange никогда не занимался(не считая exchange 2003,но там autodiscove не было), но все бывает в первый раз.
Возникла необходимость поставить exchange 2007, клиенты outlook 2007. На сервере(у хостера) поднят и контроллер и сам ексченж. Все работает, кроме постоянно всплывающего окна авторизации autodiscover, у юзеров. Юзеры не в домене, они по большей части мобильные, либо работают с аутлук в терминале. Терминальник соответственно тож не в домене(с незапамятных времен еще).
Сервер смотрит мордой в мир. Что я сделал не так или где и куда копать? Заранее, спасибо! Не пинайте больно)

Юрий Ходоренков комментирует...

Коллеги, может кто сталкивался?
Есть сервер exchange 2010, исторически сложилось, что он на КД (знаю, знаю, планируем разносить роли). Сегодня начались какие-то глюки с авторизацией NTLM удаленных клиентов работающих на Thunderbird, все время требует пароль и не хочет отправлять почту (обычная проверка подлинности работает нормально), отсюда вопрос, куда копать?

Кирилл Гатауллин комментирует...

Подскажите, пожалуйста... почта работает и снаружи по адресу mail.mysite.ru и внутри с настройками на server.domain.local, настраиваю почту снаружи, подключаюсь к доменной сети, настройки аутлука автоматически меняются на внутрисетевые, а вот когда устройство (MacBook и Outlook for Mac) отключаем от доменной сети, настройки почты клиента остаются на доменное имя, соответственно почта не ходит, пока не изменишь настройки вручную. Вопрос... как запретить автоизменение настроек почты при подключении к доменной сети всего одному пользователю? В настройках клиента такого нет, вот думаю может где-то в разрешениях autodiscover это можно?

Andro Muteli комментирует...

привет, 4 года назад настраивал по твоему манулу почтовик, всё работало отлично. но тут мне понадобилось перенести всё с одного сервера на другой и столкнулся с весьма необычной проблемой. через мобильные устройства не могу получить настройки сервера :) те если на айфоне выбрать exchange и ввести почту и пароль, то раньше он сам получал все настройки, то сейчас надо вручную вводить. не пойму куда копать :( тесты все проходят нормально, аутодискавер работает, но вот почтовые настройки не хочет раздавать

Алексей Богомолов (Alexx) комментирует...

Пороверьте ActiveSync и ActiveSync+Autodiscover через https://testconnectivity.microsoft.com/

Анонимный комментирует...

Вот такое выдал.

Отправить комментарий