Помогите пожалуйста с задачей публикации autodiscovery через ISA.
Значит симптомы такие:
Коннектимся по RPCoHTTPS, клиент нормально соединяется, загружает почтовый ящик и подвисает значок в трее на синхронизации автономной адресной книги. Минут 20 выжидал, этот этап так там и светится с свойствах подключения Outlook.
Проверяем «Проверить автоконфигурацию эл. Почты» – по выдает «HTTP Code500».
При коннекте через бразуер (ффокс) – “600 Недопустимый запрос” после авторизации на форме Isa.
Сертификаты собственные, но нормально выписанные через шелл, внедренные под локальной учетной записью компьютера в ису, с закрытым ключом, с SAN всех необходимых хостов.
Autodiscover опубликован в общем правиле публикования Outlook Anywhere в закладке “Внешних имен”.
В логах аутлука ничего не наблюдаю. Можно поднять уровень протоколирования? У меня – 2008.10.06 12:16:08 <<<< Logging Started (level is LTF_TRACE) >>>>
Заранее благодарен за помощь.
16:47 Октябрь 8, 2008
fx_55
Member
posts 28
2
0
Друзья, неужели никто такое не встречал?
08:48 Октябрь 9, 2008
Pavel Nagaev
Novorossiysk
Admin
posts 1617
3
0
Искать в Google: «exchange autodiscovery troubleshooting»
Я не сталкивался, копать сейчас не могу, занят. Сорри.
Всего хорошего.
10:14 Октябрь 10, 2008
fx_55
Member
posts 28
4
0
Павел, да я и рассчитывал только на имеющееся уже решение или на четкие указания: что и где надо бы проверить, на что внимание обратить.
В гугле копал, статью знаю.
10:33 Октябрь 15, 2008
fx_55
Member
posts 28
5
0
Решил задачу переводом внутрисетевого соединения ISA и ExCAS с SSL на простое HTTP соединение. (В закладке «мост» в правиле публикации – перенаправлять на 80 порт). Естественно и настройки в IIS и консоли Exchange тоже подправил согласно этому изменению.
Видать ISA хочет либо wildcard-Сертификат, либо чтобы autodiscover.domain.ru было именно в CN, а не SAN.
05:57 Октябрь 19, 2008
Joker
Member
posts 10
6
0
«Видать ISA хочет либо wildcard-Сертификат, либо чтобы autodiscover.domain.ru было именно в CN, а не SAN.»
В каком-то смысле это известная проблема:
Однако в SP1 это должно было быть пофиксено.
Думаю, что Ваша проблема в чем-то другом.
12:57 Октябрь 21, 2008
fx_55
Member
posts 28
7
0
Спасибо Вам за ответ.
Да, ISA 2006 SP1 у нас была уже изначально в конфигурации. Ссылку я видел эту уже, что пофиксено тоже знал.
13:27 Октябрь 21, 2008
Pavel Nagaev
Novorossiysk
Admin
posts 1617
8
0
Так решили?
Всего хорошего.
10:48 Октябрь 22, 2008
fx_55
Member
posts 28
9
0
Павел, извините, я не понял Ваш вопрос. :)
Я выше написал, что решил этот вопрос вот частным решением, вариантом. Autodiscover при соединении RPCoHTTPS заработал.
Joker выразил сомнение в правильности диагноза причины происходящего. Я же могу сказать, что соединения клиента с ISA и ISA с ExCAS по SSL в плане взаимодействия с сертификатами, видать, различаются. Моя мысль, что взаимодействие с SAN в ISA 2006 SP1 сделано только при соединении клиента с ISA, а при уже внутреннем соединении ISA и EXCAS, при публикации его, это не прокатывает, т. е. ISA возможно начинает сопоставлять внешнее имя только с CN сертификата на IIS CAS. (Это только мои мысли, а не утверждение.)
Добавлю, что в правиле публикации autodiscover в ISA в «правило проверки» ISA по-прежнему ругается на то, что:
1. Внутренний путь URL-адреса был определен как часть правила публикации сервера SharePoint или Exchange.
Хотя я вынес путь /autodiscover/* из правила публикации Outlook Anywhere.
2. В закладке «Прослушиватель» правила публикации autodiscover ISA пишет «Для выбранного веб-прослушивателя не настроены сертификаты, совпадающие с одним или несколькими внешними именами, определенными в данном правиле».
Здесь я думаю, как раз и говорится о сути проблемы, что ISA по-прежнему смотрит на CN в сертификате на прослушивателе.
Попробовать такой вариант мне подсказал Microsoft PTS, но я уже и сам о нем к тому времени подумывал, ну или взять ещё 1 внешний ип, внутренний ип, создать ещё один прослушиватель и повесить на него отдельный сертификат с autodisocver.domain.ru в CN.
13:56 Ноябрь 5, 2008
fx_55
Member
posts 28
10
0
Так, думаю мне придется согласиться с Joker.
Заработало немного при других условиях, оказывается.
Вообщем при строгом условии (все проверял):
1. Должны быть установлены все апдейты к MS Office 2007 SP1 по сей день, уточняю, что при просто Office 2007 SP1 был HTTP 500.
Тестировал на Windows XP SP3 RUS + все апдейты тоже по сей день.
2. Сертификаты корневого центра сертификации и сертификаты хоста(ов) должны быть установлены в систему (доверенные корневые центры сертификации) ПОД УЧЕТНОЙ ЗАПИСЬЮ КОМПЬЮТЕРА, как и при установке их на ISA 2006.
Повторю, отказывалось работать (HTTP 500) либо при отсутствии сертификатов в п.2, либо при просто Office 2007 SP1, но установленных сертификатов в п.2.
Так что уж не уверен, помог ли перевод внутрисетевого соединения ISA и ExCAS на НЕ-SSL соединение.
02:02 Ноябрь 7, 2008
Oleg Krylov
Russia, Samara
Admin
posts 337
11
0
Даже если и помог, это не означает, что решение правильно.
Записи
Topic RSS 
