[cameron]

Цитата petru440:

При открытии из браузера появляется окно TMG. »

это что за окно TMG?
покажите правило павблишинга и листенер.

[petru440]

окно авторизации TMG, где оно просит ввести домен\имя пользователя и пароль.

прослушиватель: сети: внешняя, порт 443, сертификат domain.local, методы проверки подлинности: FBA with AD, Всегда проверять подлинность: нет.
правило: откуда: везде, куда: excahnge.domain.local, Делегирование проверки подлинности: обычная проверка подлинности.

В TMG создано 4 правила публикации: ActiveSync, OWA, AnyWhere и Autodiscover. Последние два отличаются "внешними именами" : у AnyWhere - mail.domain.ru, у autodiscover - autodiscover.domain.ru; для них доступ "все пользователи".

[cameron]

Цитата petru440:

окно авторизации TMG, где оно просит ввести домен\имя пользователя и пароль. »

покажите скрин этого окна.
если там стандартная морда FBA - то всё правильно.

Цитата petru440:

прослушиватель: сети: внешняя, порт 443, сертификат domain.local, методы проверки подлинности: FBA with AD, Всегда проверять подлинность: нет. правило: откуда: везде, куда: excahnge.domain.local, Делегирование проверки подлинности: обычная проверка подлинности. »

вы не могли бы показать скрины?
и test rule тоже.

[petru440]

да там стандартная FBA морда, остальное во вложениях

[cameron]

Цитата petru440:

да там стандартная FBA морда, остальное во вложениях »

если после ввода логина/пароля вы получаете

Цитата:

<?xml version="1.0" encoding="utf-8" ?> - <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006"> - <Response> - <Error Time="10:51:11.4807341" Id="3007185755"> <ErrorCode>600</ErrorCode> <Message>Invalid Request</Message> <DebugData /> </Error> </Response> </Autodiscover>

- то это правильный ответ.

как я понимаю вы аутлуком снаружи цепляетесь?

[petru440]

всё абсолютно так. Наблюдаю за аутлуком http сниффером, и при запросе на https://autodiscover.domain.ru/autod...todiscover.xml получаю ответ 403. Судя по логам на TMG аутлук не проходит авторизацию, хотя на сервере Exchange для AutoDiscover включен анонимный доступ.
З.Ы. https://autodiscover.domain.ru/OAB открывается без всяких запросов...

[petru440]

Еще в логах TMG откладывается перед "Отклоненным соединением"

Разрешенное соединение
Тип журнала: Веб-прокси (обратный)
Состояние: 401 Нет авторизации
Правило: Exchange Autodiscover
Источник: Внешняя (78.31.97.44:50091)
Назначение: Локальный компьютер (192.168.1.135:443)
Запрос: POST http://autodiscover.domain.ru/autodi...todiscover.xml
Информация фильтра: Req ID: 0baa52bd; Compression: client=No, server=No, compress rate=0% decompress rate=0% ; FBA cookie: exists=no, valid=no, updated=no, logged off=no, client type=unknown, user activity=yes
Протокол: https
Пользователь: anonymous


почему везде пользователь: anonymous?
а проблема, мне кажется в : Состояние: 401 Нет авторизации?

[petru440]

заработало послетого, как изменил в правиле публикации параметры делегирования проверки подлинности на "Без делегирования, но клиент может выполнять проверку подлинности"
C точки зрения безопасности это нормально?