|
OWA
Вопрос такой. Как реализовать доступ к OWA из вне. Имею ввиду настройки ДНС у хостера.Какие записи должны присутствовать, чтобы при обращение на сайт www.vasyapupkin.ru происходила переадресация к нашему почтовому серверу. Если есть что-то ещё что нужно сделать - отпишите.
Заранее спасибо. |
Запись А - vasyapupkin.ru = Ваш внешний адрес.
Запись CNAME - www.vasyapupkin.ru = Записи А vasyapupkin.ru Опубликовать 443 порт Exchange на внешний интерфейс Упростить URL-запись OWA - http://technet.microsoft.com/ru-ru/l...EXCHG.80).aspx |
Oleg Krylov,
Как проверить всё это на работоспособность с помощью nslookup |
Немного не понял цель проверки, но в nslookup выставьте type=any и наберите www.vasyapupkin.ru
Редирект URL вы сможете проверить только браузером:) |
Oleg Krylov, Oleg Krylov,
Вопрос - как сделать сертификат для SSL подключения?Я захожу в свойства Exchange в IIS - веб узлы по умолчанию - далее в безопасность каталога, но вкладка сертификат - серая - недоступная. |
Вложений: 1
Вот праатачил принтскрин
|
Странненько... А у ВАС СА на предприятии есть?
|
Oleg Krylov,
есть....установлен на контроллере домена. |
Короче история такая - с сертификатом разобрался.
Сделал сертификат на почтовом сервере экспортировал копию на сервер ISA.На сервере ISA создал правило публикации.Но если в самом listener выставить авторизацию - то окошко с авторизацией при переходе на страницу owa.domain.com появляется - после прохождения авторизация страница 403. Если же отключить авторизации на исе и включить на почтовом сервере, то просто при переходе на ссылку owa.domain.com появляется страница 403. Локально owa работает. В чём косяк?Кто подскажет? |
Косяк в авторизации на IIS exchange. Поставьте Integrated на Default Web Site. А на прослушивателе ISA выставьте, что запросы идут не от клиента, а от сервера ISA.
|
|
Вложений: 1
Вот что имею я
А на прослушивателе так и выставлено. |
я имел ввиду на Default Web Site с наследованием на дочерние каталоги
|
Oleg Krylov,
После долгих настроек итог таков Пускает через обычную проверку данных на owa через локальную сеть, но при попытке войти из вне через опубликованный сайт - Код ошибки: 403 Запрет доступа. Сервер отклонил указанный URL-адрес. Обратитесь к администратору сервера. (12202) |
прочитайте вот тут про настройки OWA
|
AdWeb,
я его публиовал не по ip а по url адресу формата owa.domain.com |
у нас работает как по айпи так и по имени, наскок помню это не имеет значения для работы через веб
|
AdWeb,
то что вы предоставили - уже было выполнено мною. |
Цитата:
Алексей, отследите в логах ISA траффик по 443 порту, и посмотрите по какому правилу запрещается соединение. Можете выдать 2 сертификата: один на прослушиватель ISA с Common Name=FQDN, второй на Exchange с Common name=Имени узла во внутренней сети. На прослушивателе включите авторизацию на основе форм, а на IIS Exchange Basic+Integrated. Условие: на прослушивателе сертификату нужен закрытый ключ. Как его получить... Я получал через IIS Exchange. Механизм будет такой: по шифрованному каналу придет траффик от клиента на ISA, расшифруетсяб проверится ISA, зашифруется и по HTTPS уйдет на Exchange. Только Basic+Integrated должны быть на Default Web Site. |
Oleg Krylov, Я не могу выдать два сомописных сертификата.....
|
они должны быть выданы Вашим СА. В чем конкретно проблема?
Смотри: выдаешь сертификат через оснастку IIS на Exchange на внешний FQDN, экспортируешь его в файл с закрытым ключомБ отправляешь файл на ISA, импортируешь его в хранилище Личные локального компьютера, через оснастку сертификаты, потому что без использования ее импортируется в хранилище пользователя... И цепляешь его на прослушиватель. С Exchange его удаляешь, и создаешь новый с Common Name равный внутреннему FQDN. Вот так примерно :) |
Oleg Krylov,
А я думал его не надоудалятьс сервера Exchange....щас опробую... |
Проблема решена!Неправильный был редирект.Настроили редирект правило перенаправления в isa.
|
"Цитата AdWeb:у нас работает как по айпи так и по имени, наскок помню это не имеет значения для работы через веб »
Неточно помните. " только что проверил из дома, работает как по айпи так и по имени:) мелкософт отстой хоть и приходится его юзать... ЗЫ. в качестве прокси использую керио |
AdWeb,
Попрошу не обсуждать в данном топике свою любовь к продуктам разных компний. |
AdWeb, и это лишний довод в пользу того, что у вас проблемы с безопасностью. Проверка сертификата не выполняется по имени. Это неправильно. Вы используете HTTPS для соединения? Если да, то непонятно, каким образом Вам удалось реализовать в Kerio технологию SAN... А простой маппинг всего траффика на внутренний сервер - это тоже самое, что и отсутствие защиты, как таковой. А платформа не имеет значения, поверьте моему опыту. Стандарты, протоколы и RFC для всех одни. А Holy Wars между платформенниками перенесите на www.xakep.ru ;)
|
разводить холиварс нет никакого желания, нареканий на работу прокси нет вот уже несколько лет,..что касается сертификатов пока разбирался почему не работает RPC over HTTP создал 2 сертиката (имя\айпи)
|
AdWeb, ISA Server после SP1 начал накнец-то понимать SAN (Server Alternate Name) в сертификатах. Удивительная штука, теперь можно хоть десяток имен для узла использовать, и все работает без вопросов. Так что очень рекомендую. На сайте есть Evaluation Version на 180 дней. Зацените, не пожалеете. А проблемы в RPC over HTTP известны, самая частая из них - несовпадение имен сертификата, если OWA просто ругнется на это, но работать будет, то RPC over HTTP (или как сейчас он называется Outlook Anywhere) просто не будет работать, и даже ошибок не покажет, как впрочем и ActiveSync. Вот SAN и решают эту проблему.
|
по поводу сертификатов так и есть... иса ставить не буду тк планируем железное решение в ближайшее время, после знакомства с ексченджем я стал "любить" мелкософт еще больше)
возможно дома, если будет время и желание подыму последнии релизы серверного софта гляну, чего там интереного есть |
| Время: 22:09. |
Время: 22:09.
© OSzone.net 2001-