Установка сертификата для OWA в Exchange 2010
Posted by admin on 14.12.
2012 in Exchange 2010 | ∞
При подключении к почте Exchange 2010 через веб-интерфейс (OWA) пользователи могут видеть сообщение об ошибке сертификата, которое их зачастую пугает либо вообще создает непонимание того, что происходит. Многое пользователи при этом обращаются в свою службу техподдержки, сообщая, что-то вроде следующего:— У меня в эксплоере белая страница— У меня почта не работает— У меня интернет не работает
— У меня ничего не работает.
Чтобы избежать затрат времени на диагностику проблемы и снизить уровень негатива в адрес IT-подразделения компании можно настроить сертификацию и закрыть этот вопрос.
1. Установка центра сертификации в домене
На сервере под управлением 2008 R2, например, на контроллере домена запускаем Server Manager (Диспетчер сервера) и добавляем роль (ссылкой Add Roles) «Active Directory Certificate Services»
Кнопка Next>
Кнопка Add Required Role Services
Отмечаем верхние 2 пункта (остальной по желанию)
Задаем срок действия сертификатов, выданных этим центром сертификации
2. Настройка центра сертификации
По умолчанию центр сертификации генерирует сертификаты, которые обслуживают только по одному имени субъекта. Т.е. для каждого имени нужно генерировать отдельный сертификат. Чтобы разрешить выпуск сертификатов с несколькими альтернативными именами субъектов, необходимо на сервере с ролью Центра сертификации выполнить команду:
certutil -setreg policyEditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
и перезапустить службы сертификации:
net stop certsvc & net start sertsvc
3. Запрос сертификата для сервера Exchange 2010
В консоли управления Exchange Server 2010: Server Configuration – правый клик на имени сервера (либо в правой нижней области) – New Exchange Certificate
Вводим понятное имя создаваемого сертификата (можно кириллицей), например, «Доменный сертификат Exchange», кнопка Next.
Страницу Domain Scope (Область домена) пропускаем. Дальше интересное:
На странице Exchange Configuration (Конфигурация сервера Exchange) разворачиваем узел Client Access server (Outlook Web App)
и устанавливаем оба флажка:— Outlook Web App is on the Intranet— Outlook Web App is on the InternetПроверяем, чтобы во втором поле было указано корректное имя, на которое ссылается MX запись для вашего домена на внешних DNS серверах.
Разворачиваем узел Client Access server (Exchange ActiveSync). Должен быть установлен флажок Exchange Active Sync is enabled
Разворачиваем Client Access server (Web Services, Outlook Anywhere, and Autodiscover) и вводим то же имя для внешнего узла. Также должен быть установлен флажок Autodiscover used on the Internet и выбран параметр Long URL (Example: autodiscovet.contoso.com). В поле Autodiscovet URL to use: оставляем только autodiscover.. Кнопка Next.
На странице Certificate Domains нажимаем кнопку Next
Заполняем страницу Organization and Location (можно кириллицей)
Нажимаем кнопку Browse, задаем имя файла (например, CertRequest) и сохраняем его. Завершаем создание сертификата
4. Получение сертификата из центра сертификации
Находим только что сохраненный файл CertRequest.req и открываем его в Блокноте. Ctrl+A, Ctrl+C (сохраняем содержимое файла в буфер обмена) и закрываем Блокнот.
На своем ПК (на клиентском ПК администратора) запускаем IE и вводим адрес http://dc01/certsrv, где dc01 – имя сервера, на котором установлен центр сертификации.
В списке задач нажимаем ссылку Request a certificate (Запросить сертификат) и на следующей странице advanced certificate request (Расширенный запрос сертификата).
Выбираем самый длинный пункт Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file. На следующей странице ставим курсор в поле SavedRequest: и нажимаем Ctrl+V. Т.е. вставляем содержимое файла CertRequest.req
В списке CertificateTemplateвыбираем Web Server и нажимаем кнопку Submit, затем ОК.
Щелкаем по ссылке Загрузить сертификат и сохраняем его на диске (например, под именем certnew.cer). После загрузки открываем его и проверяем, что на вкладке Details есть пункт Subject Alternative Name, который содержит несколько дополнительных имен.
5. Импорт и назначение сертификата
В консоли управления Exchange Server 2010: Server Configuration – выбираем свой сервер Exchange и в правой нижней области правый клик по вновь созданному пункту «Доменный сертификат Exchange» – Complete Pending Request (Выполнить ожидающий запрос).
На странице Complete Pending Request нажимаем кнопку Browse, находим на диске сертификат certnew.cer, загруженный из центра сертификации и импортируем его сюда.
Снова делаем правый клик по «Доменный сертификат Exchange» и выбираем пункт Assign Services to Certificate (Назначение служб сертификату). На сранице выбора серверов в списке должен быть указан наш сервер, для которого назначается сертификат. На странице Select Services (Выбор служб) устанавливаем флажок IIS
Далее, назначить, готово.
6. Распространение сертификата
В домене сертификат распространится автоматически вместе с обновлением групповых политик. Для немедленного тестирования можно на клиенте выполнить команду
gpupdate /force
На компьютерах, не входящих в домен можно импортировать сертификат. Причем, желательно импортировать не конкретный сертификат службы, а сразу взять сертификат нашего центра сертификации, чтобы в следующий раз не нужно было делать это повторно. Для этого снова обращаемся к веб-интерфейсу центра сертификации в браузере: http://dc01/certsrv/
Выбираем нижний пункт Download a CA certificate, certificate chain, or CRL. Метод кодирования оставляем DER. Переходим по ссылке Download CA certificate chain. И сохраняем файл с расширением .p7b.
Передаем этот файл клиенту.
На клиенте правый клик по файлу сертификата, выбираем пункт Установить сертификат, переводим переключатель в положение Поместить все сертификаты в следующее хранилище, Обзор, Доверенные корневые центры сертификации, ОК, Далее и т.д.После этих манипуляций при подключении к OWA в браузере уже не должно появляться пугающих предупреждений вроде этого:
компьютеры и операционные системы
I. Обычная проверка подлинности (basic) и проверка подлинности Kerberos не поддерживается. Возможность отсылать имя пользователя и пароль автоматически при данном режиме проверки не предусмотрена.
II. Необходимо сохранить пароли в профиле пользователя.
I. Для изменения механизма проверки подлинности клиента Outlook и установления проверки NTLMвыполните следующие действия в зависимости от версии почтового клиента.
Для следует сделать следующее:
1. Запустите Microsoft Office Outlook 2003.
2. В меню «Сервис» выберите пункт .
3. Выберите пункт «Просмотреть или изменить имеющиеся учетные записи» и нажмите кнопку «Далее».
4.
На вкладке «Outlook обрабатывает почту для этих учетных записей в следующем порядке» выберите «Microsoft Exchange Server», и нажмите «Изменить».
5. На странице «Настройки Exchange Server»нажмите кнопку «Другие настройки».
6. Перейдите на вкладку «Подключение».
7.
В случае, если установлена галочка «Подключение к почтовому ящику Exchange по протоколуHTTP» нажмите на кнопку .
8. В разделе выберите «Проверка подлинности NTLM» из списка .
9. Нажмите кнопку «ОК».
10. Выберите вкладку «Безопасность»
11.
Выберите из списка «Безопасный вход в сеть» вариант «Проверка пароля NTLM»
12. Нажмите кнопку «ОК».
13. Снова нажмите кнопку «OK»Outlook
14.
Нажмите кнопку «Далее», а затем «Готово».
15. Перезапустите программу.
Для следует сделать следующее:
1. Запустите Microsoft Office Outlook 2007.
2. В меню «Сервис» выберите пункт «Настройка учетных записей».
3. На странице «Учетные записи электронной почты» выберите «Microsoft Exchange», и нажмите «Изменить».
4. На странице «Настройки Exchange Server» нажмите кнопку «Другие настройки».
5. Перейдите на вкладку «Подключение».
6. В случае, если установлена галочка «Подключение к Microsoft Exchange по протоколу HTTP» нажмите на кнопку «Параметры прокси-сервера Exchange».
7. В разделе «Параметры проверки подлинности для прокси-сервера»выберите «Проверка подлинности NTLM» из списка «Способ проверки подлинности при подключении к прокси-серверу Exchange».
8. Нажмите кнопку «ОК».
9. Выберите вкладку «Безопасность»
10.
Выберите из списка «Безопасный вход в сеть» вариант «Проверка пароля NTLM»
11. Нажмите кнопку «ОК».
12. Снова нажмите кнопку «OK» в ответ на предложение перезапустить Outlook для вступления изменений в силу.
13. Нажмите кнопку «Далее», а затем «Готово».
14.
Перезапустите программу.
II. Для добавления или изменения паролей в профиле пользователя необходимо выполнить следующие действия:
1. Нажмите «Пуск» — «Выполнить», в строке укажите следующую команду: control keymgr.
dll
2. Нажмите «Добавить»
3. В поле «Сервер» (или «Интернет адрес») укажите *.exch.hc.ru
4. В полях «Имя пользователя» и «Пароль» укажите реквизиты почтового ящика.
Программа Outlook 2010 – одно из самых популярных почтовых приложений в мире.
Это обусловлено высокой стабильностью работы, а также тем, что производителем данного клиента является бренд с мировым именем – Microsoft. Но, несмотря на это, и у этой программы случаются ошибки в работе.Давайте выясним, чем вызвана в Microsoft Outlook 2010 ошибка «Отсутствует подключение к Microsoft Exchange», и как её устранить.
Самой распространенной причиной данной ошибки является ввод неверных учетных данных. В этом случае, нужно внимательно перепроверить вводимые данные. В случае необходимости, связаться с администратором сети для их уточнения.
Неправильная настройка учетной записи
Одной из самых частых причин возникновения данной ошибки является неправильная настройка учетной записи пользователя в Microsoft Outlook. В этом случае, нужно удалить старую учетную запись, и произвести создание новой.
Для создания новой учетной записи в Exchange, нужно закрыть программу Microsoft Outlook. После этого, заходим в меню «Пуск» компьютера, и переходим в Панель управления.
Затем, кликаем по пункту «Почта».
В открывшемся окне, жмем на кнопку «Учетные записи».
Открывается окно с настройками учетных записей. Жмем на кнопку «Создать».
В открывшемся окне, по умолчанию переключатель выбора службы должен стоять в положении «Учетная запись электронной почты». Если это не так, то ставим его в данную позицию. Жмем на кнопку «Далее».
Открывается окно добавления учетной записи. Переставляем переключатель в позицию «Настроить вручную параметры сервера или дополнительные типы серверов». Кликаем по кнопке «Далее».
На следующем этапе переключаем кнопку в позицию «Сервер Microsoft Exchange или совместимая служба». Жмем на кнопку «Далее».
В открывшемся окне, в поле «Сервер» вводим имя сервера по шаблону: exchange2010.(домен).ru.
Галочку около надписи «Использовать режим кэширования» стоит оставлять только тогда, когда вы выполняете вход из ноутбука, или находясь не в главном офисе. В остальных случаях её нужно убрать.
В графе «Имя пользователя» вводим логин для входа в Exchange. После этого, жмем на кнопку «Другие настройки».Во вкладке «Общие», куда вы сразу переместитесь, можете оставить наименования учетной записи по умолчанию (как и в Exchange), а можете заменить на любую удобную для вас. После этого, переходим во вкладку «Подключение».
В блоке настроек «Мобильный Outlook» ставим флажок напротив записи «Подключение к Microsoft Exchange по протоколу HTTP». После этого, активируется кнопка «Параметры прокси-сервера Exchange». Кликаем по ней.
В поле «Адрес URL» вводим тот же адрес, который вводили ранее при указании наименования сервера. Способ проверки должен быть указан по умолчанию, как «Проверка подлинности NTLM». Если это не так, то заменяем на нужный вариант. Жмем на кнопку «OK».
Вернувшись во вкладку «Подключение», жмем на кнопку «OK».
В окне создания учетной записи жмем на кнопку «Далее».
Если вы все сделали правильно, то учетная запись создана. Жмем на кнопку «Готово».
Теперь можно открывать Microsoft Outlook, и заходить в созданную учетную запись Microsoft Exchange.
Устаревшая версия Microsoft Exchange
Ещё одной причиной, по которой может возникать ошибка «Отсутствует подключение к Microsoft Exchange», является устаревшая версия Exchange. В этом случае, пользователь может лишь, пообщавшись с администратором сети, предложить ему перейти на более современное программное обеспечение.
Как видим, причины описываемой ошибки могут быть совершенно различными: от банального неправильного ввода учетных данных до неверных настроек почты. Поэтому, каждая проблема имеет свое отдельное решение.
С недавнего времени (примерно с месяц назад, точно уже не скажу) появилась следующая проблема. При попытке настроить Outlook на подключение к Exchange первый выдает ошибку:
«Отсутствует подключение к Microsoft Exchange. Для завершения операции требуется постоянное или временное подключение Outlook к серверу.»
Ошибка возникает в любом случае, пишется имя сервера в виде короткого имени, полного или в виде IP адреса.Сетевой адрес клиента выдается через DHCP, оттуда же берутся адреса DNS серверов и маршрута по умолчанию.
Все работает, имя, как сервера, так и машинки резолвится в обе стороны, пакеты между сервером и клиентом ходят нормально, открываются даже шары (на сервере их нет, ходил на административные), вроде как все путем. Но — ни в какую. Причем под любым пользователем домена. В логах сервера и клиента пусто.
Начали эксперементы. Как оказалось, переустановка Outlook (с чисткой реестра и тому подобное) не помогает. Не помогает сброс сетевых настроек. Сброс протокола TCP не помогает. Более того — не помогает и переустановка Windows.
Проблема наблюдалась лишь на некоторых машинах, потому до поры до времени забили (в связи с сокращениями свободных машин предостаточно), но проблема переодически проявлялась, было понятно что это началось не просто так, потому решил докопаться до причины.
Дальнейшие эксперементы показали что ошибка при подключении существует только для новых профилей. Те, у кого уже был настроен Outlook на этой же машине все работает нормально.
Проблема существует для всех (двух) почтовых серверов. Воткнуты в разные свитчи.
И в конце концов путем биения головой об стену была найдена закономерность — если у машины последняя октета IP адреса четная — ошибка имеет место. Если нечетная — проблема отсутствует. Этим собственно и объяснялось то, что переустановка Windows ничего не давала — на DHCP сервере для этого MAC адреса была резервация, и машина стабильно получала тот же IP адрес.
Сеть построена на HP и Cisco, клиенты проходят абсолютно разные расстояния через разное количество свитчей (нормальной СКС нет, все так как досталось от прошлого), проблема наблюдается так же и на сервере терминалов который воткнут в один свитч с почтовым.
Возможно все просто. Но у меня пока что лишь удивленный смех. Кто знает?
PS Я не очень люблю писать такие длинные пространные посты, но все таки пятница)
В локальной сети (LAN) Outlook 2010 и Outlook 2007 взаимодействуют с сервером Microsoft Exchange Server с помощью удаленного вызова процедур (RPC) с использованием протокола TCP/IP. В корпоративной сети этот метод обеспечивает быстрый и эффективный доступ.
Однако когда вы находится за пределами брандмауэра организации, например дома или в поездке, для доступа к серверу Exchange обычно требуется подключение к сети организации посредством виртуальной частной сети (VPN).
Виртуальная частная сеть предоставляет вам подключение внутри корпоративной сети и внутри ее брандмауэра.Она также предоставляет доступ к большему количеству сетевых ресурсов, чем это необходимо для работы только с электронной почтой.
Для удаленных подключений в программе Outlook имеется средство «Мобильный Outlook» — альтернатива подключению через виртуальную частную сеть — которое позволяет работать с Outlook, как в организации, без использования специальных аппаратных средств и подключений (смарт-карт и маркеров безопасности). Программа Outlook может подключиться к серверу Exchange через Интернет с использованием удаленного вызова процедуры и протокола HTTP. Средство «Мобильный Outlook» позволяет получить доступ к учетной записи Exchange через Интернет при работе за пределами брандмауэра организации.
Для использования мобильного Outlook должны выполняться указанные ниже требования.
- Ваша учетная запись размещается в Microsoft Exchange Server 2016, Exchange Server 2013, Exchange Server 2010, Exchange Server 2007 или Exchange Server 2003.В случае с Exchange Server 2003, 2007 и 2010 администратор Exchange должен разрешить на сервере подключения через HTTP. Дополнительные сведения о настройке этой возможности администраторы Exchange могут найти в наборе ресурсов для Microsoft Office и в документации по Microsoft Exchange.Для Exchange Server 2013 и 2016 мобильный Outlook включен по умолчанию, так как все подключения Outlook осуществляются через него. Все, что нужно сделать после развертывания для успешного использования мобильного Outlook, — это установить действительный SSL-сертификат на сервере клиентского доступа. Для почтовых серверов в организации требуется только самозаверяющий SSL-сертификат по умолчанию.Дополнительные сведения см. в статье Мобильный Outlook .
Включение средства «Мобильный Outlook» в программе Outlook
Для Outlook 2007 и 2010 администратор сервера Exchange может автоматически настроить все копии Outlook в организации или предоставить специальный исполняемый файл скрипта, запускающий мобильный Outlook. Мобильный Outlook можно также настроить вручную, если соблюдены системные требования и известен правильный URL-адрес и сведения о безопасности, предоставляемые администратором сервера Exchange.
Outlook 2013 и Outlook 2016 больше не поддерживают профили Exchange, настроенные вручную. Чтобы включить мобильный Outlook, администраторам Outlook 2013 и Outlook 2016 необходимо настроить автообнаружение. Дополнительные сведения см. в статьях
Ошибка при обновлении Exchange Offline Address Book в Outlook 2010/2013 — Task reported error (0x8004010F): The operation failed. An object cannot be found
В нашей корпоративной системе регистрации заявок от пользователей не так давно был зарегистрирован инцидент. Пользователь пожаловался на то, что в его почтовом клиенте Microsoft Outlook перестала обновляться информация из глобального адресного списка предприятия (GAL). При этом при попытке форсировать процесс обновления GAL вручную возникает ошибка:
Task reported error (0x8004010F): The operation failed. An object cannot be found.
Так же, при попытке открыть предопределённые адресные списки, например All Users из раздела All Address Lists….
почтовый клиент выдаёт сообщение:
Не удается отобразить список адресов. Отсутствует подключение к Microsoft Exchange. Для завершения операции требуется постоянное или временное подключение Outlook к серверу.
В то же время, Outlook имеет работоспособное подключение к серверу Exchange и в состоянии отправлять и принимать почту:
Диагностируем проблему
В попытке разрешения проблемы на уровне отдельно взятого клиента был удалён клиентский профиль Outlook с последующей попыткой настройки подключения к серверу Exchange. Однако это привело к схожей ошибке:
Отсутствует подключение к Microsoft Exchange.
Попытаемся диагностировать проблему на стороне сервера Exchange выполнив PS-командлет:
Test-OutlookWebServices | fl | Out-File D:TestsAutodiscover.txt
Проанализировав полученный файл, мы увидели в тестах механизмов Autodiscover и OfflineAddressBook (OAB) любопытные ошибки…
RunspaceId : 429edf83-3c4a-4004-bff8-d433ac710bf2Source : ServerNameServiceEndpoint : autodiscover.corp.firma.comScenario : AutoDiscoverOutlookProviderScenarioDescription : Автообнаружение: поставщик OutlookResult : FailureLatency : 70Error : Microsoft.Exchange.Management.Tasks.ServiceValidatorException: The Autodiscover response did not return a URL for Offline Address Book
…
RunspaceId : 429edf83-3c4a-4004-bff8-d433ac710bf2Source : ServerNameServiceEndpoint : Scenario : OfflineAddressBookScenarioDescription : Автономная адресная книгаResult : SkippedLatency : 0Error : Skipped testing Offline Address Book because the Autodiscover step failed.Verbose : MonitoringEventId : 5004
После этого мы проверили все URL на сервере Exchange для механизмов OAB и Autodiscover, – они были настроены корректно. В конечном итоге проблему помог решить ряд шагов описанных далее.
Решаем проблему
Создаем новую автономную адресную книгу, в которую будут входить все адресаты нашей организации Exchange (название новой OAB должно быть уникальным, то есть отличаться от старого названия):
New-Offlineaddressbook «New Offline Address Book» -AddressLists «Default Global Address List»
Назначаем вновь созданную адресную книгу виртуальным директориям на серверах Exchange Front End (Client Access Server) и Exchange Back End (MailBox Server):
Set-OfflineAddressBook «New Offline Address Book» -VirtualDirectories «NameServerOAB (Default Web Site)», «NameServerOAB (Exchange Back End)»
Далее получаем список баз данных почтовых ящиков и передаём его по конвейеру в PS-командлет определяющий адресную книгу (в нашем случаи вновь созданную) для каждой базы:
Get-MailboxDatabase | Set-MailboxDatabase -OfflineAddressBook «New Offline Address Book»
Затем перезапускаем на каждом сервере службу MSExchangeMailboxAssistants (отвечает за генерацию OAB):
Restart-Service MSExchangeMailboxAssistants
Также перезапускаем пул приложений IIS Application Pool — MSExchangeAutodiscoverAppPool:
Теперь можно удалить “старую” автономную адресную книгу:
Remove-Offlineaddressbook «Default Offline Address Book»
Далее запускаем принудительное формирование автономной адресной книги:
Update-OfflineAddressBook «New Offline Address Book»
При этом обратим внимание на пути, где OAB располагает свои файлы (по умолчанию — C:Program FilesMicrosoftExchange ServerV15ClientAccessOAB). Здесь мы увидим .xml файл OAB:
Если описанная ранее проблема не исчезает после проделанных манипуляций, то возможно дополнительно потребуется полный перезапуск IIS серверах Exchange.
В конечном итоге, в нашем случае адресная книга стала успешно обновляться, а профиль Outlook создался без ошибок. Проверив результаты Test-Outlookwebservices мы убедились в том, что все тесты проходят без ошибок.