Не хоче працювати ActiveSync і Outlook за http
Привітальний колективний розум. Тільки тільки торкнувся Exchange 2010 і ніяк не можу подолати його в плані працездатності ActiveSync і Outlook через http. У цернетах пишуть що для їх роботи достатньо прокинути на сервер з Exchange 443 порт і будить мені щастя, але щастя так і не настає, хоча цілком собі робочий OWA мені кагбе натякає що 443 порт прокинутий. Підкажіть чого треба лагодити і в які логи уважно вчитуватися? Система Server 2008r2, Exchange відповідно 2010 sp2.
Ну і щоб 2 рази не вставати, чи можна якимось комадлетом видалити з усіх ящиків користувача одну папку з усім вмістом?
Але біда, outlook через https так і не хоче підключатися. Може логи де докладні та зі зрозумілими деталями можна подивитися?
Відповіли: 34
По http помоєму не можна, тільки по https. І ActiveSync без нормального засвідченого сертифіката не працюватиме.
Так я розумію, що https, просто в налаштуваннях outlook'a опція називається "підключення до Microsoft Exchange за протоколом http". А нормальний засвідчений сертифікат обов'язково має бути випущений комерційним ЦС чи можна власний ЦС підняти та на його основі налаштувати?
Можна на своєму У мене працюють практично з коробки
Ок. Спробую свій підняти. А для підключення аутлука через https теж необхідний сертифікат або яка інша проблема може бути?
Без сертифіката htttps не підніметься.
Так OWA щось працює. Мабуть який і сертифікат є, ось тільки активіст чогось ніяк не хоче працювати. :(
Так OWA те повідомлення вивалює про сертифікат спочатку?
а rpc over http на сервері увімкнено? мобілки через актив синк і без нього підключаються, оутлук немає
Так і незаробив. :(
Брагодарності! Зараз спробуємо. А зовсім бомж-варіант із самопідписаним сертифікатом не прокотить?
Прокочує, але не гарантує (забудеш імпортувати, як пити дати). Простіше або купувати (потрібен з SAN і wildcard), або розгорнути свій AD CS, призначити публікацію сертифіката ЦС в політиках, на недоменних комп'ютерах - руками імпротирувати. Я на своїх, ADCSних живу, нормально почуваюся.
Ок. дякую за вичерпну відповідь. :) Судя за наданим тобою посиланням тести провалюються якраз через невідповідність сертифікату доменному імені.
так. ситуація один на один по моїх слідах практично ) ми врятувалися, випустивши сертифікати в AD заодно Outlook Anywhere підняли щоб двічі не вставати :D
Тобто. все-таки сертифікат? :)
Активсінк підняв, а ось з Anywhere проблема залишилася. Можна дізнатися детальніше що в який бік крутити?
А ні! Запрацювало! :)
Цій галки немає тільки на продукції MS, щоб відучити їх сертифікати вимагати на WM6.5 і нижче потрібно по присідати з реєстром (WP7 і вище в руки не брав.). Всі інші вміють і так, що огризки, що відроїди, сказав люмінь, вони й згодні.
На Самсунг Омніа (ВП7.5) довелося сертифікат ЦС в базі64 відіслати, хоча саме налаштується (додати акк) він дав, але матюкався і не синкал.
Ні, у мене була інша трабла. Наші адміни прикрутили до Обмінника самопідписний сертифікат і все працювало. А ось чіплятися до офісного WiFi з TKIP/EAP це поділ без сертифікату не хотіло зовсім. У всіх інших мобільних ОС просто не вказуєш сертифікат і все ок, в настільних Win можна зняти галку "вимагати сертифікат", а WM - поки в реєстрі не покрутиш, фігвам! ще цей параметр знайти потрібно.
startssl.com Вам до рук. користуюся, проблем не помічаю поки що.
А як же. Говорить невірить цьому видавцеві. Умовний сертифікат підписаний сервером Exchange.
Ну ось треба запхати сертифікат до Довірених центрів сертифікації і буде щастя)
Ти можеш і на самопідписаному, але ДНС ім'я! Повинне! збігатися. Тож New-ExchangeCertificate і вперед.
Вести з полів. Прикрутив сертифікат і створив новий облік (бо вичитав що під адмінською без шаманства активсінк не запрацює) і диво сталося! Активсінк все почав синхріти! Але біда, outlook через https так і не хоче підключатися. Може логи де докладні та зі зрозумілими деталями можна подивитися?
Бррр. Як ти і передрікав, забув/забив додати сертифікат у довірені центри. Активсинку начхати якщо правильно галочку виставити, а ось аутлуку зовсім немає. Величезне дякую за допомогу! :)
>>Як ти і передрікав забув/забив додати сертифікат у довірені центри Бггг. =)
А для користувачів усередині домену, зроби нову owa/ecp virtual directory (New-OwaVirtualDirectory та інше), повісь на окремий порт (наприклад 1443) і включи NTLM auth. Залишиться додати ім'я DNS (mail.domain tld) в "Сайти Інтрамережі" в IE, і прописати в homepage. Зручно до усрачки, юзвер запустив IE – одразу бачить нову пошту.
Також: перевір що у тебе правильно працює autodiscover, як усередині мережі, так і зовні, Аутлук на доменній машині в новому профілі повинен в три кліки налаштовуватися, не в домені - по е-мейлу і паролю.
І так, шаманство полягає у включенні галочки "успадковувати права доступу" на облік, у властивостях користувача у вкладці "Безпека" (потрібний розширений вигляд в ADUC). Потрібен лише на момент встановлення ActiveSync зв'язку, потім працює і без нього.
Про галочку дуже корисно, т.к. вона скидається. Думав залишусь без активсинку або створювати окреме облікування. :) split-brain DNS - вже читаю :)
Там некоректно обробляється зміна механізму аутентифікації, потім довго з'ясуватимеш чому не працює. Та й сенсу не має, ОВА на 443 порту - в першу чергу для заходу в пошту з не доменної машини, а там можуть порти блоковані або безглуздий проксі стояти, а NTLM має сенс лише всередині доменної мережі. Так що працює -не чіпай! :)
таки да. самописний чи ні - пофіг. головне є.