Настройка outlook anywhere exchange 2013
Собственно прописаны - сертификат один на всё:
Но самое главное, я решил свою проблему с вашей подсказкой ;) Сделал
Set-OutlookProvider EXPR -Server "ext.mydomain.ru"
Set-OutlookProvider EXPR -CertPrincipalName "msstd:ext.mydomain.ru"
и для внутренних
Set-OutlookProvider EXCH -Server "int.mydomain.ru"
Set-OutlookProvider EXCH -CertPrincipalName "msstd:int.mydomain.ru"
И теперь у меня внешний outlook прекрасно находит все параметры сам через autodiscover. Возможно это связано с тем что Exchange 2013 был поставлен не "с нуля", а для перехода с Exchange 2007, поэтому возникли пробелы в конфигурации.
Спасибо за подсказки.
Да я вас подводил к этому - хорошо, что поняли направление.
Exchange 2007 тут не причем. Просто когда имена внутри и снаружи разные, то нужно выполнять дополнительные настройки. Рекомендуется использовать одинаковые имена и Split DNS, но это не обязательно.
Могу еще добавить, что удобнее использовать wildcard сертификат, особенно если его покупаете.
То что сделал Glebis сделал и я. Но мне не помогло.
Но подключить Outlook из Интернета не получается через Outlook Anywhere…
Все проверки проходит, есть всё и сертификаты и autodiscovery записи и SRV…. ну уже многое в общем узнал про Exchange 2013 и всё никак.
"Не удаётся разрешить имя. Отсутствует подключение к Microsoft Exchange. "
Отмечу, что после установки CU6 перестала работать служба "Microsoft Exchange Frontend Transport". Она не стартует. Висит в статусе Starting. Чтобы почта заработала пришлось развернуть MDaemon сервер, как frontend. Он теперь занимается приёмом почты снаружи. Проверяет на спам и кидает на Exchange. Поискал информацию о том если связь между нестартующей службой Exchange Frontend Transport и доступом клиентов через Outlook Anywhere - ничего не нашёл. (тот патч что выпустил Microsoft не помогает решить проблему нестартующей службы, пробовал ещё на первом сервере, также без вариантов. )
Outlook Anywhere и Exchange 2013
Преимущества использования мобильного Outlook
Пользователи имеют удаленный доступ к серверам Exchange из Интернета.
Вы можете использовать те же URL-адрес и пространство имен, что и для Outlook Web App и Microsoft Exchange ActiveSync.
Можно применять SSL-сертификат сервера, который используется для приложения Outlook Web App и службы Exchange ActiveSync.
Для запросов от Outlook, не прошедших проверку подлинности, не предоставляется доступ к серверам Exchange.
Для доступа к серверам Exchange из Интернета нет необходимости использовать виртуальную частную сеть (VPN).
Если уже используется приложение Outlook Web App с SSL или Exchange ActiveSync с SSL, открывать дополнительные порты из Интернета не требуется.
Сквозное подключение к клиенту для Outlook Anywhere и подключений на основе TCP можно проверить, используя командлет Test-OutlookConnectivity.
Развертывание мобильного Outlook
В Exchange 2013 мобильный Outlook включен по умолчанию, так как все соединения осуществляются через мобильный Outlook. Единственная задача, которую необходимо выполнить после развертывания для успешного использования мобильного Outlook, установка действительного сертификата SSL на сервере клиентского доступа. Серверы почтовых ящиков в организации по умолчанию требуют только самозаверяющий сертификат SSL.
Управление мобильным Outlook
Вы можете управлять мобильным Outlook с помощью Центра администрирования Exchange или командной консоли Exchange.
Совместное использование с мобильным Outlook
Если вы планируете установить Exchange 2013 в сценарии совместного использования с предыдущими версиями Exchange Server, в вашей организации и дальше могут использоваться клиенты Outlook 2003. Клиент Outlook 2003 не поддерживается в Exchange 2013.
Перед перемещением пространства имен в Exchange 2013 необходимо убедиться, что все клиенты Outlook обновлены до минимальной поддерживаемой версии. Для подключения мобильного Outlook к Exchange 2013 требуется Outlook 2007 или более поздняя версия, даже если целевой почтовый ящик все еще размещен в Exchange 2007 или Exchange 2010.
Чтобы использовать сервер клиентского доступа Exchange 2013 в качестве прокси-сервера для серверов Exchange 2007/2010, необходимо включить и настроить мобильный Outlook на всех серверах клиентского доступа Exchange 2007/2010 в организации. Если вы не используете мобильный Outlook в своей среде Exchange 2007 или 2010, не включайте мобильный Outlook в устаревшей среде. Воспользуйтесь инструкциями для серверов клиентского доступа под управлением Exchange Server 2007 или Exchange Server 2010.
При включении мобильного Outlook на сервере клиентского доступа обязательно выберите NTLM в качестве метода проверки подлинности в службах IIS.
Наконец, настройте внешнее имя узла мобильного Outlook так, чтобы оно указывало на имя узла мобильного Outlook Exchange 2013. Воспользуйтесь инструкциями для Exchange Server 2007 или Exchange Server 2010.
Проверка возможности подключения к мобильному Outlook
Вы можете протестировать сквозное подключение Outlook одним из следующих способов:
Запуск тестирования подключения Outlook Anywhere с помощью анализатора удаленных подключений Exchange (ExRCA). При выполнении этого теста возвращается подробная сводка, в которой показано, где произошла ошибка тестирования и какие шаги необходимо предпринять для ее устранения. Подробнее см. в разделе Анализатор удаленного подключения Exchange.
В обоих вариантах тестирования совершается попытка входа через мобильный Outlook после получения параметров сервера из службы автообнаружения. Комплексная проверка состоит из следующих процедур:
Проверка подключения службы автообнаружения
Проверка сертификатов (соответствие имени сертификата веб-сайту, истечение срока действия, является ли он доверенным)
Проверка правильности установки брандмауэра (Анализатор ExRCA проверяет установку брандмауэра полностью. Командлет тестирует конфигурацию брандмауэра Windows.)
Подтверждение подключения клиента путем входа в почтовый ящик пользователя
This cmdlet is available only in on-premises Exchange.
Use the Set-OutlookAnywhere cmdlet to modify Outlook Anywhere virtual directories that are used in Internet Information Services (IIS) on Microsoft Exchange servers. Outlook Anywhere uses virtual directories that contain "rpc" in the name.
For information about the parameter sets in the Syntax section below, see Exchange cmdlet syntax.
Syntax
Description
You need to be assigned permissions before you can run this cmdlet. Although this topic lists all parameters for the cmdlet, you may not have access to some parameters if they're not included in the permissions assigned to you. To find the permissions required to run any cmdlet or parameter in your organization, see Find the permissions required to run any Exchange cmdlet.
Examples
Example 1
In Exchange 2010, this example sets the client authentication method to NTLM for the /rpc virtual directory on the Client Access server CAS01.
Example 2
This example sets the client authentication method to NTLM for the Outlook Anywhere virtual directory on the server named EXCH1.
Example 3
This example sets the SSLOffloading parameter to $false for the Outlook Anywhere virtual directory on the server named EXCH1. This setting informs Outlook Anywhere to expect no SSL decryption between clients and the server, and enables the Require SSL value on the virtual directory. Because SSL is now required for Outlook Anywhere connections, we need to configure internal and external clients to use SSL.
Example 4
This example sets the authentication method for the Outlook Anywhere virtual directory setting in IIS to NTLM.
Example 5
In Exchange 2010 and Exchange 2013, this example sets the available authentication methods for the /rpc virtual directory setting in IIS to use both Basic and NTLM authentication. After you set this value, you can use the IIS virtual directory to handle authentication for multiple applications that require different authentication methods.
Parameters
This parameter is available only in Exchange Server 2010.
Although you can use this parameter to set only one authentication method, the command won't return an error if you include multiple values.
Type: | AuthenticationMethod |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010 |
The Confirm switch specifies whether to show or hide the confirmation prompt. How this switch affects the cmdlet depends on if the cmdlet requires confirmation before proceeding.
- Destructive cmdlets (for example, Remove-* cmdlets) have a built-in pause that forces you to acknowledge the command before proceeding. For these cmdlets, you can skip the confirmation prompt by using this exact syntax: -Confirm:$false .
- Most other cmdlets (for example, New-* and Set-* cmdlets) don't have a built-in pause. For these cmdlets, specifying the Confirm switch without a value introduces a pause that forces you acknowledge the command before proceeding.
You can't use this parameter with the ExternalClientAuthenticationMethod, InternalClientAuthenticationMethod and IISAuthenticationMethods parameters.
Type: | AuthenticationMethod |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
Type: | Fqdn |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
Note: If you use the value Allow or Require and you have a proxy server between the client and the Client Access services on the Mailbox server that's configured to terminate the client-to-proxy SSL channel, you also need to configure one or more Service Principal Names (SPNs) by using the ExtendedProtectionSPNList parameter.
Type: | ExtendedProtectionTokenCheckingMode |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
- Basic
- Ntlm
- Negotiate (This is the default value)
You can't use this parameter with the DefaultAuthenticationMethods parameter.
Type: | AuthenticationMethod |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
- $true: Clients connecting via Outlook Anywhere from outside the organization are required to use SSL.
- $false: Clients connecting via Outlook Anywhere from outside the organization aren't required to use SSL. This is the default value.
The value of this parameter is related to the value of the SSLOffloading parameter.
Type: | Boolean |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
Type: | Hostname |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
The Identity parameter specifies the Outlook Anywhere virtual directory that you want to modify. You can use any value that uniquely identifies the virtual directory. For example:
- Name or Server\Name
- Distinguished name (DN)
- GUID
The Name value uses the syntax "VirtualDirectoryName (WebsiteName)" from the properties of the virtual directory. You can specify the wildcard character (*) instead of the default website by using the syntax VirtualDirectoryName* .
Type: | VirtualDirectoryIdParameter |
Position: | 1 |
Default value: | None |
Accept pipeline input: | True |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
You can specify multiple value separated by commas. By default, all values are used.
You can't use this parameter with the DefaultAuthenticationMethods parameter.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
- Basic
- Ntlm (This is the default value)
- Negotiate
You can't use this parameter with the DefaultAuthenticationMethods parameter.
Type: | AuthenticationMethod |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
- $true: Clients connecting via Outlook Anywhere from inside the organization are required to use SSL.
- $false: Clients connecting via Outlook Anywhere from inside the organization aren't required to use SSL. This is the default value.
The value of this parameter is related to the value of the SSLOffloading parameter.
Type: | Boolean |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
Type: | String |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
The Name parameter specifies the name of the Outlook Anywhere virtual directory. The default value is Rpc (Default Web Site). If the value you specify contains spaces, enclose the value in quotation marks (").
Type: | String |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
This parameter configures the Require SSL value on the Outlook Anywhere virtual directory. When you set this parameter to $true, Require SSL is disabled. When you set this parameter to $fase, Require SSL is enabled. However, it may take several minutes before the change is visible in IIS Manager.
You need to use the value $true for this parameter if you don't require SSL connections for internal or external Outlook Anywhere clients.
The value of this parameter is related to the values of the ExternalClientsRequireSsl and InternalClientsRequireSsl parameters.
Type: | Boolean |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
The WhatIf switch simulates the actions of the command. You can use this switch to view the changes that would occur without actually applying those changes. You don't need to specify a value with this switch.
Type: | SwitchParameter |
Aliases: | wi |
Position: | Named |
Default value: | None |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
Inputs
To see the input types that this cmdlet accepts, see Cmdlet Input and Output Types. If the Input Type field for a cmdlet is blank, the cmdlet doesn't accept input data.
Outputs
To see the return types, which are also known as output types, that this cmdlet accepts, see Cmdlet Input and Output Types. If the Output Type field is blank, the cmdlet doesn't return data.
Задачи после установки для Exchange Server потока обработки почты 2013 и клиентского доступа, включая настройку SSL-сертификата.
После установки Microsoft Exchange Server 2013 в организации необходимо настроить Exchange Server 2013 для потока обработки почты и клиентского доступа. Без этих дополнительных действий вы не сможете отправлять почту в Интернет, а внешние клиенты, такие как Microsoft Outlook и Exchange ActiveSync, не смогут подключиться к вашей Exchange организации.
Действия, описанные в этом разделе, предполагают базовой развертывание Exchange с одним сайтом Active Directory и пространством имен SMTP.
Дополнительные сведения о задачах управления, связанные с потоком обработки почты, клиентами и устройствами, см. в разделах Поток обработки почты и Клиенты и мобильные устройства.
Что нужно знать перед началом работы
Предполагаемое время выполнения задачи: 50 минут.
Для процедур в этом разделе требуются особые разрешения. См. информацию о разрешениях по каждой процедуре.
При подключении к веб-сайту центра администрирования Exchange (EAC) вы можете получать предупреждения о сертификатах, пока не настроите SSL-сертификат на сервере клиентского доступа. Как это сделать, будет показано далее в этом разделе.
Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.
Для каждой организации требуется как минимум один сервер клиентского доступа и один сервер почтовых ящиков в лесу Active Directory. Кроме того, каждый из узлов Active Directory, который содержит сервер почтовых ящиков, должен также содержать как минимум один сервер клиентского доступа. При разделении серверных ролей рекомендуем сначала установить роль сервера почтовых ящиков.
Возникли проблемы? Попросите помощи на форумах Exchange. Перейти на форумы можно по следующей ссылке: Exchange Server.
Шаг 1. Создание соединителя отправки
Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье запись "Соединители отправки" в статье Разрешения потока обработки почты.
Чтобы отправлять почту в Интернет, нужно создать соединитель отправки на сервере почтовых ящиков. Выполните следующие действия.
Введите имя пользователя и пароль в поле "Имя\ доменного пользователя " и "Пароль ", а затем нажмите кнопку "Войти".
Перейдите в раздел Поток почты > Соединители отправки. На странице "Отправка соединителей" щелкните значок "Добавить.
Убедитесь, что не включен параметр Соединитель отправки с заданной областью, и нажмите кнопку Далее.
В разделе "Исходный сервер" нажмите кнопку "Добавить . В окне Выбор сервера выберите сервер почтовых ящиков. Выбрав сервер, щелкните Добавить, а затем ОК.
Соединитель получения входящего трафика по умолчанию создается Exchange 2013. Этот соединитель принимает анонимные подключения SMTP с внешних серверов. Вам не требуется проводить какую-либо дополнительную настройку, если это вас устраивает. Если вы хотите ограничить входящие подключения с внешних серверов, <> измените соединитель получения сервера клиентского доступа по умолчанию на сервере клиентского доступа.
Как проверить, что шаг выполнен?
Чтобы убедиться в том, что вы успешно создали исходящий соединитель отправки, выполните следующие действия:
В EAC проверьте, что новый соединитель отправки отображается в разделе Поток почты > Соединители отправки.
Шаг 2. Добавьте дополнительные обслуживаемые домены
Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись «Обслуживаемые домены» в разделе Разрешения потока обработки почты.
Для каждого домена SMTP, для которого необходимо принимать электронную почту из Интернета, требуется общедоступная запись ресурса MX системы доменных имен (DNS). Каждая запись MX должна разрешаться в сервер с выходом в Интернет, который получает электронную почту для организации.
Введите имя пользователя и пароль в поле "Имя\ доменного пользователя " и "Пароль ", а затем нажмите кнопку "Войти".
Перейдите в раздел Поток почты > Обслуживаемые домены. На странице "Принятые домены " нажмите кнопку "Новый значок .
В мастере создания обслуживаемых доменов укажите имя обслуживаемого домена.
Выберите пункт Заслуживающий доверия домен и нажмите кнопку Сохранить.
Как проверить, что шаг выполнен?
В EAC проверьте, что новый домен отображается в разделе Поток почты > Обслуживаемые домены.
Шаг 3. Настройка политики электронных адресов по умолчанию
Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье запись "Политики адресов электронной почты" в статье Разрешения для электронных адресов и адресных книг.
Если вы добавили обслуживаемый домен на предыдущем шаге и хотите, чтобы он добавился для каждого получателя в организации, необходимо обновить политику адресов электронной почты по умолчанию.
Введите имя пользователя и пароль в поле "Имя\ доменного пользователя " и "Пароль ", а затем нажмите кнопку "Войти".
Откройте раздел Поток обработки почты > Политики адресов электронной почты. На странице "Политики адресов электронной почты" выберите "Политика по умолчанию" и щелкните значок "Изменить.
На странице Политика адресов электронной почты по умолчанию щелкните Формат адреса электронной почты.
В разделе "Формат адреса электронной почты" щелкните SMTP-адрес, который вы хотите изменить, и щелкните значок "Изменить.
В области сведений Политика по умолчанию щелкните Применить.
Рекомендуется настроить имя участника-пользователя, которое совпадает с основным адресом электронной почты каждого пользователя. Если не указать имя участника-пользователя, соответствующее адресу электронной почты пользователя, пользователю потребуется вручную указать свой домен\имя пользователя или имя участника-пользователя в дополнение к его адресу электронной почты. Если его UPN соответствует адресу электронной почты, Outlook Web App, ActiveSync и Outlook автоматически сопоставят адрес электронной почты и UPN.
Как проверить, что шаг выполнен?
Чтобы убедиться, что вы успешно настроили политики адресов электронной почты по умолчанию, выполните следующие действия:
В центре администрирования Exchange перейдите к разделу Получатели > Почтовые ящики.
При необходимости создайте новый почтовый ящик и убедитесь, что его адрес электронной почты содержит новый обслуживаемый домен, выполнив следующие действия:
Перейдите к почтовым ящикам > получателей и нажмите кнопку "Создать значок а затем выберите "Почтовый ящик пользователя".
Шаг 4. Настройка внешних URL-адресов
Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи " Параметры виртуального каталога" раздела "Клиенты и разрешения мобильных устройств ".
Прежде чем клиенты могут подключиться к новому серверу из Интернета, необходимо настроить внешние домены или URL-адреса в виртуальных каталогах сервера клиентского доступа, а затем настроить записи службы DNS. Указанные ниже действия позволяют настроить один и тот же внешний домен для внешних URL-адресов каждого виртуального каталога. Если вам нужно настроить другие внешние домены для внешних URL-адресов одного или нескольких виртуальных каталогов, необходимо указать внешние URL-адреса вручную. Дополнительные сведения см. в разделе "Управление виртуальными каталогами".
Введите имя пользователя и пароль в поле "Имя\ доменного пользователя " и "Пароль ", а затем нажмите кнопку "Войти".
Перейдите на серверы серверов>, выберите имя сервера клиентского доступа к Интернету и щелкните значок "Изменить .
Щелкните Мобильный Outlook.
Перейдите в виртуальные каталоги > серверов и щелкните значок "Настройка домена внешнего .
В разделе "Выбор серверов клиентского доступа" для использования с внешним URL-адресом нажмите кнопку "Добавить
Выберите серверы клиентского доступа, которые требуется настроить, и нажмите кнопку "Добавить". После добавления всех серверов клиентского доступа, которые необходимо настроить, нажмите кнопку "ОК".
Выберите owa (веб-сайт по умолчанию) и нажмите кнопку "Изменить " .
Выберите ecp (веб-сайт по умолчанию) и нажмите кнопку " Изменить" .
Настроив внешний URL-адрес в виртуальных каталогах сервера клиентского доступа, необходимо настроить общедоступные DNS-записи для автообнаружения, Outlook Web App и потока обработки почты. Общедоступные DNS-записи должны указывать на внешний IP-адрес или полное доменное имя сервера клиентского доступа, доступного из Интернета, и использовать доступные извне полные доменные имена, настроенные на сервере клиентского доступа. Ниже приведены примеры рекомендуемых записей DNS, которые необходимо создать для обеспечения потока почты и подключения внешних клиентов.
Как убедиться, что все получилось?
Чтобы убедиться, что вы успешно настроили внешний URL-адрес в виртуальных каталогах сервера клиентского доступа, выполните следующие действия.
В Центре администрирования Exchange выберите Серверы > Виртуальные каталоги.
В поле Выберите сервер выберите сервер клиентского доступа с выходом в Интернет.
Выберите виртуальный каталог, а затем в области сведений, убедитесь, что поле Внешний URL-адрес содержит правильное полное доменное имя, как показано ниже:
Автообнаружение
Внешний URL-адрес не отображается
ECP
EWS
Microsoft-Server-ActiveSync
OAB
OWA
PowerShell
Чтобы убедиться, что общедоступные DNS-записи успешно настроены, выполните следующие действия.
Откройте командную строку и запустите программу nslookup.exe .
Измените значение на DNS-сервер, который может обращаться с запросами к общедоступной зоне DNS.
Используя nslookup , найдите запись для всех созданных полных доменных имен. Убедитесь, что для каждого FQDN возвращается правильное значение.
Введите nslookup и set type=mx найдите принятый домен, добавленный на шаге 1. Убедитесь, что возвращенное значение соответствует полному доменному имени сервера клиентского доступа.
Шаг 5. Настройка внутренних URL-адресов
Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи " Параметры виртуального каталога" раздела "Клиенты и разрешения мобильных устройств ".
Прежде чем клиенты могут подключиться к новому серверу из вашей интрасети, необходимо настроить внутренние домены или URL-адреса в виртуальных каталогах сервера клиентского доступа, а затем настроить записи службы частных доменных имен (DNS).
Выполнив описанные ниже действия, вы сможете выбрать, нужно ли пользователям использовать одинаковый URL-адрес для доступа к серверу Exchange в интрасети и Интернете либо следует ли им использовать разные URL-адреса. Это решение зависит от существующей схемы адресации или от схемы, которую вы хотите внедрить. Если внедряется новая схема адресации, мы советуем использовать одинаковый URL-адрес для внутренних и внешних URL-адресов. Использование одинаковых URL-адресов упрощает пользователям доступ к серверу Exchange, поскольку им необходимо будет запомнить только один адрес. Независимо от вашего решения необходимо настроить частную зону DNS для настраиваемого адресного пространства. Дополнительные сведения об администрировании зон DNS см. в разделе Администрирование DNS-сервера.
Дополнительные сведения о внутренних и внешних URL-адресах в виртуальных каталогах см. в разделе Управление виртуальным каталогом.
Настройка одинаковых внутреннего и внешнего URL-адресов
Откройте командную консоль Exchange на сервере клиентского доступа.
Сохраните имя узла сервера клиентского доступа в переменной, которая будет использоваться в следующем шаге. Например, Ex2013CAS.
Выполните каждую из следующих команд в оболочке, чтобы настроить каждый внутренний URL-адрес в соответствии с внешним URL-адресом виртуального каталога.
Пока мы в командной консоли, также настроим автономную адресную книгу (OAB), чтобы служба автообнаружения могла выбрать нужный виртуальный каталог для распространения автономной адресной книги. Для этого выполните следующие команды:
После настройки внутреннего URL-адреса в виртуальных каталогах сервера клиентского доступа необходимо настроить частные записи DNS для Outlook Web App и других возможностей подключения. В зависимости от конфигурации необходимо настроить частные записи DNS так, чтобы они указывали на внутренний или внешний IP-адрес или полное доменное имя сервера клиентского доступа. Ниже приведены примеры рекомендуемых DNS-записей, которые необходимо создать для подключения внутренних клиентов.
Как проверить, что шаг выполнен?
Чтобы убедиться, что вы успешно настроили внутренний URL-адрес в виртуальных каталогах сервера клиентского доступа, выполните следующие действия.
В Центре администрирования Exchange выберите Серверы > Виртуальные каталоги.
В поле Выберите сервер выберите сервер клиентского доступа с выходом в Интернет.
Выберите виртуальный каталог и нажмите Изменить .
Проверьте, чтобы в поле Внутренний URL-адрес было указано правильное полное доменное имя и служба, как показано ниже:
Автообнаружение
Внутренний URL-адрес не отображается
ECP
EWS
Microsoft-Server-ActiveSync
OAB
OWA
PowerShell
Чтобы убедиться в том, что частные записи DNS успешно настроены, выполните следующие действия:
Откройте командную строку и выполните nslookup.exe .
Измените значение на DNS-сервер, который может обращаться с запросами к частной зоне DNS.
Используя nslookup , найдите запись для всех созданных полных доменных имен. Убедитесь, что для каждого FQDN возвращается правильное значение.
Настройка внутреннего URL-адреса, отличающегося от внешнего
Перейдите к пунктам Серверы > Виртуальные каталоги.
В поле Выберите сервер выберите сервер клиентского доступа с выходом в Интернет.
Выберите виртуальный каталог, который нужно изменить, и щелкните значок "Изменить.
Повторите шаги 5 и 6 для каждого виртуального каталога, который необходимо изменить.
Внутренние URL-адреса виртуальных каталогов ECP и OWA должны быть одинаковыми.
Невозможно установить внутренний URL-адрес в виртуальном каталоге автообнаружения.
Наконец, необходимо открыть оболочку и настроить автономную адресную книгу , чтобы автообнаружение выделит правильный виртуальный каталог для распространения OAB. Для этого выполните следующие команды:
Как проверить, что шаг выполнен?
Чтобы убедиться, что вы успешно настроили внутренний URL-адрес в виртуальных каталогах сервера клиентского доступа, выполните следующие действия.
В Центре администрирования Exchange выберите Серверы > Виртуальные каталоги.
В поле Выберите сервер выберите сервер клиентского доступа с выходом в Интернет.
Выберите виртуальный каталог и нажмите Изменить .
Автообнаружение
Внутренний URL-адрес не отображается
ECP
EWS
Microsoft-Server-ActiveSync
OAB
OWA
PowerShell
Чтобы убедиться в том, что частные записи DNS успешно настроены, выполните следующие действия:
Откройте командную строку и выполните nslookup.exe .
Измените значение на DNS-сервер, который может обращаться с запросами к частной зоне DNS.
Используя nslookup , найдите запись для всех созданных полных доменных имен. Убедитесь, что для каждого FQDN возвращается правильное значение.
Шаг 6. Настройка SSL-сертификата
Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье запись "Управление сертификатами" в статье Разрешения потока обработки почты.
Некоторые службы, такие как Outlook Anywhere и Exchange ActiveSync, требуют настройки сертификатов на сервере Exchange 2013. Следующие шаги описывают, как настроить SSL-сертификат от стороннего центра сертификации (ЦС):
Введите имя пользователя и пароль в поле "Имя\ доменного пользователя " и "Пароль ", а затем нажмите кнопку "Войти".
Откройте раздел Серверы > Сертификаты. На странице "Сертификаты" убедитесь, что сервер клиентского доступа выбран в поле "Выбор сервера", и нажмите кнопку " Создать .
В мастере создания сертификата Exchange выберите параметр Создать запрос на сертификат из центра сертификации и нажмите Далее.
Укажите имя для этого сертификата, а затем щелкните Далее.
Для каждой службы в списке проверьте правильность внешних или внутренних имен сервера, которые будут использоваться пользователями для подключения к серверу Exchange. Например:
Добавьте все дополнительные домены, которые необходимо включить в SSL-сертификат.
После сохранения запроса сертификата отправьте запрос в центр сертификации. Это может быть внутренний центр сертификации или сторонний центр сертификации в зависимости от политики организации. Клиенты, подключающиеся к серверу клиентского доступа, должны доверять центру, который вы используете. После получения сертификата из центра сертификации выполните следующие действия:
На странице Сервер > Сертификаты в EAC выберите запрос сертификата, созданный на предыдущих шагах.
В области сведений о запросе сертификата щелкните Завершено в разделе Состояние.
На странице выполнения ожидающего запроса укажите путь к файлу SSL-сертификата и нажмите ОК.
Выберите новый сертификат, который вы только что добавили, и щелкните значок "Изменить.
На странице сертификата щелкните Службы.
При появлении предупреждения Перезаписать существующий SMTP-сертификат по умолчанию? нажмите кнопку Да.
Как убедиться, что все получилось?
Чтобы убедиться в том, что вы успешно добавили новый сертификат, выполните следующие действия:
В Центре администрирования Exchange последовательно выберите пункты Серверы > Сертификаты.
Выберите новый сертификат и затем в области сведений убедитесь, что выполнены следующие условия:
значение параметра Состояние равно Действительный;
в поле Назначен службам указаны как минимум IIS и SMTP.
Как убедиться, что это сработало?
Чтобы убедиться, что вы настроили поток почты и внешний клиентский доступ, выполните следующие действия:
Создайте новый профиль в приложении Outlook и/или на устройстве ActiveSync. Убедитесь, что новый профиль успешно создается в Outlook или на мобильном устройстве.
Попытка подключения к службе автообнаружения с помощью метода перенаправления DNS SRV.
Анализатор Microsoft Connectivity Analyzer не смог подключиться к службе автообнаружения с помощью метода перенаправления DNS SRV.
Подробнее
Возвращено IP-адресов: xxx
Проверка SSL-сертификата на действительность.
Не удалось выполнить одну или несколько проверок SSL-сертификата.
Проверка имени сертификата.
Имя сертификата успешно проверено.
Сертификат проверяется на доверие.
Не удалось проверить сертификат на доверие.
Подробнее
Не удалось построить цепочку сертификатов. Требуемые промежуточные сертификаты могут отсутствовать.
MCITP. Знание - не уменьшает нашей глупости.
Служба автообнаружения Outlook
MCITP. Знание - не уменьшает нашей глупости.
Я делал проверку для Outlook Anywere, там такой галки нет.
Сделал тест для автообнаружения.
Проверка каждого способа подключения к службе автообнаружения.
Проверка службы автообнаружения прошла успешно.
Подробнее
Возвращено IP-адресов: xxx
Подробнее
При обращении к удаленному узлу произошла ошибка сети.
Подробнее
Возвращено IP-адресов: xxx
Проверка SSL-сертификата на действительность.
Сертификат прошел все требования проверки.
Проверка имени сертификата.
Имя сертификата успешно проверено.
Проверка даты сертификата для подтверждения его допустимости.
Проверка даты выполнена. Срок действия сертификата не истек.
Подробнее
Сертификат действителен. NotBefore = 8/14/2013 7:49:28 AM, NotAfter = 8/14/2015 7:49:28 AM
Проверка конфигурации IIS для проверки подлинности сертификата клиента.
Проверка подлинности сертификата клиента не обнаружена.
Подробнее
Принятые и необходимые сертификаты клиентов не настроены.
Если вы используете сертификат локального центра сертификации, то вы должны опубликовать доступ к CRL (списку отозваны сертификатов) для внешних клиентов.
MCITP. Знание - не уменьшает нашей глупости.
Для Exchange 2010 это не требовало, это новое в Exchange 2013? Подскажите, пожалуйста, как это лучше сделать.
Для Exchange 2010 это тоже было, но это пока не важно. Автоконфигурацию Exchange отдает с авторизацией NTLM.
Пример анализа авторизации, на основании его алгоритма сделайте для Exchange 2013 с использованием кго командлетов.
MCITP. Знание - не уменьшает нашей глупости.
[PS] C:\Windows\system32>Get-AutodiscoverVirtualDirectory |FL
Читайте также: