邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: 单台Exchange服务器配置RPC OVER HTTPS，客户端Outlook无法连接服务器 [打印本页]

作者: shakodo 时间: 2010-3-21 18:03
标题: 单台Exchange服务器配置RPC OVER HTTPS，客户端Outlook无法连接服务器
故障如题。

公司比较小，主DC既是DNS服务器又是Exchange服务器，版本是"Exchange Srv 2K3 SP2 Enterprise"+"Win Srv 2K3 SP2 Enterprise"，同时也是GC。和我这样情况的朋友也有，我也看到过一些配置，但是为什么我这边就配置不成功呢？脑子有点混乱了。

Exchange服务器我没有设置为“前端”、“后端”，保持默认的选择“不是Exchange管理的RPC-HTTP拓扑的一部分”。

因为之前外网用OWA访问，我就没有去配置证书机构，已经有了的，也没有重新申请证书。另外有关端口，因为我们已经开了443端口，是可以访问到OWA，我还需要打开6001，6002和6004吗？

配置客户端的时候我特别注意了服务器的FQDN和MX记录的设定，这边配置应该是没有问题的。但是在做配置完成之后，发现客户端无法连接到服务器。以下是一些错误信息：

我们Exchange服务器的FQDN是"A.B.COM"，而外网的MX记录是"mail.B.net.cn"，两者相差比较大。
1. 本地客户端（WinXPSP3+Outlook2K3/Vista+Outlook2K7）无法使用https方式访问，只能用TCP/IP方式。
在客户端配置outlook2k3和outlook2k7时，电子邮件账户中的"Microsoft Exchange Server"我使用的是Exchange服务器的FQDN "A.B.COM"；在“Exchange代理服务器设置”的URL处我使用的是外网的MX记录"mail.B.net.cn"。
经过这样配置后，查看“连接状态”是TCP/IP方式；若把“Exchange代理服务器设置”的URL处更改为"Microsoft Exchange Server"，则访问方式是https了。但是这样没意义啊，我用RPC-HTTPS肯定是要在外网的呀。
2. 外部客户端（WinXPSP3+Outlook2K3/Win7+Outlook2K7）无法访问到exchange服务器。
远程访问到外网的一台计算机WinXPSP3进行Outlook2K3的配置,但是都无法配置完成，在配置过程中就出错了，错误是 “outlook无法登录。请检查您是否已经连网并使用了合适的服务器和邮箱名称。与microsoft exchange server的连接不可用。outlook必须联机或连接才可完成该操作。”
另一台计算机是Win7的，配置和上一台一样，但是错误信息不一样，这台说明更详细些“代理服务器的安全证书有问题。该安全证书未来自信任证书验证机构。outlook无法连接到代理服务器mail.testo.net.cn （错误代码18）”。

现在头好像都要爆了，眼睛胀死了，找了好多资料好像都用不上。

希望能和大家继续就这个问题讨论一下，谢谢。

[ 本帖最后由 shakodo 于 2010-3-29 16:53 编辑 ]

作者: tdk 时间: 2010-3-21 20:05
exchange 什么版本不清楚

不过既然提示证书问题，估计你的证书不受信任
自己颁发的话，客户端需要安装上ca根证书才行

作者: shakodo 时间: 2010-3-22 09:03
sorry, 没把信息交代清楚。我的服务器端是"Exchange Srv 2K3 SP2 Enterprise"+"Win Srv 2K3 SP2 Enterprise"

如何安装ca根证书呢？我之前看到一个帖子说，相应的登录用户需要先连接到https://mail.B.net.cn/certsrv上申请证书/链，再导入证书/链。我也这样做了，我还安装了OWA访问时提示的证书，但是故障仍存在。证书是有我们内部的CA颁发的，不是商业CA。

我到https://www.testexchangeconnectivity.com/测试，也是在证书处出错，如下：

Testing SSL Certificate for validity.
The SSL Certificate failed one or more certificate validation checks.
Test Steps
Validating certificate name
Certificate name validation failed

任何提示我都会很感激的，谢谢。

[ 本帖最后由 shakodo 于 2010-3-22 15:18 编辑 ]

作者: 钉子 时间: 2010-3-23 00:30
证书的友好名称是什么？

作者: shakodo 时间: 2010-3-23 15:29
谢谢钉子大哥的回复。

说实话，我不知道这个友好名称是什么？我去google了下，啥叫友好名称，结果搞得我更迷糊了。

我现在访问OWA时的证书，是我公司的CA颁发给我的这个Exchange服务器A.B.com的，但是我这个Exchange服务器的外网MX记录是mail.B.net.cn。这个证书的主题就是A.B.COM了。

我现在还有几个疑问想烦请问下钉子大哥和各位童鞋：

1.我的Exchange服务器内部FQDN和MX记录名应该不影响吧？（我参考了MS资料，个人理解两者不一样是可以的）

2.我已经可以在外网用OWA正常访问了，还需要为了RPC-HTTPS再申请证书吗？还需要再打开6001，6002和6004端口吗？（因为FW是由德国的同事维护的，我们根本没有权限登录，需要打开端口都需要申请的。我参考了好多资料，个人认为应该只开443就可以了吧）

麻烦了。

[ 本帖最后由 shakodo 于 2010-3-23 15:58 编辑 ]

作者: lanlinlan 时间: 2010-3-23 16:06
证书问题可能大点！！！你外网访问的是nail.b.net.cn 那么你的证书应该也你外网访问地址一样也是，，公共名称设置为mail.b.net.cn

作者: shakodo 时间: 2010-3-23 16:20
谢谢lan兄。

我的OWA现在是可用的。就是用当前的证书。

现在我不能针对“默认网站”下的RPC目录进行证书申请，只能针对“默认网站”。假如我重新申请证书，更改公共名称，会不会导致我的OWA不能正常使用呢？

昨天听一个朋友说需要在防火墙上做端口映射，需要映射6001，6002和6004，但是我找了很多文档，都没说要做啊。不过我也确实还没做。

[ 本帖最后由 shakodo 于 2010-3-24 08:54 编辑 ]

作者: 钉子 时间: 2010-3-24 15:46
1.我的Exchange服务器内部FQDN和MX记录名应该不影响吧？（我参考了MS资料，个人理解两者不一样是可以的）

----MX绝对不影响，它只会影响你服务器收邮件。不影响客户连接，FQDN就有影响。因为证书的使用公网的地址，也就是mail.b.net.cn

2.我已经可以在外网用OWA正常访问了，还需要为了RPC-HTTPS再申请证书吗？还需要再打开6001，6002和6004端口吗？（因为FW是由德国的同事维护的，我们根本没有权限登录，需要打开端口都需要申请的。我参考了好多资料，个人认为应该只开443就可以了吧）
---ROH只使用443端口。所以，开443就可以了。和6001，6002和6004无关。

作者: 钉子 时间: 2010-3-24 15:47
给一个OWA的地址，给我，我访问看看证书有没问题。

作者: shakodo 时间: 2010-3-24 17:23
谢谢钉子大哥，我已经PM你了。

作者: 钉子 时间: 2010-3-25 09:43
根据你给我的消息，首先你得重新生成一个证书，使用mail.b.net.cn的名称，而不是内部的FQDN

这是你现在的证书

[attach]9211[/attach]

2.应该改成：

[attach]9212[/attach]

3.注意在不IIS新建证书时，下面这个地方：

[attach]9213[/attach]

作者: shakodo 时间: 2010-3-29 16:54
谢谢钉子大哥，确实是证书问题，我改了证书就可以了。

这周末一直在测试，多亏了大家了。

谢谢。稍候我把文档整理下再贴出来。

欢迎光临邮件服务器-邮件系统-邮件技术论坛(BBS) (http://5dmail.net/bbs/)