Light-electric.com

IT Журнал
10 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Подключение к exchange вне домена

Можно ли разрешить ПК, не подключенным к домену, подключаться к Exchange 07?

Я использую Server 2008 с Exchange 2007 с пакетом обновления 1 (SP1). Все работает очень хорошо и хорошо.

Однако у меня есть несколько клиентов, которые не в восторге от идеи присоединения к доменной среде, в основном из-за хлопот, связанных с копированием профилей.

На моем тестовом компьютере мне не повезло заставить компьютер подключаться к server.example.local, когда он не подключен к домену. Я предполагаю, что есть параметр политики безопасности, который не позволяет анонимным клиентам подключаться.

Во-вторых, клиент непреклонен в отношении отсутствия паролей и запросов на ввод пароля. В идеале они хотели бы, чтобы Outlook открывался, а не запрашивал имена пользователей.

Клиент сказал мне, что его предыдущей ИТ-компании удалось настроить другой сервер обмена без запроса имени пользователя и пароля (их слов, а не моих), но я не выяснил, как это было достигнуто.

Итак, мои вопросы вкратце:

  1. Могу ли я, чтобы компьютеры, не присоединенные к домену, подключались к серверу Exchange 07?
  2. Могу ли я иметь компьютеры, подключенные к указанному серверу Exchange, НЕ запрашивать пароли при каждом открытии Outlook?

Все клиентские ПК используют Vista или W7 с Office 2007 с пакетом обновления 2 (SP2).

7 ответов

ПК, которые не присоединены к домену, могут определенно общаться с Exchange с Outlook. Outlook будет запрашивать у пользователя учетные данные при подключении к компьютеру Exchange Server. Я знаю, что в Outlook 2003 не было никакой функции «запоминания пароля», но я не уверен насчет Outlook 2007. Если бы мне пришлось угадывать, я бы сказал, что это не так.

Автообнаружение будет работать. Ознакомьтесь с этой статьей Ссылка (поиск по фразе» non domain «), чтобы немного рассказать о том, как работает автообнаружение на клиентах, не входящих в домен.

(Почему они так неблагоприятны для присоединения к домену? Перемещаемые профили пользователей не требуются, и существующие локальные профили можно перенести в профили пользователей домена.)

Возможно, создать целое «доверие рабочей станции бедного человека», при котором вы создаете учетные записи пользователей домена, которые соответствуют локальным именам пользователей / паролям, используемым на клиентских компьютерах, чтобы Outlook не запрашивал пароли , В этой среде сложно синхронизировать пароль, и я даже не уверен, что это сработает.

Им действительно нужно присоединить своих клиентов к домену. Это решение. Было бы интересно узнать больше о том, почему у них с этим проблемы. (Я предполагаю, что они делают паршивые вещи, такие как хранение данных на жестких дисках клиентов, одноранговый обмен файлами и т.д. . вздох )

Вы указываете, что ваши тесты не работают. Какие сообщения об ошибках вы получаете при сбое? (Разрешение имен может быть ненадежным в такой среде. У вас может не быть всей инфраструктуры DNS, которая требуется для AD, например.)

Как и то, что сказал Эван Андерсон, это возможно. У нас большое количество рабочих станций, не имеющих домена, и с тех пор даже дни NT4. У этих машин не было проблем с общением с кем бы то ни было, кто был нашим почтовым (MSMail / Exch5.5 / Exch2K / Exch2003 / Exch2007). Хитрость в том, чтобы правильно настроить Outlook / почтовый профиль. Я считаю, что вам нужно полное доменное имя в поле Почтовый сервер, чтобы вызвать обнаружение, а остальное просто встает на свои места. Что касается имен пользователей, см. Ответ Эвана.

RPC-HTTP, также известный как Outlook Anywhere, определенно обеспечит функциональность Exchange без необходимости в домене, но я не уверен, что вы можете настроить его, чтобы он никогда не запрашивал имя пользователя и пароль.

Как уже отмечали многие, нет проблем с использованием компьютера, не использующего домен, Exchange. Я делаю это сам. Тем не менее, я думаю, что было бы больше проблем, если бы речь шла о компьютерах XP Home или Vista Home. Они не могут запомнить логины или домены.

Хотя я не рекомендую следующий подход в целом, никто не упомянул его, но вы можете разрешить им подключаться, используя вместо этого настройки POP3, и это позволит вам настроить их имя пользователя и пароль при создании профиля.

Это устранит запрос на ввод имени пользователя / пароля.

Конечно, есть определенные предостережения при переходе по маршруту POP3 (электронная почта на стороне сервера и т. д.) . так что будьте внимательны.

Конечно, можно использовать imap4 или pop-доступ, чтобы клиент сохранил пароли. Я также хотел бы знать, почему они вообще обмениваются на месте, если им не нужен домен. Домен облегчает общий доступ к файлам (если есть какое-либо влияние). Я был бы заинтересован в «хлопотах», копируя файлы вокруг. Обратите внимание, что если они используют Exchange 2007, у них уже есть домен, так что это не спасает их от необходимости обслуживания. Также можно установить политику безопасности домена, чтобы разрешить пустые пароли. Это позволит пользователям входить в систему утром, вводя имя пользователя только утром. Если пользователи остаются на одних и тех же рабочих станциях, их можно присоединить к домену, и пользователи никогда не узнают об этом, установив систему в автоматический режим. Следующие шаги включат автологин:

2. Перейдите к следующему разделу реестра: HKEY_LOCAL_MACHINE ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ Microsoft Windows NT CurrentVersion Winlogon

3. Дважды щелкните запись DefaultUserName, введите имя пользователя для входа в систему и нажмите кнопку ОК. Если имя значения реестра DefaultUserName не найдено, создайте новое строковое значение (REG_SZ) с именем значения как DefaultUserName.

4. Дважды щелкните запись DefaultPassword, введите пароль для учетной записи пользователя в поле «Значение» и нажмите «ОК». Если значение DefaultPassword отсутствует, создайте новый подраздел String Value (REG_SZ) с DefaultPassword в качестве имени значения.

Обратите внимание: если строка DefaultPassword не указана, Windows автоматически изменяет значение раздела реестра AutoAdminLogon с 1 (true) на 0 (false), чтобы отключить функцию AutoAdminLogon.

5.В Windows Vista также должно быть указано DefaultDomainName. Для этого дважды щелкните DefaultDomainName и укажите доменное имя учетной записи пользователя. Если это локальный пользователь, укажите имя локального хоста. Если DefaultDomainName не существует, создайте новый раздел реестра String Value (REG_SZ) с именем значения DefaultDomainName.

6. Дважды щелкните запись AutoAdminLogon, введите 1 в поле «Значение» и нажмите кнопку «ОК». Если запись AutoAdminLogon отсутствует, создайте новую запись строкового значения (REG_SZ) с AutoAdminLogon в качестве имени значения.

7.Если он существует, удалите ключ AutoLogonCount.

8. Прекратите работу.

9.Нажмите Пуск, нажмите Перезагрузить, а затем нажмите ОК. После перезагрузки компьютера и запуска Windows XP или Vista система может автоматически войти в систему для предустановленного или предопределенного пользователя в реестре.

Ручная настройка подключения к Exchange в Outlook 2016

В Outlook 2016 разработчики полностью убрали возможность ручной настройки почтового профиля пользователя для подключения к серверу Exchange. Предполагается, что Outlook 2016 должен автоматически получить всю необходимую информацию с помощью процедуры Autodiscover (все возможные варианты, позволяющие клиенту выполнить автообнаружение описаны в статье Медленная работа автообнаружения Exchange Autodiscover в Outlook 2016).

Однако в некоторых случаях автообнаружение не может быть выполнено (не правильно настроен Autodiscover, проблемы с доступом к файлу Autodiscover.xml и т.п.) и пользователю нужно настроить подключение к Exchange серверу вручную. Разберемся, как это сделать.

Метод 1. Локальный XML редирект

  1. В том случае, если вы знаете URL для доступа к вашему Exchange через OWA, проверьте, доступен ли следующий URL адрес _https://mail.winitpro.ru/autodiscover/autodiscover.xml (для доступа к xml файлу вам придется авторизоваться). Если файл доступен, перейдите к следующему шагу. Если нет – переходите ко второму методу настройки.
  2. Создадим на локальном диске компьютера собственный XML файл, который будет перенаправлять Outlook на данный URL с файлом autodiscover.xml. Создайте текстовый файл autodiscover.xml со следующим текстом и сохраните его в локальный каталог на компьютере (например, C:Autodiscoverautodiscover.xml)

    email
    redirectUrl
    _https://mail.winitpro.ru/autodiscover/autodiscover.xml

  • Имя параметра: winitpo.ru
  • Значение: C:Autodiscoverautodiscover.xml

  • Осталось запустить Outlook и запустить мастер добавления учетной записи, в котором нужно указать свое имя, email и пароль. Если вы все сделали верно, Outlook должен настроить подключение к Exchange автоматически.
  • Метод 2. Локальный XML файл с настройками подключения к Exchange

    В том случае, если URL с файлом autodiscover.xml недоступен, придется создать локальный XML файл с полными настройками пользователя для подключения к Exchange. Пример параметров, которые нужно указывать в этом файле можно получить с уже настроенного клиента Outlook. Для этого, перейдите в папку C:Users%username%AppDataLocalMicrosoftOutlook, где вы найдете файл с именем [длинныйGUID]-Autodiscover.xml.

    Скопируйте этот файл, измените, если нужно параметры учетной записи и поместите его в папку C:Autodiscoverautodiscover.xml. Затем выполните 3 и 4 шаг из первого метода.

    Если получить такой файл не удаётся, можно попробовать создать его вручную. Формат файла должен быть таким.

    При использовании Outlook Anywhere (RPC/HTTP)

    При подключении без Outlook Anywhere:

    В данных XML файлах нужно изменить данные в квадратных скобках на информацию, соответствующую вашему домену (ее может выдать администратор Exchange или AD).

    Oh, MSBRO !

    Сетевые заметки системного администратора

    Часть 6: Настройка подключения к почтовому серверу через OutlookAnywhere.

    Часть 6: Настройка подключения к почтовому серверу через OutlookAnywhere.

    Содержание:
    Совместимость работы
    Вариант №1. У пользователя не импортирован сертификат.
    Вариант №2. У пользователя импортирован сертификат.

    Сразу хочу извиниться за замазанные участки: я публикую инструкцию которую рассылал сисадминам наших филиалов для настройки подключения к корпоративному почтовому серверу. В целом замазанные участки вам вряд ли пригодятся, так как все продублировано печатным текстом. Делать же новые скрины было просто лень.

    Совместимость.

    Для настройки подходят следующие операционные системы:
    Windows 2003 SP1,SP2 , Windows Vista, Windows 2008, Windows 7, Windows XP SP2,SP3 (просто XP или XP SP1 скорее всего не будут работать)

    Офисный пакет MS Office 2003 SP1,SP2,SP3 (MSO 2003 без SP не будет работать) MS Office 2007

    Операционные системы Windows 2000, а также пакет MS Office 2000, MS Office XP не подходят для настройки!

    Браузер, через который необходимо подключаться к серверу — Internet Explorer 6,7,8
    Работа на других браузерах не гарантируется.

    Мобильные устройства:
    Для Windows Mobile 5,6 можно произвести настройку подключения через встроенный Internet Explorer
    Для телефонов на базе SymbianOS с сайта компании Nokia можно скачать пакет Mail for Exchange
    Браузер телефонов Nokia для подключений не подходит.

    Все что было описано ниже было выполнено на следующей операционной системе:
    Windows Vista SP1, MS Office 2007 SP1

    Вариант №1. У пользователя не импортирован сертификат.

    Откройте браузер Internet Explorer, и в адресной строке наберите https://mail.myfirma.ru/owa
    Доступ осуществляется по протоколу HTTPS (технология OutlookAnywhere).

    Если вы не сделали импорт вашего CA Root MyFirma сертификата в список доверенных корневых центров сертификации, то у вас возникнет следующая ошибка:

    Вы можете продолжить, нажав «Продолжить открытие этого веб-узла».
    Однако я рекомендую сделать импорт сертификата. Без правильного импорта невозможно будет настроить работу программы Outlook на соединение через протокол HTTPS.

    Если не обратить внимание на предупреждение, и продолжить процедуру входа, то появится окно с приглашением ввести логин и пароль:

    обратите внимание, что логин вводится
    myfirmaимя_пользователя (где myfirma — это имя домена MS в вашей локальной сети myfirma.local)
    Например, тестовый пользователь имеет адрес электронной почты ivanov_i@superfirm.ru
    однако его логин вводится как myfirmaivanov_i
    Причина такой разницы в том, что вы подключаетесь к серверу Exchange (Microsoft), и существуют (для вас) два домена:
    1. домен AD
    2. почтовый домен
    Вы должны при подключении разделять эти два понятия. Учётная запись пользователя в домене и адрес электронной почты могут не совпадать.
    Так, у ivanov_i можно создать адреса электронной почты ivanov_i@myfirma.ru ivanov_i@msk.myfirma.ru superuser@alfaville.ru iva@indiano-chilintano.ru итд итп.

    Если вы введете правильный логин и пароль и нажмёте ОК, вы попадете в почтовый ящик:

    Обратите внимание на ошибку:

    Если щёлкнуть по ошибке, у вас появится окно:

    Вы можете открыть «просмотр сертификата» и запустить мастер его установки. Но установка сертификата таким способом ни к чему не приведет, он установится, но эта ошибка сертификата все равно сохранится.

    Вариант №2. У пользователя импортирован сертификат.

    Откройте браузер Internet Explorer, и в адресной строке наберите https://mail.myfirma/owa
    На предложение ввести логин-пароль введите учетные данные пользователя, установите галочку «сохранить пароль».

    Обратите внимание, что у нас есть отличия:

    Значок «замка» означает что все работает правильно. Вы можете щёлкнуть по значку и посмотреть сертификат (устанавливать его не нужно).

    Если вы поставите галочку «сохранить пароль» то скорее всего при следующем запуске браузера вы обнаружите что пароль не сохранился.

    Для того чтобы вы смогли сохранить пароль, вам нужно добавить узел https://mail.myfirma.ru в зону узлов «локальная интрасеть» (параметры «свойство обозревателя» Internet Explorer):

    Обратите внимание, что добавлять нужно именно тот путь, по которому вы подключаетесь:

    Вы должны добавить путь https://mail.myfirma.ru
    Теперь, после добавления этого веб-узла пароль будет сохраняться.

    Настройка Outlook over HTTPS.

    Для настройки «Outlook over HTTPS» сертификат должен быть импортирован. Вы никак не сможете настроить подключение, если это условие не будет выполнено.

    Для настройки вам необходимо выполнить:
    Пуск → Панель управления → Почта:

    Вам нужно запустить мастер настройки новой конфигурации, и создать новую конфигурацию «MyFirma»:


    Если у вас несколько вариантов подключений к почте, то возможно, вы должны выбрать опцию «запрашивать конфигурацию».

    Запустим мастер настройки почты:

    Мастер смог бы настроить вам почтового клиента, если компьютер находился в одной сети с сервером и был подключён к домену. В нашем случае мы должны настроить все параметры вручную. Поставьте галочку «Настроить вручную параметры сервера или дополнительные типы серверов» и нажмите «Далее».

    Выберите из предложенного вариант «Сервер Microsoft Exchange»:

    В появившемся окне укажите необходимые параметры:

    Сервер: Server44 (имя сервера внутри вашей сети, то есть например имя вашего сервера server44.myfirma.local — вы просто указываете Server44. Не пишите myfirma.ru — это неверно !)
    Имя пользователя: укажите фамилию пользователя (можно даже русскими буквами)

    После чего нажмите кнопку «Другие настройки».
    Некоторое время Outlook будет пытаться соединиться, после чего появится окно:

    Соглашаемся с тем что не можем подключиться.

    Появляется следующее окно:

    В этом окне нажимаем кнопку «отмена» (менять ничего не нужно).

    После того как вы нажмёте кнопку «отмена» вы попадете на окно, с помощью которого вы сможете настроить подключение к серверу Exchange. В дальнейшем, после настройки, вы можете вернуться к этому окну на настройки оптимального для вас способа подключения.

    Выберем вкладку «подключение», и поставьте галочку «Подключение к Microsoft Exchange по протоколу HTTP»:

    После чего нажмите кнопку «Параметры прокси — сервера Exchange».

    В появившемся окне выставьте те же опции, что и на этом скиншоте:

    Адрес URI для подключения к прокси серверу: https://mail.myfirma.ru

    Подключение только с помощью протокола SSL — ДА (выставляем галочку)

    Подключаться только к прокси — серверам, содержащим это основное имя в своём сертификате: msstd:mail.myfirma.ru (именно такой строкой. скопируйте в блокнот и внимательно рассмотрите)

    В быстрых сетях: подключение сначала через HTTP, затем через TCP/IP — желательно выставить

    В медленных сетях: подключение сначала через HTTP, затем чрез TCP/IP — ДА

    Параметры проверки подлинности при подключении к прокси — серверу Exchange: — проверка подлинности NTLM

    На этом настройка подключения закончена.
    Нажимаем «ОК» до тех пор пока снова не попадаем в окно:

    На этой вкладке нажимаем кнопку «Проверить имя».

    Появится окно с предложением ввести логин — пароль:

    Вводим логин — пароль.

    Я вводил фамилию «Иванов». Сотрудников, с фамилией «Иванов» у меня несколько.
    В этом случае появляется окно «Проверка имени» со списком подходящих почтовых ящиков.
    Следует учесть, что введённые логин — пароль дают доступ только к «своему» почтовому ящику. В случае сомнений в правильности выбора нажмите кнопку «Свойства» для просмотра дополнительных свойств выбранной учётной записи:

    Выбираем свою учётную запись и нажимаем «ОК».

    В этом окне вы увидите что имя сервера и поле с фамилией изменились:


    У вас эти значения стали подчёркнутыми как на вышеуказанном изображении, то это означает что вы все сделали правильно.

    Если у вас не очень быстрый канал, имеет смысл выставить галочку «использовать режим кэширования Exchange». В этом случае у вас локально на компьютере создается *.ost файл в котором находится копия почтового ящика на сервере.При просмотре почты в этом случае будет выдаваться информация из кэша, а не с сервера. Теоретически экономит трафик.

    Если у вас они не стали подчёркнутыми, то вы что то сделали неправильно.
    Лучше всего будет удалить вашу конфигурацию и повторить все этапы настройки заново.

    Настройка подключения с мобильных устройств.

    Вы можете настроить подключение к почте с мобильных устройств.
    Для доступа с телефонов на базе Windows Mobile можно использовать установленный пакет Microsoft Outlook. Доступ с телефонов с операционной системой SymbianOS необходимо установить бесплатное программное обеспечение «Mail for Exchange».

    PS: … (все что не вошло в предыдущие пункты)

    Настройка режима «кэширования» может существенно увеличить скорость работы.

    У режима кэширования есть один существенный недостаток – вся копия почтового ящика будет храниться у вас на компьютере. С точки зрения безопасности это является существенным недостатком, тк потенциально можно просмотреть всю историю переписки.

    Режим кэширования настраивается (нужно выставить галочку о кэшировании):

    Можно также изменить порядок загрузки сообщений:

    Что делать, если почтовая программа Outlook постоянно просит ввести пароль при подключении к серверу Exchange .

    Бывает так, что Outlook при каждом запуске вновь спрашивает логин и пароль пользователя.
    Для исправления этого необходимо открыть ПУСК-ВЫПОЛНИТЬ ввести control keymgr.dll и нажать Enter.

    Удалите сохраненные пароли подключения. Введите единственную запись
    в поле сервер: *.myfirma.local
    в поле пользователя: myfirmaivanov
    в поле пароля: пароль

    Запись *.myfirma.local указывает что для доступа к любым серверам внутри домена использовать данные учетной записи пользователя. После такого указания сервера (*.myfirma.local) пароль больше спрашиваться не будет.

    Нет похожих постов.

    Exchange 2013 не видит OU из web-консоли

    Если вы создаете, например, группу рассылки из web-консоли Exchange 2013 и хотите выбрать для неё OU, но внезапно обнаруживаете, что вашего OU (Organizational Unit) там нет. Вообще нет.

    Или появляется вот такое:

    Technet на это предлагает воспользоваться поиском, чтоб результатов стало меньше, но поиск-то того. Не работает.

    В 2013 Exchange есть ограничение на количество выводимых OU (включая вложенные). Это ограничение равно 500. Берутся первые 500 по времени создания (а не по алфавиту).

    Находите файл web.config на сервере Exchange в папке C:Program FilesMicrosoftExchange ServerV15ClientAccessecp

    Открываете блокнотом, ищете секцию и в конце в ней дописываете

    или сколько вам нужно по количеству.

    Сохраняете файл. Всё. Никаких служб перезапускать не нужно.

    Если у вас два и более сервера Exchange, но всё по фен-шую (DAG-группы есть, cas-сервера собраны в массив и всё такое), то достаточно дописать строчку в этот файлик на любом из серверов.

    Есть печаль – любой CU (Cumulative Update) для Exchange перезаписывает этот файл. Причем копипастить файл от предыдущего обновления обратно в папку нельзя (MS пытается нас уверить, что это вызовет апокалипсис), только дописывать эту строчку снова, по возможности, автоматизировав процесс.

    Заключение: пробуем формат мини-решений. Любопытно, найдется ли аудитория на такое.

    Есть ещё один «косяк», если память не изменяет, это появилось с CU6. Сервер Exchange для запросов к AD начал использовать 4 «ближайших» DC. У меня получилось, при топологии звезда, что региональные сервера Exchange часто обращались к DC родительского домена.

    Для исправления надо добавить в

    C:Program FilesMicrosoftExchange ServerV15BinMicrosoft.Exchange.Directory.TopologyService.exe.config

    Строку(число выставить по кол-ву DC «рядом» с Exchange)

    Ну естественно с накаткой нового CU этот параметр затирается.

    И запросы уходили в другой сайт?

    Да. При этом когда админ в регионе создавал нового пользователя через AD Users&Comps, то добавить ему ящик через ECP получалось только корда пройдёт реплика между регионом и центром.

    тяжело писать уникальные вещи по этой тематике. Тем не менее спасибо!

    Ни на какую уникальность не претендую, и тега «моё» не ставлю. В свое время убилось около часа чистого времени на поиск ответа из-за того, что сложно было сформулировать вопрос для поисковика. Когда сформулирован вопрос — проще найти ответ.

    Согласен, бывает сложно. Хотя вот забил обычные симптомы «exchange 2013 select organizational unit empty» и понял что проблема крайне распространена.

    Это ни в коем случае не критика.

    тоже практикую запросы на англ., когда на русском найти решение не могу =))

    Я уже плюнул на попытки гугления на русском. Сразу на английском гуглю.

    Так пост в лиге сисадминов. Да и это интересней, чем читать пост про то, как кабель для проектора меняли. А такой пост был.

    Настройка TLS на Exchange 2010/2013

    Итак, как я кому-то обещала:

    Настройка TLS на Exchange 2010/2013

    Когда это бывает нужно в exchange – когда вы хотите, чтобы почта между вами и вашим партнером шифровалась и её было бы трудно расшифровать. Ну, как обычно: если у вас паранойя, это ещё не значит, что за вами не следят 😉

    Наш пример выглядит как-то вот так:

    Наша половина левая. У нас (mydomain.ru) два exchange сервера с ролью Hub-Transport (доменные имена ex01 и ex02) и два edge-сервера (доменные имена ed01 и ed02), через которые идет внешняя почта. Для edge-серверов созданы соответственно MX-записи в DNS зоне, которая смотрит вовне. У наших «друзей» (frienddomain.ru) всё аналогично, но может быть и по-другому, для настройки нашей половины это не принципиально.

    Я рассматриваю ситуацию, когда почта уже настроена и ходит вовне, но пришло время параноиков.

    Подписать его в центре сертификации

    Подгрузить его в exchange и связать с SMTP

    Сделать коннекторы с TLS

    Включить в send-коннекторе обязательный запрос TLS

    Большая часть манов на английском начинается с того, что у вас из воздуха появляется сертификат. Обратитесь к администратору безопасности – как я «люблю» такие фразы. Нам придется справляться и за загадочного администратора.

    Заходим на edge-сервер ed01 и смотрим текущие сертификаты. Это вам радикально пригодится, если сломаете почту – чтобы вернуть старый сертификат, придется указать его номер.

    /из-под админа открываем консоль exchange powershell на edge-сервере/

    Теперь создаем CRC – Certificate Signing Request (тоже на edge, в той же консоли exchange powershell):

    New-ExchangeCertificate -GenerateRequest -Domainname ed01.mydomain.ru,mail-server1.mydomain.ru -PrivateKeyExportable $True >>c:ed01req.txt

    В текстовом файле будет простыня символов – она нам нужна на следующем этапе.

    То, что мы создали раньше – лишь запрос, теперь надо получить подписанный сертификат. Если у вас в компании всё круто и вы можете подписать его доверенным центом сертификации – здорово. Но нам хватит и самоподписанного.

    Надо найти сервер, на котором стоит роль центра сертификации (Active Directory Certification Services). Этот сервер точно должен быть, если вы настаивали работу почты через owa или просто вне домена (exchange activesync). У нас это условный сервер DB01 и висит центр сертификации на порту 8080 (потому что 80 уже чем-то оприходован) http://db01.mydomain.ru:8080/certsrv/ ). Заходить на него надо из-под учетки доменного админа или с аналогичными правами.

    Выбрать «Request a certificate»

    Выбрать «Or, submit an advanced certificate request»

    Выбрать «Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.»

    В поле ввода скопировать простыню символов из первого пункта.

    Нажать «Submit», выбрать точку «DER Encoded» и скачать сертификат. Получаем файл ed01.cer

    Шаблон должен быть «WebServer». Если поля для выбора шаблона, как на картинках в мане нет, то в поле атрибутов указать»CertificateTemplate:WebServer».

    Загрузка SSL-сертификата на почтовик

    Копируем сертификат в корень диска C: на edge-сервер ed01 (для определенности. На самом деле – куда угодно).

    На edge-сервере из консоли exchange powershell от доменного админа:

    Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path C:ed01.cer -Encoding byte -ReadCount 0)) -PrivateKeyExportable $true -Password:(Get-Credential).password | Enable-ExchangeCertificate -Services SMTP

    Соглашаемся с заменой сертификата. На этом моменте упадет внешняя почта на данном edge-сервере. Выпадет warning о том, что потеряна подписка на AD, сделайте новую с помощью EdgeSubscription:

    Перезагружаем сервер edge (чисто эмпирическое наблюдение, наверное, хватит ребута службы транспорта).

    После перезагрузки в консоли exchange powershell создаем новую подписку:

    New-EdgeSubscription –FileName c:edge_subscr.xml

    Созданный xml-файл копируем на сервер exchange ex01 в корень диска C:

    Теперь на сервере exchange (вообще-то на сервере с ролью Hub-Transport) подтверждаем подписку:

    Для Exchange 2010: Зайдем в консоль управления Exchange -> раздел Конфигурация организации -> действие New Edge Subscription.

    В Exchange 2013 надо делать загрузку из консоли powershell:

    New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path «C:edge_subscr.xml» -Encoding Byte -ReadCount 0)) -Site «S000»

    Сайт тут – сайт Active Directory, где у вас находятся почтовик с edge.

    Если ed01 был связан и с ex02 – повторяем на нем аналогично.

    Можно еще пнуть синхронизацию: Start-EdgeSynchronization

    И да, еще раз перегружаем edge (но можно и просто ребутнуть службу, вероятно), минут через 10 починится внешняя почта.

    Мануал говорит: на этом этапе сервер уже будет предлагать TLS. Неправда, не верьте.

    Создаем коннекторы отправки и получения

    На edge-сервере ed01 создаем коннектор получения (Receive Connector). Вот здесь уже хватает инструкций, можно выбрать на свой вкус. Как определить IP MX серверов у друзей:

    nslookup –type=MX frienddomain.ru

    В коннектор добавляем MX серверов тех друзей, с которыми настраивали TLS. И мы добавляем еще свой Wi-Fi, дабы с него проверить, что строчка 250-STARTTLS появляется.

    Как проверить, что кому надо будет предлагаться TLS – откуда-нибудь извне домена (с того вайфая, чей адрес указали в коннекторе) заходим в обычную консоль и набираем:

    telnet mail-server1.mydomain.ru 25

    В выводе должна появиться строчка «250-STARTTLS». (где-то посередине).

    Создать из консоли edge-сервера коннектор отправки не получится – его надо создавать на сервере с ролью hub-transport (exchange). На 2013 — в web-консоли. А на Edge он автоматом приедет по подписке (минут через 5).

    Send-Connector на Exchange:

    Поскольку, FQDN можно указать только один, делаем два аналогичных коннектора.

    Коннекторы надо создавать симметрично, в обоих доменах, для которых настраивается TLS.

    Включаем обязательный запрос TLS в Send-Connector

    На сервере exchange из exchange powershell («EdgeSync — TLS_to_frienddomain» – Это имя нашего коннектора):

    Set-SendConnector «EdgeSync — TLS_to_frienddomain» -RequireTLS 1

    Это делаем с обоих сторон. Перезапускаем службу транспорта на edge и проверяем.

    Get-SendConnector «EdgeSync — TLS_to_frienddomain» | fl

    Иииии, всё повторяем для второго edge ed02.

    Собственно, вопрос для тех, кто в теме: лучше делать два send-коннектора, где указывать разный FQDN и распространять каждый из них на оба edge, или на каждый edge распространять свой коннектор только со своим FQDN?

    Ну и заключение: на оригинальность не претендую. Просто рабочая (у меня) инструкция, собранная с 5-6 мануалов, так как до этого ни с чем подобным дело не имела и тупила на элементарных вещах. Ссылки на большинство инструкций найти не смогла, так что тут не привожу.

    Подключение почтовых клиентов к Microsoft Exchange Server

    Содержание

    Назначение

    В этой инструкции описано подключение различных почтовых клиентов к серверу Microsoft Exchange. Цель — получить систему, по функциональности соответствующую Microsoft Outlook.

    Входные данные

    В примерах используется сервер Microsoft Exchange 2010 (v14.03.0361.001) Service Pack 3 Update RollUp 18. Тестирование производится внутри корпоративной сети. На DNS-серверах указаны внешние почтовые адреса для почтового сервера. На сервере Exchange должны работать:

    1. OWA (Outlook Web Access) — веб-клиент для доступа к серверу совместной работы Microsoft Exchange
    2. OAB (Offline Address Book) — автономная адресная книга
    3. EWS (Exchange Web Services) — сервис, предоставляющий доступ к данным почтового ящика, хранящимся в Exchange Online (как часть Office 365) и в локальной версии Exchange (начиная с Exchange Server 2007)

    Параметры сервера Exchange

    Важным моментом для успешной работы не-Microsoft-клиентов на Exchange 2010 является проверка подлинности. Посмотреть её параметры можно на сервере Exchange с ролью CAS (Client Access Server). Запустите оснастку «Диспетчер служб IIS» и откройте вкладку «Сайты»/Default Web Site. Обратите внимание на проверку подлинности в трёх компонентах:

    • OWA — Состояние «Включён» для «Обычная проверка подлинности» и «Проверка подлинности Windows»:

    • OAB — Состояние «Включён» для «Обычная проверка подлинности» и «Проверка подлинности Windows»:

    • EWS — Состояние «Включён» для «Анонимная проверка подлинности», «Обычная проверка подлинности» и «Проверка подлинности Windows»:

    Прослойки (посредники) и вспомогательные утилиты

    DavMail

    Некоторые почтовые клиенты не могут напрямую подключаться к Microsoft Exchange и требуют использования прослойки (посредника). В данном примере в качестве посредника используется прокси-сервер DavMail.

    • Установите DavMail, получив права администратора при помощи su или sudo :
    • Запустите DavMail:

    • На вкладке «Main» в поле «OWA (Exchange) URL» введите адрес своего сервера в формате «https:// /EWS/Exchange.asmx» или ссылку на OWA

    в формате «https:// /owa».

    • Запомните номера портов «Local IMAP port» и «Local SMTP port». В данном примере это 1143 и 1025, соответственно.

    Чтоб каждый раз не запускать вручную сервер DavMail, нужно добавить его вызов в автозагрузку.

    • Зайдите в меню «Параметры системы → Запуск и завершение → Автозапуск», нажмите на кнопку [Добавить приложение] и в строке поиска введите «davmail», после чего нажмите [ОК]:

    Теперь локальный прокси-сервер DavMail будет запускаться при старте системы автоматически. Если вам мешает его значок в «Панели задач», есть возможность его спрятать. Для этого в файлe .davmail.properties отредактируйте строку davmail.server=false , поменяв false на true :

    Почтовые клиенты для подключения к Exchange

    Теперь можно приступить к настройке почтовых клиентов.

    Thunderbird

    Mozilla Thunderbird является основным почтовым клиентом для дистрибутивов ROSA Linux и, скорее всего, он уже установлен в вашей системе и готов к работе. Если же нет, его можно установить из репозиториев ROSA. В данном примере используется версия 52.2.1.

    • Установите Thunderbird:
    • Добавьте русскоязычный интерфейс:
    • Установите дополнение lightning, позволяющее использовать календари:
    • Запустите Thunderbird.
    • В разделе «Учётные записи» в пункте «Создать учётную запись» выберите «Электронная почта». Появится окно приветствия.
    • В открывшемся окне нажмите на кнопку [Пропустить это и использовать мою существующую почту].
    • В окне «Настройка учётной записи почты» введите в поля «Ваше имя», «Адрес эл. почты» и «Пароль» свои учётные данные.

    • Нажмите [Продолжить]. Программа попытается найти подключения (безуспешно), и появится сообщение об ошибке:

    Здесь вам понадобятся номера портов, которые вы запомнили при настройке DavMail.

    • Для категорий «Входящая» и «Исходящая» измените имя сервера на «localhost».
    • Укажите для «IMAP» порт 1143, а для «SMTP» — порт 1025.
    • В поле «Имя пользователя» укажите UPN (User Principal Name) — доменное имя пользователя в формате «ИмяПользователя@ДоменОрганизации.ru».
    • Нажмите на кнопку [Перетестировать].

    При правильном вводе учётных данных ошибок не будет. Возможно, система сообщит о необходимости принять сертификат сервера Exchange. Если этого не происходит, возможно вы слишком рано выключили интерфейс DavMail.

    Создание календаря пользователя

    • В категории «Учётные записи» выберите пункт «Создать новый календарь».
    • В появившемся окне выберите значение «В сети» и нажмите [Далее].
    • Выберите формат «CalDAV» и в поле «Адрес» введите «http://localhost:1080/users/ /calendar»:

    Создание адресной книги

    Адресная книга Thunderbird не поддерживает протокол CardDAV и может быть подключена только к каталогу LDAP сервера Exchange.

    • Откройте существующие адресные книги, нажав на кнопку [Адресная книга] и выбрав пункт «Файл → Создать → Каталог LDAP».
    • В окне мастера укажите следующие параметры:
      • Название — любое подходящее имя
      • Имя сервера — localhost
      • Корневой элемент (Base DN) — ou=people
      • Порт — 1389 (из Davmail)
      • Имя пользователя (Bind DN) — UPN-имя пользователя

    • Нажмите [ОК]. Программа попросит ввести пароль.

    Для удобства работы рекомендуется указать созданное вами соединение в качестве адресной книги по умолчанию.

    • Зайдите в меню параметров Thunderbird. В категории «Составление» выберите вкладку «Адресация» и под текстом «При вводе адреса искать подходящие почтовые адреса в» отметьте пункт «Сервере каталогов», выбрав имя вашей адресной книги.

    Evolution

    В репозиториях ROSA также доступен почтовый клиент Evolution (в данном примере используется версия 3.16.4).

    • Установите Evolution:
    • Установите коннектор Exchange, совместимый с версией 2007 и более поздними:

    Перед запуском рекомендуем обратиться к п. Параметры сервера Exchange данной статьи и убедиться в верной настройке «Проверки подлинности» для EWS.

    • Запустите Evolution.
    • В окне мастера нажимайте кнопку [Следующая], пока не перейдёте на вкладку «Учётная запись».
    • Заполните поля «Полное имя» и «Электронная почта».
    • На вкладке «Получение почты» в списке «Тип сервера» выберите «Exchange Web Services».
    • В качестве имени укажите UPN-имя пользователя в формате «ИмяПользователя@ВашДомен.ru».
    • В поле «Host URL» введите «https://ИмяПочтовогоСервераExchange/EWS/Exchange.asmx.
    • В поле «OAB URL» введите URL автономной адресной книги.
    • В качестве вида аутентификации выберите «Basic».

    При успешной настройке программа запросит пароль:

    После ввода пароля Evolution получит доступ к вашему почтовому ящику, адресной книге и календарям.

    Читать еще:  Перенос учетной записи в домен
    Ссылка на основную публикацию
    Adblock
    detector