Déployer SSL sur un exchange frontal - Sécurité - Windows & Software
Marsh Posté le 20-08-2004 à 10:22:33
si tu fais https://ipserveur/echange ça marche ou pas ?
pour le OMA c'est un peux plus galere, il faut cres un autre repertoir virtual, je te retrouve la procedure.
Pour le certificat aucune importance si il ne correspond pas au FQDN (tu auras un message d'avertissement c'est tout)
Marsh Posté le 20-08-2004 à 10:23:34
ça peux t'aider :
http://support.microsoft.com/defau [...] t=exch2003
Marsh Posté le 20-08-2004 à 10:36:24
Héhé déja une réponse, merciii
Bon alors, https://ip_serveur/exchange je suis pas sûr d'avoir essayé, il faudra que je teste ça effectivement.
Petit détail que j'ai oublié plus haut : Quand je tape https://ip_serveur/oma (ou même owa), l'action ne fonctionne pas.
Quand je tape http://ip_serveur/oma (ou owa) la fenetre d'authentification (login etmot de passe) s'ouvre, j'en déduit que cela fonctionne puisque il me demande le login et pass (malheureusement, étant un piti stagiaire je ne possède pas les identifiants).
Donc pour résumer :
- http : localhost/postinfo.html --> nécéssite de passer en https
- https : localhost/postinfo.html --> action annulée
- http : ip_serveur/oma --> la fenetre d'authentification s'ouvre (ça fonctionne?)
- https : ip_serv/oma --> action annulée
Je teste donc https: ip_serv/exchange dès qu'on me réouvre le serveur 2003, mon tuteur est parti en déplacement là
Sinon SylvainDNS, le lien est mort apparament, "Article de la base de connaissances non disponible"
En plus je pense l'avoir épluché en long en large et en travers le support microsoft, m'enfin, il se peut que j'ai loupé des articles.
D'avance merci
Marsh Posté le 20-08-2004 à 10:40:56
Perso j'ai un Front-End Back-end et OMA à fonctionnr grace à cette article, a premiere vu il n'es plus existant sur leur site, sinon t'as koi comme erreur dans les evenemnt 2K3 ?
tiens je te mets l'article µsoft :
"Unable to Connect to Your Mailbox on Server <ServerName>" Error Message and an Event ID 1805 Message Occur When You Try to Access Outlook Mobile Access
Liste des produits concernés par cet article
SYMPTOMS
When you try to access Microsoft Outlook Mobile Access, you may receive one of the following error messages:
Unable to connect to your mailbox on server ServerName. Please try again later. If the problem persists contact your administrator.
-or-
A System error has occurred while processing your request. Please try again. If the problem persists, contact your administrator.
Additionally. the following event ID messages may be logged in the Application event log:
Event Type: Error Event
Source: MSExchangeOMA
Event Category: (1000)
Event ID: 1805
Date: 2/20/2003
Time: 6:25:35 PM
User: N/A
Computer: ServerName
Description: Request from user UserA@domain.com resulted in the Microsoft(R) Exchange back-end server ServerName returning an HTTP error with status code 403:Forbidden
-and-
Event Type: Error
Event Source: MSExchangeOMA
Event Category: (1000)
Event ID: 1507
Date: 2/20/2003
Time: 6:38:28 PM
User: N/A
Computer: ServerName
Description: An unknown error occurred while processing the current request: Exception of type Microsoft.Exchange.OMA.DataProviderInterface.ProviderException was thrown.
CAUSE
This issue occurs if one of the following conditions are true:
The Exchange virtual directory is configured to require Secure Sockets Layer (SSL).
-or-
Forms Based Authentication is activated on the Exchange virtual directory.
Outlook Mobile Access uses the Exchange virtual directory to access Microsoft Outlook Web Access (OWA) templates on the Exchange back-end server that contains the users mailbox. When the Exchange virtual directory is configured to require SSL or if Forms Based Authentication is activated, Server ActiveSync and Outlook Mobile Access cannot access the Exchange virtual directory. This problem does not occur when these settings are activated on the Exchange virtual directory on a front-end server.
RESOLUTION
To resolve this issue, use either of the following methods:
Activate SSL or Forms Based Authentication on front-end Exchange servers only.
Follow these steps to activate SSL or Forms Based Authentication on back-end Exchange servers:
Click Start, point to Programs, point to Microsoft Exchange, and then click System Manager.
Locate the Servers/ServerName/Protocols/HTTP/Exchange Virtual Server folder.
Right-click Exchange Virtual Server, click New, and then click Virtual Directory.
Type the name of the new virtual directory that Server ActiveSync and Outlook Mobile Access will use. For example, type /Exchange-oma.
Note The name that you type is not the name of the virtual directory that OWA clients connect to.
In the Exchange Path section, click Mailboxes for SMTP domain, and then make sure that the correct SMTP domain is listed.
Click OK to return to Exchange System Manager.
Click Start, click Run, type regedit, and then click OK.
Locate and then click the following registry key:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MasSync\Parameters
Click the Parameters key.
On the Edit menu, point to New, and then click String Value.
Name the new key that you created in step 10 "ExchangeVDir".
Double-click the ExchangeVDir key, and then type name of the virtual server that you created in step 4 in the Value Data box.
For this example, type /Exchange-oma.
Click Start, point to Programs, point to Administrative Tools, and then click Internet Services Manager.
Right-click the virtual directory that you created in step 4, and then click Properties.
In this example, the virtual directory is named /Exchange-oma.
Click the Directory Security tab.
Under IP address and domain name restrictions, click Edit.
Click Denied access, and then click Add.
Click Single computer.
Type the IP address of the server that you are configuring in the IP address box, and then click OK.
Click OK to return to the Directory Security tab of the virtual directory properties page.
Under Anyonymous access and authentication control, click Edit.
Verify that the Integrated Authentication check box is selected. If the Integrated Authentication check box is not selected, click to select this check box.
Click OK.
Under Secure communications, click Edit. Make sure that Require secure channel (SSL) is not selected.
Click OK to close the remaining dialog boxes.
Repeat steps 3 to 20 for each of the back-end servers where SSL is required for the Exchange virtual directory or where Forms Based Authentication is activated on the Exchange virtual directory.
Click Start, point to Programs, point to Administrative Tools, and then click Services.
Stop and restart the World Wide Web Publishing service.
The information in this article applies to:
Microsoft Exchange Server 2003 Enterprise Edition
Microsoft Exchange Server 2003 Standard Edition
Last Reviewed: 2/24/2004 (4.0)
Keywords: kbtshoot kberrmsg kbnofix kbBug KB822177 kbAudEndUser kbAudITPRO
Marsh Posté le 20-08-2004 à 10:59:43
Merci pour l'article, de la lecture/traduction en perspective
Pour les logs je regarde des que mon tuteur est rentré, il m'ouvre le serveur.
Merchi mec!
Marsh Posté le 20-08-2004 à 14:27:11
Euh arrete-moi si je me trompe, mais la procédure dit bien que ça concerne les "back-end servers", et pas les "front-end servers" non?
Mon exchange est un serveur frontal, je ne devrait donc pas avoir ce problème -->"This problem does not occur when these settings are activated on the Exchange virtual directory on a front-end server"
M'enfin je vais tenter quand même de créer ce repertoire virtuel on ne sait jamais.
Sinon je n'ai pas encore pu accéder au serveur, mais j'ai bon espoir pour aujourd hui... sinon je vais m'emmerder sec moi
Marsh Posté le 20-08-2004 à 22:52:26
persoj'ai du applique la procedure sur mon srv frontal, sinon ça ne marchais pas.
Marsh Posté le 23-08-2004 à 11:26:47
Oki.
Bah alors, j'ai regardé les logs applications, sécurité et système du serveur 2003, je n'y ai vu aucune erreur relative à OMA ou exchange, enfin si il y a une erreur récurrente à OMA, mais elle est antérieure au déploiement du certificat.
Sinon en tapant https//:ip_serveur/exhange cela ne fonctionne pas non plus.
De toute façon j'en reviens à cette page de test du serveur https://localhost/postinfo.html, ça ne marche pas non plus, ce devrait être le 1er truc à marcher si tout se passe bien je pense, et donc le reférent à tout test.
Je ne pige toujours pas, j'y ai passé ma semaine dernière et la ça semble être parti pour celle-ci aussi
Apparement le certificat se déploie bien mais mystère, impossible d'accéder à OMA en https.
Pourtant le service OMA fonctionne déja, il est en service depuis longtemps, il s'agit juste de lui faire avaler le https pour qu'il fonctionne avec.
Voilà si tu peux me donner des pistes ou des solutions, ou quelqu'un d'autres, toutes les bonne volontés seront bienvenues, heeeelp!
PS : agh oui, la procédure que tu me donnais plus haut, c'est juste pour activer OMA, ou pour activer le SSL sur OMA???
Si c'est pour activer OMA, il fonctionne déja en fait.
Marsh Posté le 23-08-2004 à 15:28:55
UP
j'commence a avoir des suées avec ce grmbl** de SSL... help me please!
Marsh Posté le 23-08-2004 à 19:27:15
La procedure c'est juste un bug avec OMA en https.
Deja dans un premier temps il faudrai que https://serveur/exchange fonctionne.
Quand tu te connecte en https il ta charge bien le certificat ?
Marsh Posté le 23-08-2004 à 22:41:00
Ton serveur de certificat c'est ton Exchange ?
Tu as essayer de recrer le certificat ?
Marsh Posté le 26-08-2004 à 10:48:25
Rah merci Sylvaindns (désolé chuis tombé malade j'etais plus là)
Donc, non non quand je tape l'adresse du serveur exchange en https ça ne fonctionne pas, il ne me charge pas le certif'.
Ce certif' on l'a recréee 3 ou 4 fois, en suivant des procédures du support microsoft à la lettre.
Apparement le certif' se crée bien, on le fait valider (par nous même, le serveur exchange frontal à qui on a installé le service de certification), on l'installe sur ce même serveur donc. Tout à l'air de bien se passer, sauf que quand on veut se connecter en https ben nada.
Y'a un truc étrange tout de même je trouve, j'en ai déja parlé plus haut c'est le suivant :
- Connection avec la page test de serveur : http//localhost/post_info.html ---> impossible de charger la page, action annulée
httpS//localhost/post_info.html ---> impossible de charger la page blabla
- Connection sur le service exchange via OMA :
http//ip_serveur/OMA---> il m'ouvre la fenetre d'authentification, j'en déduit que ça fonctionne (or avec le certif' il devrait me dire "non non connecte toi en canal sécurisé https"
httpS//ip_serveur/OMA---> actgion annulée impossible de charger la page blabla
ça m'intrigue ce truc, pourquoi la page web test du serveur ne fonctionne ni avec http, ni avec httpS ; et pourquoi le service oma à l'air de fonctionner en http (logiquement il ne devrait pas), et pas en https (ça ça semble plus coller avec le test de la page localhost/postinfo.html du serveur.
Sinon quand j'essaie avec http(S)//ip_serveur/exchange ça ne fonctionne ni en http, ni en https.
Tout ce que je décris là, c'est une fois que j'ai activé l'option "requérrir un canal sécurisé", sans activer le cryptage 128 bits, et en ignorant les certif clients.
Bien sur j'ai testé d'autres conf, genre j'ai activé le cryptage 128 bit etc, mais rien n'y fait.
Je me pose une question cependant, ta remarque concernant ta procédure par rapport à un bug d'OMA, c'est peut être lié à ma question "pourquoi ça fonctionne http//.../OMA alors que ça ne devrait pas?"
Ceci dit je suis pas plus avancé. Je continue les recherches depuis lundi, ai épluché des tonnes de procédures et messages d'erreurs microsoft, mais je piétine toujours.
Bon en tout cas merci pour l'interêt que tu portes à mon problème, c'est cool
Marsh Posté le 26-08-2004 à 12:34:06
Sur ton serveur IIS, tu as bien activé l'écoute sur le port 443 du SSL sur le serveur Web qui héberge OMA ?
Marsh Posté le 26-08-2004 à 15:44:06
euh héhé...
SSL utilise le port 443, ça je sais
Mais je ne comprend pas bien le sens de ta question
Le serveur IIS est le même qui heberge Exchange, c'est d'ailleurs le seul truc qu'il fait.
Ce serveur se trouve dans une DMZ.
Ou est-ce que je doit activer/voir/vérifier le port 443?
Le serveur ne se met pas à vérifier ce port automatiquement apres déploiement du certif et activation du canal SSL?
Je pensais qu'une fois le certif' déployé et le canal activé, les échanges se faisaient automatiquement par le port 443... je me trompe?
Marsh Posté le 26-08-2004 à 16:56:23
RaymoundOo a écrit : euh héhé... |
Oui en effet, mais si le port 443 est activé sur un site de ton IIS, il ne peut pas l'être sur un autre.
Enfin... drop
Marsh Posté le 26-08-2004 à 17:23:01
Ah oki ben non à priori il est dispo et activé pour l'exchange du coup.
C'est de toute façon le seul service qui tourne dessus là
Marsh Posté le 20-08-2004 à 10:14:31
Bonjour,
dans le cadre d'un stage je dois déployer le service SSL sur un serveur Exchange frontal, afin d'activer HTTPS.
Le but serait de sécuriser les échanges fait entre exchange et le service OMA (outlook mobile access) sur un client distant.
J'ai donc déployé le service de certification sur le serveur exchange, puis avec les procédures récupérées sur le service support de microsoft, je crée donc un certificat, que je valide avec ce même serveur (du 2003). à priori tout se passe bien le certif se fait, se valide sans problème et s'installe également sans soucis. J'active l'onglet "exiger un canal sécurisé (SSL)", je n'active pas le cryptage 128bit(pas encore c'est pour tester), je coche "ignorer les certificats clients".
Le hic c'est une fois que je veux tester la page de test du serveur(localhost/postinfo.html) en HTTPS, ben pouf, "Action annulée, impossible d'ouvrir la page". ça marche pas donc.
Et pourtant en http, il me dit que je n'ai pas le droit, que cette page doit etre consultée en https
J'ai fait des recherches internet pendant des heures, je n'ai rien trouvé. je ne comprend pas ce qui déconne, car le déploiement se passe sans soucis.
La config : Serveur exchange 2003 sur du windoz2003, dans un réseau privé, derriere un firewall, dans une DMZ donc.
Ce service n'est destiné qu'a sécuriser les échanges entre des unités distantes de ma boite et le serveur mail, pas besoin de vrai certif reconnu donc.
Ce serveur n'a pas de nom de domaine, juste une ip, or j'ai lu que le certificat devait comporter un nom de DNS complet (FDQN), est-ce que ça pourrait venir de là??
Si quelqu'un pouvait me renseigner ça m'aiderait beaucoup, je suis bloqué à cause de ce https sur beaucoup de projets pour mon stage là
Comment faire marcher ce grmbl de HTTPS?