Question

Por mas que reviso la configuración del servidor de Exchange 2007, OWA funciona bien dentro y fuera de la oficina pero Outlook Anywhere no. Aparece error que outlook de bede estar conectado a Exchange para descargar las carpetas. Si alguien ha configurado el outlook anywhere exitosamente agradecería si me pudiera comentar como lo hizo, porque por mas que reviso la configuración del Exchange no consigo hacerlo funcionar.

Diria que el problema lo tengo que Exchange no ha generado el Certificado y no puedo exportarlo porque no existe, como puedo generarlo?
 

 

Gracias

David

Answer 1

grifax21,

Te conviene generar el certificado SAN (Subject Alternative Names) desde esta web:

1) https://www.digicert.com/easy-csr/exchange2007.htm

2) Luego te abres una consola de exchange powershell y copias el resultado de la web:

Ej.: New-ExchangeCertificate -GenerateRequest -Path c:\TuEmpresa.csr -KeySize 2048 -SubjectName "c=AR, s=tu state, l=tu ciudad, o=tu empresa, ou=sistemas, cn=TuEmpresa" -DomainName autodiscover.tuempresa.com, mail.tuempresa.com, servidorexchange, owa.tuempresa.com, etc -PrivateKeyExportable $True

*Con esta accion estaras generando un request hacia el exchange que quedara pendiente hasta que completes el proceso y te dara como resultado un archivo (.csr) y un thumbprint (un ID unico de identificacion del proceso de certificado)
*Anotate el Thumbprint que luego lo vas a necesitar para habilitar los servicios del certificado.

Ej: de Thumbprint 5113ae0233a72fccb75b1d0198628675333d010e

Luego lo puedes verificar con este comando si te lo has olvidado

Get-ExchangeCertificate
Get-ExchangeCertificate 5113ae0233a72fccb75b1d0198628675333d010e | fl
Get-ExchangeCertificate -DomainName mail.tuempresa.com

3) Abres el C:\TuEmpresa.csr con un notepad, copias todo lo que ves abajo:

Ej.:

-----BEGIN CERTIFICATE REQUEST-----
MIIBnTCCAQYCAQAwXTELMAkGA1UEBhMCU0cxETAPBgNVBAoTCE0yQ3J5cHRvMRIw
EAYDVQQDEwlsb2NhbGhvc3QxJzAlBgkqhkiG9w0BCQEWGGFkbWluQHNlcnZlci5l
eGFtcGxlLmRvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAr1nYY1Qrll1r
uB/FqlCRrr5nvupdIN+3wF7q915tvEQoc74bnu6b8IbbGRMhzdzmvQ4SzFfVEAuM
MuTHeybPq5th7YDrTNizKKxOBnqE2KYuX9X22A1Kh49soJJFg6kPb9MUgiZBiMlv
tb7K3CHfgw5WagWnLl8Lb+ccvKZZl+8CAwEAAaAAMA0GCSqGSIb3DQEBBAUAA4GB
AHpoRp5YS55CZpy+wdigQEwjL/wSluvo+WjtpvP0YoBMJu4VMKeZi405R7o8oEwi
PdlrrliKNknFmHKIaCKTLRcU59ScA6ADEIWUzqmUzP5Cs6jrSRo3NKfg1bd09D1K
9rsQkRc9Urv9mRBIsredGnYECNeRaK5R1yzpOowninXC
-----END CERTIFICATE REQUEST-----

4) Esto lo tienes que pegar en tu Entidad Certificadora del dominio:

Ej: http://tucaroot/certsrv

Request a certificate > Advanced Certificate Request > Create and submit a request to this CA  y pegas el contenido antes copiado
seleccionas web server de la lista desplegable y lo generas y listo, luego bajas el certificado generado (NO el Base64) sino el común. Este certificado (certnew.cer) lo copias al servidor de Exchange, por ejemplo al C:\ y nuevamente desde un exchange powershell escribes:

5) Import-certificate -path c:\certnew.cer
6) Enable-ExchangeCertificate -Thumbprint 5113ae0233a72fccb75b1d0198628675333d010e -Services POP,IMAP,SMTP,IIS

Y listo, ya tiene tu certificado SAN para tu Exchange y Outlook AnyWhere !!

EDITADO:

En referencia al último comentario:

Recuerda que los outlook 2007 necesitan un parche para corregir el problema con el autodiscover !!!!, asegurate de eso y tambien de crear el registro SRV (_autodiscover._tcp.tuempresa.com) en tu servidor público donde hosteas los registros MX de tu dominio o en su defecto crea un registro Host (A) llamado autodiscover.tuempresa.com

Parche para outlook 2007:

1) http://support.microsoft.com/kb/956531/es

2) http://support.microsoft.com/kb/940881/es

Exitos !!!

 

 

Exitos ! luego me cuentas !

Comments

una vez acabado el proceso anteriror, ha empezado a pedir instlar certificados en los equipos cliente de dentro de la oficina, dentro del dominio y aunque le instalo el certificado que me dice en ese mismo aviso sigue apareciendo al reiniciar outlook, eso se puede arreglar? Gracias

---

Grifax21,

Recuerda que el outlook anywhere deberia estar desactivado para redes rapidas o LAN, dentro de tu empresa.
Prueba con eso, a ver si dentro de la LAN pide password continuamente. Si sigue pidiendo, intenta revisar la configuracion del IIS nuevamente, y loguea a los usuarios con DOMINIO\usuario y su contraseña de AD y haz que recuerden esta opcion. Es normal que pida por unica vez password, pero no siempre. Si no funciona, prueba con usuario y password unicamente. Te recomiendo que chequees un una PC Cliente, si existe el certificado de la CA de tu dominio. si no es asi (sintoma raro), por favor verifica que tengas configurado el autoenrollment de certificados en tu GPO Default Domain Policy. Exitos. !!

---

Efectivamente era el autoenrollement que no lo tenia configurado. Ahora ya tengo Outlook Anywhere funcionando fuera de la oficia. Aunque solo los Outlook 2003, los Outlook 2007 no funcionan.

Muchas Gracias

David

---

Recuerda que los outlook 2007 necesitan un parche para corregir el problema con el autodiscover !!!!, asegurate de eso y tambien de crear el registro SRV (_autodiscover._tcp.tuempresa.com) en tu servidor público donde hosteas los registros MX de tu dominio o en su defecto crea un registro Host (A) llamado autodiscover.tuempresa.com

Parche para outlook 2007:

1) http://support.microsoft.com/kb/956531/es

2) http://support.microsoft.com/kb/940881/es

Exitos !!!

---

He instalado los parches y creado un registro Host (A) llamado autodiscover.tuempresa.com en nuestro servicio externo de DNS, de momento no funciona. Esperare unas horas para comprobar que no sea problema de replicacion de dns por el mundo porque el outlook 2007 sigue diciendo que no encuentra el servidor proxy mail.miempresa.com

---

Por lo general es bastante rapido. Intenta crear el registro SRV y haz una prueba en http://www.testexchangeconnectivity.com. Saludos.

Answer 2

Hola grifax21,

En primer lugar te recomendaria que revises la mi respuesta en https://www.preguntaserver.com/3509/exchange-autodiscover-externamente-funciona-exchange-server?show=3644#a3644

Seguido a eso chequea que el IIS no se haya modificado y tenga la configuracion por default. Por lo general el Outlook Anywhere funciona con el componente previamente instalado de IIS de RPC over HTTP proxy, si ya lo instalaste antes, obvia este paso.
Por otro lado el directorio virtual de RPC tiene que estar con SSL y con autenticacion básica.

Cheque tambien si tiene una redireccion HTTPS en el sitio web por defecto y si no se te propago a los demas directorios por error.
Solo tienes que redireccionar a tu direccion de OWA desde el website principal y manejarlo con error 403 / 404 y redirect 302 en el combo box. luego lo destildas desde los demas directorios virtuales. recuerda tambien requerir SSL en el default website para que no muestre la pantalla de IIS 7.

Si no se resuelve con mi respuesta y esto que te acabo de agregar, vuelve a recrear los directorios virtuales del IIS desde powershell, antes deshabilita el Outlook Anywhere, desinstala RPC over HTTPS proxy, reinicia el server, instala el RPC, luego recrea los directorios virtuales, configura la redireccion al OWA, y levanta Outlook Anywhere nuevamente desde la EMC (FQDN de la direccion externa de tu servidor exchange y marca Autenticacion Basica), y vuelve a rechequear los parametros de mi respuesta a otra pregunta, la que te coloque al principio.

Para una laptop que esta fuera del dominio, solo necesitas desde tu exchange, exportar el certificado ".p7b". Eso lo haces mediante una consola de mmc, agregas el snap in de certificados, seleccionas este equipo, luego ve al almacen de Entidades de Certificación de confianza y busca el certificado del exchange, haz clic derecho y lo exportas como en la imagen.

Esto te exportará tanto el certificado del exchange como el de la CA interna de tu dominio. Este archivo deberas brindarselo a las laptops que esten fuera del dominio e importarlas manualmente en el mismo almacen. Luego le configuras la cuenta de exchange para que tanto en conexiones lentas como rapidas utilice RPC over HTTP proxy y escribes el FQDN de tu servidor de correo (generalmente tu registro MX)
por ejemplo,. mail.tuempresa.com, pero eso si, si hiciste todos estos pasos y tu certificado no es SAN (Subject Alternative Names) y no concuerda con esta direccion que estas colocando jamas se conectará. Coloca tambien la misma direccion en el casillero de abajo anteponiendo el parametro: msstd:mail.tuempresa.com. y seleccionas autenticación Básica. Y listo. !

Exitos. Luego me cuentas.

Comments

El certificado del Excahnge lo tengo dentro de Remote Desktop (en el mmc) en lugar de Entidades de certificacion raís de confianza, es lo mismo? si no es este no lo tengo, como tendria que generarlo?

---

Te respondi con una nueva respuesta. !!

Answer 3

No he usado mucho Exchange pero encontré este vídeo, espero que te sirva

Saludos