У меня есть новая среда Exchange 2013, работающая на Windows 2013 R2 с развернутыми серверами 2x Edge и 4x CAS / Mailbox. Он развертывается в лесу ресурсов с установлением надлежащих доверительных отношений с первичным лесом. OWA, ActiveSync и IMAP отлично работают.
Для тех клиентов, которые не работают / не работают с ActiveSync, мне, конечно, нужны IMAP и SMTP (мы сознательно категорически отказываемся от POP). IMAP работает нормально; SMTP нет.
Коннектор приема по умолчанию Клиентский интерфейс настроен для прослушивания порта 587. Когда я отключаю TLS, например, Mac Mail (поведение практически идентично независимо от клиента), я могу входить в систему только с пользователями в лесу ресурсов - я не могу аутентифицировать пользователей в основном лесу. Если я включу TLS (это то, что я хочу, и что, похоже, указывают настройки), я вообще не смогу подключиться.
Интересно, что стандартный коннектор приема Client Proxy (на порту 465) делает работают с включенным TLS и аутентификацией пользователей основного леса. Это говорит мне о том, что с сертификатом SSL все в порядке, и доверие работает.
Я не могу понять, почему коннектор клиентского интерфейса не позволяет мне подключаться по TLS. Когда я использую Telnet, я получаю следующее введение:
Trying x.x.x.86...
Connected to excmb1.example.com.
Escape character is '^]'.
220 example.com Microsoft ESMTP MAIL Service ready at Wed, 6 Aug 2014 15:51:27 -0800
ehlo
250-example.com Hello [x.x.x.155]
250-SIZE 36700160
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-AUTH GSSAPI NTLM
250-8BITMIME
250-BINARYMIME
250 CHUNKING
quit
221 2.0.0 Service closing transmission channel
Connection closed by foreign host.
Не могу не заметить отсутствие там строчки «250-STARTTLS» - она является присутствует, когда я подключаюсь к порту 465 через Telnet.
Использование EMC и Get-ReceiveConnector cmdlet, два соединителя приема по существу идентичны. Так почему же тот, что на 587 - тот, который клиенты должны использовать для SMTP, - не работает через TLS и не аутентифицирует пользователей доверенного домена? Почему один соединитель приема - тот, который должен быть только для того, чтобы серверы Exchange могли общаться друг с другом - работает, а внешне идентичный - нет?
Сначала проверьте, включен ли Tls AuthMechanism на коннекторе:
Get-ReceiveConnector -Identity "SERVER\Default Frontend SERVER" | Format-List
Если это не так, включите его:
Set-ReceiveConnector -Identity "SERVER\Default Frontend SERVER" -AuthMechanism "None,Tls"
Затем также убедитесь, что у вас есть сертификат для зарегистрированного сервиса Smtp:
Get-ExchangeCertificate | Format-List
Наконец все проверьте: http://www.checktls.com/index.html