Назад | Перейти на главную страницу

Публикация Activesync через TMG с клиентскими сертификатами (403.7 Запрещено)

Я пытаюсь опубликовать Exchange 2003 activesync на сервере Server2K3 через TMG 2010 на сервере 2008R2, используя сертификат клиента на мобильных устройствах Android.

Насколько я могу судить, проблема связана с TMG, так как когда я подключаюсь напрямую к почтовому серверу, все работает нормально. При прохождении через TMG я вижу попытку в журналах EAS, и сервер возвращает 403.7 - Запрещено, требуется сертификат клиента.

Теперь я настроил веб-прослушиватель для запроса клиентских сертификатов, я сказал правилу публикации использовать ограниченное делегирование Kerberos, и я настроил поле TMG в Active Directory для делегирования со следующими именами SPN:

http / {внутреннее полное доменное имя почтового сервера}
w3svc / {внутреннее полное доменное имя почтового сервера}

Я выполнил шаги в этих двух пошаговых руководствах:
http://www.isaserver.org/tutorials/publish-microsoft-exchange-active-sync-eas-isa-server-2006-part1.html
http://www.isaserver.org/tutorials/Publish-Microsoft-Exchange-Active-Sync-EAS-ISA-Server-2006-Part2.html

Тем не менее, несмотря ни на что, я все еще получаю 403.7 обратно с сервера Exchange. Я подозреваю, что проблема либо в том, что сервер TMG получает билет от нашего DC, либо в том, что TMG предоставляет билет на почтовый сервер.

Любые предложения приветствуются!

Заранее спасибо.

Возьмите трассировку сети изнутри коробки TMG во время аутентификации от клиента; это покажет вам обмен билетами с DC. (при условии, что в журналах нет конкретной ошибки).

Хотя 403.7 примерно переводится как Требуется сертификат клиента. Если это ошибка, которую вы видите в журналах W3 на веб-сервере, вам необходимо отключить там аутентификацию сертификата клиента; TMG может использовать только протокол Kerberos, поэтому проверка подлинности сертификата клиента больше не используется.

Это также объяснило бы, почему он все еще работает без изменений.

Изменить - лучшая ссылка для настройки ActiveSync с аутентификацией сертификата клиента, которую я видел, находится в руководстве по развертыванию ISA 2006 на Technet: http://technet.microsoft.com/en-us/library/bb794751.aspx#AppendixC

Изменить 2 - чтобы сделать это явным, приведенная выше статья части 1 неправильно, в котором не адресуется ISA / TMG, выполняющий аутентификацию сертификата клиента; только делать это прямо в коробке обмена.