Ég var fyrir skemmstu að aðstoða fyrirtæki sem er með tölvupóstþjónustu hjá ónefndu IT fyrirtæki, þetta IT fyrirtæki virtist ekki geta lagað einfalt certificate og autodiscovery vandamál. Suma daga þarf ekki mikið til að pirra mann og kannski þess vegna ákvað ég því að taka saman hvernig væri hægt að laga þetta með einföldu móti.
Vitanlega er högun misjöfn milli fyrirtækja en alltaf er hægt að laga svona meldingar með smá rökhugsun og þekkingu.
Grunnuppsetning
- Fyrirtækið notar einfald split-DNS umhverfi sem er gott, þá er Active Directory domain fyrirtæki.lan meðan ytra lén (tölvupóstur og vefsíða) er fyrirtæki.is.
- Tölvur starfsmanna eru skráðar á fyrirtæki.lan domain (tölvunafn.fyrirtæki.lan)
- Vélarnafn póstþjóns er EXCH01
- Ytri vísun pósts er mail.fyrirtæki.is en þessa vísun á t.d. að nota undir POP, IMAP og OWA (https://mail.fyrirtæki.is/owa)
- Fyrirtækið er búið að kaupa vottað certificate fyrir mail.fyrirtæki.is
- Outlook Anywhere á þjóni er stillt á mail.fyrirtæki.is
Villur
Villa eitt :
Þegar notendur voru í vinnunni og kveiktu á Outlook þá kom eftirfarandi (eða sambærileg) melding upp.
Þetta er 100% eðlileg villa í hálfkláraðri uppsetningu þar sem SSL certificate á póstþjóni er mail.fyrirtæki.is en Outlook tengist Exchange á EXCH01.fyrirtæki.lan…. certificate er semsagt vitlaust miðað við slóðina sem reynt er að tengjast.
Ég hef svo sem fjallað um þetta áður hér en þar sem villa eitt og tvö eru nátengdar þá er ágætt að hafa þetta saman hér í einum pakka.
Villa tvö:
Þegar notendur voru heima hjá sér eða úti í bæ þá kom eftirfarandi melding upp.
Allir sem hafa sett upp Exchange 2007 eða nýrri vita hvað Autodiscover er en í mjög stuttu máli þá er þetta sjálfvirk virkni í Outlook 2007 eða nýrri sem tengist Exchange til að sækja réttar stillingar. Þetta er gert til þess að notandinn þurfi ekki að vita eða stimpla inn neinar stillingar sjálfur.
Þetta er gríðarlega þægilegt en því miður gleyma margir að huga að þessu þegar certificate eru keypt eða finnst SAN certificate vera of dýr (sem þau eru). Það væri að nota ytra lén fyrir Active Directory uppsetningar og er Microsoft nýlega farið að mæla með því. Gallinn er að flestir/margir vilja nota fyrirtæki.lan fyrir innranet ásamt því að fyrirtæki þyrfti að strauja og setja AD upp frá grunni til að nota fyrirtæki.is sem er mikil vinna, tímafrekt og því rándýrt.
Afhverju kemur þessi villa?
- Sjálfgefið leitar Autodiscover að XML skrá með stillingum á https://fyrirtæki.is/Autodiscover/autodiscover.xml (eða fyrirtæki.lan fyrir notendur á LANi).
- Næst reyndir Autodiscovery við https://autodiscover.fyrirtæki.is/Autodiscover/Autodiscover.xml (eða fyrirtæki.lan fyrir notendur á LANi). Útaf þessu er yfirleitt mælt með því að hafa A vísun sem vísar á póstþjóninn. Ef keypt væri SAN certificate með autodiscover.fyrirtæki.is vísun þá myndi Outlook ná að auðkenna sig yfir HTTPS í þessu skrefi og málið væri steindautt.
- Ef Autodiscover upplýsingar af XML skrá yfir HTTPS nást ekki með fyrstu tveimur skrefunum þá leitar Outlook næst að SRV (Service Location) en með mikilli einföldun má segja að þetta sé redirect. Með því að hafa SRV á ytri (og innri) DNS þá erum við að svara fyrirspurnum um autodiscover með því að segja að þjónustan sé stödd á annari slóð en fyrirspurnin kom inn á.
Leið 3 er vitanlega ódýr þar sem hægt er að nota standard certificate með einfaldri SRV DNS vísun en er ekki alveg gallalaus.
Úrbætur
Villa eitt kemur vegna þess að certificate sem keypt var er fyrir mail.fyrirtæki.is og kvartar Outlook yfir því að reynt sé að tengjast Exchange með slóðinni EXCH01.fyrirtæki.lan sem er 100% eðlilegt, svona á þetta að virka.
Það eru nokkrar leiðir til að laga þetta (SAN cert eða setja upp cert fyrir EXCH01 á öllum útstöðvum o.s.frv.) en hreinlegast er að stilla innri og ytri vísanir Exchange þannig að allar þjónustur noti mail.fyrirtæki.is.
Þetta ætti ekki að taka nema 2 mín að laga og er gert með því að opna EMS (Exchange Management Shell) og paste´a þessar skipanir þar inn. Þetta virkar á Exchange 2007, 2010 og 2013 og eina sem þarf að breyta hér að néðan er vélarnafn EXCH01 og ytri lén mail.fyrirtæki.is
Set-WebServicesVirtualDirectory -Identity “EXCH01\EWS (Default Web Site)” -InternalUrl https://mail.fyrirtæki.is/ews/exchange.asmx
Set-OABVirtualDirectory -Identity “EXCH01\oab (Default Web Site)” -InternalUrl https://mail.fyrirtæki.is/oab
Set-UMVirtualDirectory -Identity “EXCH01\unifiedmessaging (Default Web Site)” -InternalUrl https://mail.fyrirtæki.is/unifiedmessaging/service.asmx
Set-ClientAccessServer -Identity EXCH01 -AutodiscoverServiceInternalUri https://mail.fyrirtæki.is/autodiscover/autodiscover.xml
Vitanlega er hægt að gera þetta ECP á 2013 eða í EMC á 2007/2010 en það er bara ekki eins gaman #PowerShellFTW…
Ef það eru fleiri þjónar þá þarf að keyra hverja skipun fyrir hvert vélarnafn EXCH02, EXCH03 o.s.frv.
Villu Tvö er einfalt og ódýrt að laga þar sem það þarf bara að búa til SRV fyrir Autodiscover.
- Til að búa til SRV opnar þú DNS þjóninn
- Leitar að og smellir á fyrirtæki.lan sem á að vera undir Forward Lookup Zone. Þar þarftu að tryggja að ekki séu A vísanir fyrir autodiscover.fyrirtæki.lan en ef þær eru þá þarf að eyða þeim áður en haldið er áfram.
- Næst er hægri smellt fyrirtæki.lan og þar er smellt á Other New Records og eftirfarandi gildi slegin inn.
Síðan er smellt á OK til að vista vísunina.
Síðan er þessi breyting gerð líka á ytri DNS þjónum en allar DNS þjónustur sem ég hef prófað bjóða uppá einfalt viðmót til að setja þessa vísun inn. Fyrirtæki sem eru með mörg lén á sama Exchange geta líka “tengt saman” öll lénin með einfaldri SRV.
Er lífið þá fullkomið?
Ekki alveg því notendur fá mögulega eina meldingu þar sem beðið er um heimild fyrir redirect fyrir Autodiscover yfir á mail.fyrirtæki.is. Annað hvort er hægt að laga þetta globally með GPO eða með því að senda fyrst tölvupóst á notendur, biðja þá um að haka í Don´t ask me again reitinn og smella á Allow þegar Outlook er opnað næst eftir þessar breytingar.
Heimild: Microsoft KB940881