Publication initiale: lundi 16 février 2009
Ce billet décrit les points à vérifier sur le serveur CAS pour dépanner Outlook Anywhere.
verification de la presence du proxy rpc
Taper la commande:Si le composant n’est pas installé :
Une petite astuce pour SBS 2008. Sur ce dernier, le RPCproxy est situé dans le site web "SBS Web applications".Par défaut la réinstallation du RPCproxy s’effectue dans le site web par défaut. Pour corriger cela, créer la clé de registre suivante avant la réinstallation :
Mettre comme valeur "SBS Web Applications"
vérification du fonctionnement du proxy RPC
Action à essayer:a) Redémarrer IIS (iisreset). Un évènement doit confirmer le bon démarrage du proxy RPC. En cas d’erreur, analyser les events.
b) Les URL suivantes doivent prompter une fois pour l’authentification puis afficher une page blanche :
- https://serveur_cas/rpc
- https://serveur_cas/rpc/rpcproxy.dll
c) Utilisation de RpcPing (KB 831051)
Nous devons avoir une réponse HTTP 200. Si ce n’est pas le cas (HTTP 401 par exemple), vérifier le mode d’authentification, la présence d’URLscan ou encore les logs de IIS). La commande suivante test le composant RpcProxy avec une authentification basic/https (-H 1 –F 3)
RPCPing v2.12. Copyright (C) Microsoft Corporation, 2002
OS Version is: 6.0, Service Pack 1
RPCPinging proxy server mail.domain.com with Echo Request Packet
Sending ping to server
Response from server received: 200
Pinging successfully completed in 156 ms
verification de la clé “ValidPorts”
La valeur de la clé est la suivante :
Cette clé est configurée automatiquement sur Exchange 2007 par le servelet "RpcHttpConfigurator" hébergé par le service "Microsoft Exchange Service Host service". Il faut donc vérifier que le service concerné soit bien démarré. Pour accélérer la prise en compte d’une modification dans l’EMC, redémarrez ce service. Par défaut la configuration est mise à jour toutes les 15 minutes. Pour modifier cette valeur, ou désactiver la mise à jour, modifier la clé suivante :
Le servelet "RpcHttpConfigurator" configure également le mode d’authentification du répertoire virtuel "Rpc" dans IIS.
Il faut donc sélectionner l’authentification (Basic ou NTLM) dans l’EMC et non pas directement dans le gestionnaire IIS, sous peine de voir la modification écrasée quelques minutes plus tard.
SSL Offloading
Par défaut le proxyRPC n’accepte que le HTTPS.Pour autoriser les connexion HTTP sur le serveur CAS, utiliser la commande :Set-OutlookAnywhere -Name ServerName -SSLOffloading $true
Cette commande aura pour effet de modifier la clé suivante :
Références :
TECHNET : SSL Offloading for Outlook Anywhere
TECHNET : RPC over HTTP Interactions on the RPC Proxy Server
Désactivation de l’IPv6 sur le MBX si < SP1 rollup 6
Exchange 2007 SP1 sur Windows 2008 nécessite la désactivation de l’IPv6 si le server MBX ne possède pas au moins le SP1 rollup 6 et qu’il n’est pas DC. En effet le DSProxy (mad.exe) sur le port 6004 n’écoutait pas sur la pile IPv6.
Ce problème ne se pose pas si le serveur MBX est également DC. Dans ce cas de figure lsass.exe écoute sur le port 6004 sur les deux piles réseau, à la place de mad.exe. A partir de E2K7 SP1 rollup 6, mad.exe écoute sur la pile IPv6 et il n’est plus nécessaire de désactiver ce dernier.
How to disable certain Internet Protocol version 6 (IPv6)
TECHNET : Connectivity Issue Because of TCP/IPv6
Modification du fichier hosts
Attention, si le serveur cumule les rôles CAS et MBX, la désactivation de l’IPv6 implique l’ajout des entrés suivantes dans le fichier host :
<IPv4 address> <FQDN of the computer>"
Kernel Mode Authentication (KMA)
Désactivation du KMA de IIS (MAJ : le rollup 8 d’Exchange 2007 SP1 désactive maintenant le KMA de IIS7).
IIS 7.0 dispose de l’option "kernel mode authentication" pour le mode d’authentification "Windows Intégré". Quand cette option est activée, les utilisateurs Outlook Anywhere peuvent rencontrer une demande de mot de passe sans fin dans Outlook. La solution consiste donc à désactiver le KMA :
Exportation de la config actuelle de IIS
Désactivation du "kernel mode" authentification :
windowsAuthentication /useKernelMode:false
Penser à redémarrer IIS (iisreset) ensuite. Vous pouvez également vérifier via la console de IIS que le KMA soit désactivé au niveau de chaque répertoire virtuel, notamment celui de l’OAB.
la désactivation du KMA est expliquée ci-dessous :
When Exchange 2007 is run under Windows Server 2008, clients who use Exchange 2007 may be repeatedly prompted for their credentials during Outlook Anywhere sessions. This issue occurs when NTLM Authentication is selected as the authentication method in the Exchange Proxy Settings dialog box for the Outlook profile on the client computer. This issue does not occur if Basic Authentication is selected as the authentication method in the Exchange Proxy Settings dialog box. By default, Kernel Mode Authentication is enabled in Internet Information Services (IIS) 7.0 on the Client Access server. To resolve this issue, disable Kernel Mode Authentication for Client Access servers that are running Windows Server 2008.TECHNET : How to Enable Outlook Anywhere
Vérification du certificat SSL
Le certificat SSL installé sur le CAS doit remplir les critères suivants:
- Avoir été émis par une autorité de certification reconnue par les clients
- Posséder le nom de domaine utilisé par les clients
- Etre valide.
Par exemple si l’URL HTTPS utilisée par les clients Outlook était:
Alors le certificat devra posséder ce nom de domaine. Pour plus d’information se reporter à :
Certificate Use in Exchange Server 2007
How to Configure SSL Certificates to Use SAN
Liens utiles
MSEXCHANGETEAM.COM : How does Outlook Anywhere work
TECHNET : Troubleshooting RPC over HTTP Communications
Aucun commentaire:
Enregistrer un commentaire