Jop, habe ich gemacht, bringt leider nichts. Ich kann es von extern im Moment leider nicht testen, nur intern. Was mir nicht ganz in den Kopf will: wieso fehlen mit laut rpcwizard Exchange Dienste?
RPC over HTTPS einrichten?
- usr
- Unerledigt
-
-
Hi,
was das Zertifikat angeht bin ich mir nicht zu 100% sicher aber ich meine, dass ich bei einem Kunde dies auch ohne dies von extern unterschreiben zu lassen, am laufen hatte. Ich post dies nun mal bei Euch beiden, da Ihr allem Anschein nach die gleiche Umgebung habt und auch den gleichen Fehler.
1. Das mit dem RPC Wizardfehler könnt Ihr links liegen lass. Das Toll ist noch recht neu und ich habe den Hinweis an den Entwickler weiter gegeben.
Stellt sicher, das DNS und auch WINS sauber funktioniert! Exchange braucht WINS zur fehlerfreien Arbeit!
Bitte stellt sicher, dass der Client folgende Vorraussetzungen erfüllt:
- Windows XP SP2
- Outlook 2003- RPC over http ist installiert
- Haken im ESM für RPC over http war gesetzt.
- Im IIS ist bei RPC ?Basic authentication? und ?Integrated Windows authentication? gesetzt. Zusätzlich ist ?Enable anonymous access? deaktiviert! Ausserdem ist SSL aktiviert.
- In der Registry unter ?HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\RpcProxy? hat der Key ?ValidPorts? folgenden Eintrag: ?ExchangeServer:6001-6002;ExchangeServerFQDN:6001-6002;ExchangeServer:6004;ExchangeServerFQDN:6004;? (Dabei wurden auch keine Leerzeichen, und auch das Semikolon am Ende des Strings gesetzt.)
- Im selben Pfad wurde der Key ?AllowAnonymous? auf den Wert ?1? gesetzt.
- Server neu gestartet!Mit einem Browser die URL https://exchangeservername.domain/RPC aufrufen und testen.
Die CA muss dem Client bekannt sein, wenn Du also über einen Browser https://ExchangeServer/rpc
aufrufst, kommt die Information des Zertifikates.
Wenn dabei der Hinweis kommt, dass die Zertifizierungsstelle nicht vertrauenswürdig ist, so musst Du diese am Client als vertrauenswürdig hinzufügen.Sollte dies bei Euch beiden nicht gehen, werde ich es am Montag selber nachstellen, um sicher zu sein, dass es auch ohne ein externes Zertifikat geht.
Gruss
Heinz -
- DSN/WINS funktionieren jeweils
- XP SP"/Outlook 2003 SP2 sind vorhanden- Reg Einträge gecheckt, ?AllowAnonymous? ergänzt
- https://ExchangeServer/rpc
Ich hatte das Zertifikat importiert, habe es jetzt mal gelöscht und bekomme jetzt den Hinweis, wenn ich die oben genannte URI aufrufe. Nach dem Bestätigen werde ich nach Benutzernamen und Passwort gefragt.Der Semikolon hatte bei den "ValidPorts" am Ende gefehlt, habe es korrigiert.
-
Hi,
schau Dir bitte mal folgende Artikel an und teste die Punkte unter Problembehandlung.
http://support.microsoft.com/?kbid=827330&SD=tech
http://support.microsoft.com/?kbid=833401
Auf das Ergebis bin ich mal gespannt!
Ausserdem prüfe mal bitte, ob folgende Regkeys vorhanden sind:
CodeHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\ParametersSystem Value name: Rpc/HTTP Port Value type: REG_DWORD Value data: 0x1771 (Decimal 6001)
CodeHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeSA\Parameters Value name: HTTP Port Value type: REG_DWORD Value data: 0x1772 (Decimal 6002)
CodeHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeSA\Parameters Value name: Rpc/HTTP NSPI Port Value type: REG_DWORD Value data: 0x1774 (Decimal 6004)
Bitte diese Keys nicht abändern!!!
Dann noch bitte die folgenden Einträge:
CodeHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters Value name: NSPI interface protocol sequences Value type: Multi-String Value data: ncacn_http:6004
CodeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\RpcProxy Value name: ValidPorts Value data: ServerNETBIOSName:100-5000
Falls nicht vorhanden dann bitte setzen!
Was kommt, wenn Du in der Eingabeaufforderung folgendes eingibst:
rpccfg /hd
Gruss
Heinz -
Noch etwas....
ist der Client Mitglied der Domäne?
Wurde die CA, also das Stammcertifikat im Client importiert?
Ist die URL in den Trusted Sites eingetragen?
Schon was neues bei den Regkeys?
Gruss
Heinz -
So, endlich mal Zeit zum Gucken. Also, die MS Artikel habe ich gerade gelesen, allerdings nur bis zur Stelle mit dem Zertifikat, weil ich folgende Meldung bekomme:
Und bei dem Reg Eintrag mit "ValidPorts" habe ich "BARS:6001-6002;BARS.BAUMANN.LOCAL:6001-6002;BARS:6004;BARS.BAUMANN.LOCAL:6004;" stehen. Hmm, ist dieser Eintrag falsch?
Vielen Dank schon mal für eure Hilfe!
-
Hallo!
Also am Client habe ich garnichts importiert (Zertifikat oder ähnliches).
gruss
kevin -
Hein,
sorry, etwas vergessen. Nein, mein PC hier ist kein Mitglied meiner Domäne. Ich habe das Zertifikat via IE bei der Abfrage installiert. Trusted sites msus ich noch abchecken. -
Es ist keine Bedingung, dann muss das Zertifikat aber im IE importiert werden.
Wie bei USR sollten alle Haken auf grün stehen!
usr
Ich denke mal, dass bei Dir der Name nicht mit dem im Zertifikat übereinstimmt. Der in der URL verwendete Domainenname sollte der common name des Zertifikats sein. Für OWA ist das kein Problem, aber für ActiveSync und RPC!Gruss
Heinz -
Jetzt habe ich einen Ansatzpunkt, sehr schön. Aber: ich verwende ja intern einen anderen Domänennamen als extern. Extern habe ich meinen Dyndns account. Hmm und jetzt?