Publicando Activesync através de TMG com certificados de cliente (403.7 Proibido)

Question

Publicando Activesync através de TMG com certificados de cliente (403.7 Proibido)

#1 resposta do (1 votos)

1

Estou tentando publicar o ActiveSync do Exchange 2003 em uma caixa Server2K3, por meio do TMG 2010 em uma caixa 2008R2, usando o certificado de cliente em celulares Android.

Pelo que eu posso dizer, o problema é com o TMG, como quando eu me conecto diretamente ao servidor de e-mail, tudo funciona bem. Ao passar pelo TMG, posso ver a tentativa nos logs do EAS e o servidor retorna 403.7 - Forbidden, certificado de cliente necessário.

Agora, configurei o ouvinte da Web para exigir certificados de cliente, informei a regra de publicação para usar a delegação restrita de Kerberos e configurei a caixa TMG no Active Directory para delegação com os seguintes SPNs:

link
w3svc / {FQDN interno do servidor de correio}

Eu segui as etapas nessas duas orientações: link
link

No entanto, apesar de tudo, eu ainda estou recebendo 403.7 de volta do servidor Exchange. Suspeito que o problema seja com o servidor TMG recebendo um ticket do nosso controlador de domínio ou com o TMG fornecendo o ticket para o servidor de email.

Qualquer sugestão seria muito bem vinda!

Obrigado antecipadamente.

kerberos exchange activesync microsoft-ftmg-2010

por Tony Blunt 03.11.2011 / 20:08

1 resposta

Tags kerberos exchange activesync microsoft-ftmg-2010

Transferindo o Config do Postfix. para um novo servidor Como configurar o Plesk para usar o nginx para subdomínios?

score 1 · Accepted Answer

Pegue um rastreio de rede de dentro da caixa TMG enquanto você está autenticando de um cliente; Isso mostrará a troca de ingressos com o DC. (assumindo que os logs não tenham um erro específico).

Embora 403,7 seja traduzido como Certificado de Cliente Requerido. Se esse é o erro que você está vendo nos logs do W3 no servidor da Web, é necessário desativar a autenticação do certificado de cliente; O TMG só pode fazer Kerberos, portanto, a autenticação do certificado de cliente não está mais presente nos cartões.

Isso também explica por que ainda funciona internamente sem alterações.

Editar - sobre o melhor link para configurar o ActiveSync com Autenticação de Certificado de Cliente que eu vi no guia de Implantação do ISA 2006 no Technet: link

Editar 2 - para torná-lo explícito, o artigo da Parte 1 acima está errado , pois não aborda o ISA / TMG executando a autenticação do certificado de cliente; somente fazendo isso diretamente na caixa de troca.