Jump to content
Sign in to follow this  
gvarakis

Exchange 2007 & Active Sync & Windows Mobile 6

Recommended Posts

Καλησπέρα καλοί συνάδελφοι,

Ξεκίνησα την Πέμπτη μετά από μια συζήτηση του στυλ "Blackberry ή ActiveSync?"

Είπα λοιπόν, θα βάλω να δουλέψει το δικό μου το active sync (Windows Mobile 6 κινητό έχω, Exchange Server 2007 έχουμε, τι άλλο θέλουμε;) και θα κάμουμε παπάδες :)

Ξεκινάω λοιπόν από το εσωτερικό δίκτυο, wireless access, δηλώνω το όνομα του server (με εσωτερικό όνομα), με SSL φυσικά και ... τρώω την πρώτη πόρτα...

Ψάχνω λίγο από εδώ, λίγο από εκεί, τελικά βρίσκω ότι είναι certificate issue... Export το certificate από τον IIS, copy στο mobile, install στα root, Και voila! έρχεται ο πρώτος συγχρονισμός!!!

Θρίαμβος, επιτυχία κι εγώ γυρνάω γύρω γύρω και πάνω κάτω στην εταιρεία να δείχνω τα e-mail στο κινητό μου!

Αλλά επειδή το active-sync δεν είναι εργαλείο για όταν είσαι "μέσα" (υπάρχουν και desktop pc's) πάμε λέω και από έξω. Αλλάζω λοιπόν το όνομα του server με το κανονικό του εξωτερικό DNS, και τρώω τη δεύτερη πόρτα...

Μετά από λίγο ψάξιμο, έχω καταλήξει οτι η έξω πόρτα δεν ανοίγει λόγω του ότι το Certificate Name δεν ταιριάζει με το DNS name που ψάχνει ο active sync. Από ότι είδα, ο IIS παράγει το certificate με βάση το NetBIOS name.

Και για να καταλλήξω, και μετά να το κάνουμε και οδηγό για τους υπόλοιπους, για να παράξω το certificate που χρειάζομαι, θα πρέπει να εγκαταστήσω CA στο δίκτυο, ή θα χρειαστώ οποσδήποτε κάποιο έγκυρο πιστοποιητικό από 3ο publisher? Αν κάποιος το έχει κάνει με εσωτερικό CA και παίζει, θα κάτσω να το στήσω (τι τα έχουμε τα έτοιμα Windows Server Templates στο VMWare [:P]) και θα ποστάρω και ένα οδηγό από αρχή εως τέλος για τους τυχόν ενδιαφερόμενους.

 

Ευχαριστώ!

Share this post


Link to post
Share on other sites

Gvaraki!

Καλησπέρα,

Ένα παρόμοιο περιστατικό έτυχε και σε μένα όταν ήθελα να βγάλω στο web τον OCS...αναφέρομαι για τα certificates..

Κατ αρχάς όταν παράξεις ένα New Certificate από την δική σου αρχή πιστοποίησης μπορείς να ορίσεις και ALIAS όπου στην συγκεκριμένη περίπτωση θα είναι το εξωτερικό FQDN του mail server σου , π.χ. mail.companyname.com .Αυτό το ορίζεις στο Subject Alternate Name (SAN). Πρώτα όμως απ όλα πρέπει να έχεις Αρχή Πιστοποίησης στο domain σου είναι λογικό.Οπότε στείνωντας το συγκεκριμένο Certificate από την αρχή και αλλάζωντάς το στον IIS θα είσαι έτοιμος όσο αφορά το external FQDN του mail server σου. Μετά μπάινοντας στην αρχή πιστοποίησης σου https://%computername%/certsrv μπορείς να κάνεις Download το Certificate Chain αυτό στην συνέχεια κάντο import στο mobile σου όπως και στα Trust Root Certificate Authority.Έτσι το mobile σου θα καταλάβει την πιστοποιημένη αρχή και δεν θα χρειαστείς Public CA Trust όπως VeriSign κτλ. 

Αυτά έκανα εγώ και έπεξε ο OCS για έξω γιατι είναι θέμα τα certificates με τον OCS believe me!

Δοκίμασε και θα δείς οτι μάλλον θα παίξει, Πρόσεχε το alternate name να είναι το σωστό, αυτό.Άν και ο ISA προτείνετε για τέτοιες ενέργειες....ούτε εγώ έβαλα χεχε..Αν θες να στείσεις και ISA και να κάνεις publish από εκεί τον OWA και τον OMA και θές βοήθεια πές. Ο klag τό χει καλά...και εγώ μπορώ να βοηθήσω. Βέβαια για να αλλάξεις το default certificate που παράγει ο exchange 2007 γίνετε από to exchange management shell,όπως και για να παράξεις ένα request για public CA.Για να μήν στα γράφω ρίξε μια ματιά εδώ.

V

Share this post


Link to post
Share on other sites

Τελικά στο ενδιάμεσο έκανα τα εξής :

1) Remove το default certificate που φτιάχνει ο IIS με το local NetBIOS name

2) New Certificate με request προς Certification Authority

3) Σε virtual server stand-alone, έστησα CA services και έκανα import το request file που παρήγαγε ο IIS με το σωστό external FQDN, έκανα approve το request και μετά export το certificate.

4) Πίσω στον exchange έκανα Import τόσο το root ca του virtual server όπως και το certificate.

5) Την ίδια δουλειά στο mobile (θέλει ένα rename το root certificate για να γίνει import στα windows mobile)

6) Active Sync is working

Αυτά τα πράγματα δεν θα έπρεπε να είναι πλέον plug-n-play ή τελικά κάνουμε λάθος που δεν έχουμε certificate services στα domain μας;

 

Καλό απόγευμα!

Share this post


Link to post
Share on other sites

Προέκυψε βέβαια το εξής θέμα :

Εφόσον άλλαξε το όνομα του certificate, έπρεπε είτε να το εγκαταστήσω πλέον και σε όλα τα pc που συνδέονται με τον exchange, είτε να ενεργοποιήσω το χαρακτηριστικό που επεσήμανε νωρίτερα ο Βαγγέλης (subject alternate name - SAN). Το χαρακτηριστικό αυτό δεν είναι διαθέσιμο από το GUI του IIS 6.0, αλλά μόνο από Exchage 2007 Power Shell Management....

Ιδού το link με οδηγίες για τους ανύσηχους ^^

http://blogs.technet.com/industry_insiders/pages/creating-subject-alternative-name-certificates-with-microsoft-certificate-server.aspx

Καλή συνέχεια!

Share this post


Link to post
Share on other sites

Ακολουθείς τη διαδικασία που περιγράφω εδώ για να φτιάξεις το κατάλληλο πιστοποιητικό (από εσωτερική αρχή πιστοποίησης)

Κατόπιν, πρέπει να εγκαταστήσεις το Root Certificate της εσωτερικής αρχής στα Windows mobile κινητά, ώστε να αποδέχονται το πιστοποιητικό του Exchange και είσαι έτοιμος!

Share this post


Link to post
Share on other sites

Απλα να επιβεβαιώσω οτι αν εχεις Exchange 2007  το κανεις απο Powershell και με εντολες οπως new-certificate, import-certificate and enable-certificate (να τις θυμαμαι καλα απ έξω :-) )
γιατι ο Exchange κάνει register τα Thumprints στο AD και ισως να έχεις πρόβλημα. Τρεξε ενα ExBPA να δεις οτι ολα ειναι καλα στον Client Access Server σου.

Εαν έχεις δικο σου CA  πολυ καλα το ειπατε μπορείτε να πεξετε με Subject Alternative Names Οποτε να βάλεις ολα τα ονόματα που χρειάζεσε σε 1 certificate ή ακομα να πάρετε ενα wildcard certificate.

Share this post


Link to post
Share on other sites
Sign in to follow this  

×
×
  • Create New...