Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Как настроить аутентификацию на основе сертификатов для ActiveSync на Exchange Server 2019 на локальном сервере?

На чтение 5 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Теория: Настройка аутентификации на основе сертификатов
  4. Пример: Решение проблем с CBA
  5. Применение: Настойка и устранение неисправностей

Вопрос или проблема

Я настраивал CBA для ActiveSync и OWA на Exchange Server 2019 на месте, следуя этому руководству:
https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/configure-certificate-based-auth?view=exchserver-2019

После увеличения значения uploadReadAheadSize до 49152 для OWA, ecp и ActiveSync я начал получать ошибку в браузере “слишком много перенаправлений, попробуйте очистить куки”.

Очистка куки не помогла. Приватные окна также не помогли. Я использовал Chrome, и OWA начала работать и принимать сертификаты. Браузер Edge не работает для OWA.

Я подозреваю, что проблема не в Edge, а в данных, которые были закэшированы и не позволяют подключиться. Мне удалось подключиться к OWA с помощью Edge на другом компьютере, который ранее не использовался.

После того как OWA заработала на ПК, я установил пользовательский сертификат на iPhone, и OWA работает там с сертификатом тоже (замечательно!! одна проблема решена).

Однако по неизвестным причинам ActiveSync все еще не работает при требовании сертификата на том же iPhone. Я предполагаю, что iPhone должен использовать тот же сертификат, который он использует для OWA (которая работает), так что проблема не в сертификате.

ActiveSync работает, если не требуется клиентский сертификат, так что разрешения/политики не должны быть проблемой.

Требование сертификата приводит к кодам ошибок 403 7 64 и 403 7 5.

Есть ли у кого-нибудь предложения???

Ответ или решение

Настройка аутентификации на основе сертификатов для ActiveSync в рамках Exchange Server 2019 на локальном сервере может быть достаточно сложной задачей, требующей внимания к деталям на каждом этапе. В данном ответе я подробно объясню процесс настройки и предложу рекомендации по устранению выявленных проблем.

Теория: Настройка аутентификации на основе сертификатов

Аутентификация на основе сертификатов (CBA) позволяет использовать клиентские сертификаты для обеспечения безопасности доступа к Exchange Server. Этот метод аутентификации более безопасен по сравнению с традиционной авторизацией по имени пользователя и паролю, так как предоставляет дополнительный уровень защиты.

Для настройки CBA необходимо учитывать несколько ключевых моментов:

  1. Сертификация: Требуется правильно настроенная инфраструктура PKI (Public Key Infrastructure), которая может обеспечить выпуск нужных клиентских сертификатов и работать с ними.
  2. Настройка IIS: Internet Information Services (IIS), на котором работает Exchange Server, должен быть настроен для обработки сертификатов.
  3. Exchange Server: Должны быть внесены определенные изменения в конфигурации Exchange для поддержки аутентификации на основе сертификатов.
  4. Клиенты: Должны быть снабжены и правильно установлены нужные клиентские сертификаты, а также необходимо правильно настроить клиентские приложения для использования данных сертификатов.

Пример: Решение проблем с CBA

Исходя из информации, предоставленной в описании проблемы, существуют несколько возможных мест, где могут возникнуть сложности:

  1. Настройки IIS и "too many redirects": Ошибка "слишком много переадресаций" может возникать в результате неправильно установленного параметра в конфигурации IIS. Это часто связано с неправильными настройками для uploadReadAheadSize, MaxRequestEntityAllowed или других связанных параметров. Также следует проверить настройки SSL, особенно если принимаются клиенты, не поддерживающие последний уровень TLS.

  2. Кеш браузера и настройки:

    • Если OWA работает в одном браузере, но не в другом, проблема, скорее всего, связана с кешем данных или cookies в браузере Edge. Проблему можно подтвердить, если на других машинах с Edge OWA работает исправно.
    • Важно очистить не только файлы cookies, но и другие данные браузера, такие как данные кеша, а также убедиться, что время и дата на устройстве соответствуют серверу.

  3. Настройка ActiveSync:

    • Ошибки 403 7 64 и 403 7 5 связаны с отказом в доступе из-за отсутствия обязательного клиентского сертификата или его неправильной конфигурации. Акцент следует сделать на проверке, что iPhone правильно настраивает сертификаты для ActiveSync и устанавливает их в доверенную зону устройства.
    • Убедитесь, что в почтовом клиенте iPhone используется тот же сертификат, что и для OWA, и что он имеет необходимое доверие от системы.
    • Дополнительно, проверьте корректность иерархии сертификатов и серийных номеров, а также допустимые использования сертификатов (Extended Key Usage, EKU).

Применение: Настойка и устранение неисправностей

Теперь давайте рассмотрим шаги, которые можно предпринять для устранения идентифицированных проблем, связанных с настройкой CBA на Exchange Server и для ActiveSync:

  1. Проверка сертификатов:

    • Убедитесь, что сертификаты в iOS устройстве действительны, не истекли, и вписаны правильно выданные иерархией доверия.
    • Пересоздайте и установите сертификат, если есть подозрения в его повреждении.

  2. Настройка IIS:

    • Зайдите в IIS Manager и убедитесь, что все веб-сайты (OWA, ActiveSync) настроены для использования клиентских сертификатов, и включена обязательная проверка сертификатов.
    • Настройте uploadReadAheadSize и другие параметры, влияющие на размер считываемых данных, в соответствии с руководством, следя за переносом изменений не только на OWA, но и на другие веб-сайты.

  3. Настройка Exchange Server:

    • Проверьте конфигурации Exchange, следуя документации Microsoft по настройке CBA, включая проверку установленных правил и политикам среды для поддержки CBA.
    • Выполните диагностику с помощью PowerShell для проверки состояния и соответствия правил аутентификации сертификатов.

  4. Клиенты и сети:

    • Убедитесь в том, что все EndPoint устройства, включая iOS, получают обновления и не имеют сетевых ограничений, злоупотребляющих читаемостью сертификатов и безопасности.

  5. Логи и мониторинг:

    • Ознакомьтесь с файлами журнала IIS и Exchange для выявления любых предупреждений и ошибок, связанных с процессом аутентификации.
    • Используйте инструменты мониторинга для наблюдения за сетевой активностью и временными метками, что может дать намек на интермиттирующие проблемы или задержки в интернет соединениях.

Настройка CBA на Exchange Server требует комплексного анализа инфраструктуры и глубокого понимания каждого из процессов. Решение проблем пользователя может требовать как раз и того, и другого. Не забывайте про регулярное тестирование и обновление ваших решений в связи с меняющимися требованиями безопасности и процедуры соответствия.

certificate exchange exchange-2019
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности