RSS

ISA Server 2006 发布owa 2007 的注意事项和排错提示

05 Feb

我想很多企业都已经升级到了exchange2007了,而在使用isa 2006发布owa2007的时候,很多朋友也遇到了这样或者那样的问题。这篇文档涵盖了相关的一些设置以及排错注意事项。

使用isa 2006来发布owa 2007基本上按照官方文档做就可以了。文档地址为:Http://technet.microsoft.com/en-us/library/bb794751.aspx

不过需要注意下面2点:证书,验证方式
1:证书

exchange 2007必然会让你用到san(subject alternative name)证书,请确保证书名第一个dnsname与isa发布规则中to标签下的fqdn名相同。

这是因为isa2006不兼容san证书,这个问题已经在isa 2006的sp1补丁中被修正了,你可以不必将首dnsname设置为exchange的fqdn,但是我还是强烈建议如上设置,以防止因为没有安装补丁而出现问题的可能。

2. 验证

使用owa2007必然会使用FBA(Forms Based Authentication)表单验证。通常有2种选择,在isa上进行表单验证或者在exchange上验证。

通常的做法是禁用exchange上的FBA,而启用isa 2006发布规则中的web listener 的FBA

比较少用的是不需要isa 2006做验证而依然让exchange来进行FBA

下面来说常见的错误:

1.能登陆owa页面,正确在表单中输入密码用户名,确定后,回到当前页面

请确认FBA仅在isa或者exchange两者间的一个中启用。

2. 能登陆owa页面,正确在表单中输入密码用户名,确定后,得到错误代码Target principal name is incorrect.

确认exchange的证书中包含有owa发布规则中to标签下的FQDN
确认isa的owa发布规则中to标签下的FQDN是正确的
确认ISA Server 2006 能正确解析该FQDN的正确ip。

3. 通过ie访问诸如https://mail.cashcat.com 无法访问到owa页面,得到错误代码: 403 Access Forbidden.

这是因为默认owa发布规则中的path映射需要你敲击https://mail.cashcat.com/owa 才能正确访问。

你可以将所有的映射去掉,添加一个internal path “/*”的记录,并添加owa地址缩写。这样用户设置只需要使用http://mail.cashcat.com 即可访问正确的owa页面。

4. 通过ie访问诸如https://mail.cashcat.com/owa 可以正确访问owa页面,正确在表单中输入密码用户名,确定后得到错误代码404 Not Found.

确认ISA 可以正确解析到发布规则to标签下的fqdn,确认是exchange的正确ip。
确认在isa上可以使用telnet连接到exchange的相应端口,比如443和80。命令行为telnet exchange.cashcat.com 443)

以上是确保相应的端口是正常开放的。如果测试都正常,那么登陆到isa服务器上在ISA Console / Monitoring / Logging下常见一个筛选器,来源为External network. 尝试复现错误确定你是否能收到如下错误:

你可以看到错误代码10060,显示连接超时。一般这意味着
1、isa与exchange有连接问题
2、isa发送给exchange的包,因为某些原因,exchange没有使用正确的方法回应

那么请确认isa和exchange之间是否有其他的防火墙,是否可以直接翻墙?以确认是否该防火墙的问题。

-使用portquery来进行测试。下载地址为http://www.microsoft.com/downloads/details.aspx?FamilyID=8355e537-1ea6-4569-aabb-f248f4bd91d0&DisplayLang=en
-使用netmon(network monitor 3.2)来检测isa和exchange的网卡通讯,也许能查到哪里出现了问题。
-owa的iis日志可以知道用户是否登陆上了owa服务器。

3.5. 通过ie访问诸如https://mail.cashcat.com/owa 可以正确访问owa页面,正确在表单中输入密码用户名,确定后得到错误代码10061 Connection Refused.
10061错误表示ISA Server尝试连接exchange服务器,但是基于某些原因服务器拒绝了请求。通常是因为isa尝试与owa服务器上的未允许端口连接。请确认owa服务器的iis端口和发布规则的端口一致。

如果你使用了ISA Server Monitoring Logging,会有如下错误发生。

更多信息请查看technet的详细文档。

6. 通过ie访问诸如https://mail.cashcat.com/owa 可以正确访问owa页面,正确在表单中输入密码用户名,可以进入邮箱页面,但是无法创建新邮件或者点击任何的button。即使从内网也是同样的问题。

这个问题很难,因为可能是因为安装在exchange服务器上的某些第三方isapi筛选器导致流量过isa的时候出现了异常。基本上直接在微软开case会协助你解决该问题。

常见问题基本上就这么多,如果你遇到的问题还有更奇怪的,首先请使用isa BPA来分析问题。下载地址为http://www.microsoft.com/downloads/details.aspx?FamilyID=d22ec2b9-4cd3-4bb6-91ec-0829e5f84063&DisplayLang=en

BPA会给你一份详尽的解决方案。

Advertisements
 
8 Comments

Posted by on February 5, 2009 in Forefront

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: