我想很多企业都已经升级到了exchange2007了,而在使用isa 2006发布owa2007的时候,很多朋友也遇到了这样或者那样的问题。这篇文档涵盖了相关的一些设置以及排错注意事项。使用isa 2006来发布owa 2007基本上按照官方文档做就可以了。文档地址为:
Http://technet.microsoft.com/en-us/library/bb794751.aspx 不过需要注意下面2点:证书,验证方式
1:证书
exchange 2007必然会让你用到san(subject alternative name)证书,请确保证书名第一个dnsname与isa发布规则中to标签下的fqdn名相同。
这是因为isa2006不兼容san证书,这个问题已经在isa 2006的sp1补丁中被修正了,你可以不必将首dnsname设置为exchange的fqdn,但是我还是强烈建议如上设置,以防止因为没有安装补丁而出现问题的可能。
2. 验证 使用owa2007必然会使用FBA(Forms Based Authentication)表单验证。通常有2种选择,在isa上进行表单验证或者在exchange上验证。
通常的做法是禁用exchange上的FBA,而启用isa 2006发布规则中的web listener 的FBA
比较少用的是不需要isa 2006做验证而依然让exchange来进行FBA
使用这种方式你可以设置为仅username,这样最终用户可以减少不必要的输入,而快捷进去邮箱。不过也方便了破解密码的人,所以不太推荐。
下面来说常见的错误: 1.能登陆owa页面,正确在表单中输入密码用户名,确定后,回到当前页面
请确认FBA仅在isa或者exchange两者间的一个中启用。
2. 能登陆owa页面,正确在表单中输入密码用户名,确定后,得到错误代码Target principal name is incorrect. 确认exchange的证书中包含有owa发布规则中to标签下的FQDN
确认isa的owa发布规则中to标签下的FQDN是正确的
确认ISA Server 2006 能正确解析该FQDN的正确ip。
3. 通过ie访问诸如https://mail.cashcat.com 无法访问到owa页面,得到错误代码: 403 Access Forbidden. 这是因为默认owa发布规则中的path映射需要你敲击
https://mail.cashcat.com/owa 才能正确访问。
你可以将所有的映射去掉,添加一个internal path “/*”的记录,并添加owa地址缩写。这样用户设置只需要使用
http://mail.cashcat.com 即可访问正确的owa页面。
4. 通过ie访问诸如https://mail.cashcat.com/owa 可以正确访问owa页面,正确在表单中输入密码用户名,确定后得到错误代码404 Not Found. 确认ISA 可以正确解析到发布规则to标签下的fqdn,确认是exchange的正确ip。
确认在isa上可以使用telnet连接到exchange的相应端口,比如443和80。命令行为telnet exchange.cashcat.com 443)
以上是确保相应的端口是正常开放的。如果测试都正常,那么登陆到isa服务器上在ISA Console / Monitoring / Logging下常见一个筛选器,来源为External network. 尝试复现错误确定你是否能收到如下错误:
你可以看到错误代码10060,显示连接超时。一般这意味着
1、isa与exchange有连接问题
2、isa发送给exchange的包,因为某些原因,exchange没有使用正确的方法回应
那么请确认isa和exchange之间是否有其他的防火墙,是否可以直接翻墙?以确认是否该防火墙的问题。
-使用portquery来进行测试。下载地址为
http://www.microsoft.com/downloads/details.aspx?FamilyID=8355e537-1ea6-4569-aabb-f248f4bd91d0&DisplayLang=en-使用netmon(network monitor 3.2)来检测isa和exchange的网卡通讯,也许能查到哪里出现了问题。
-owa的iis日志可以知道用户是否登陆上了owa服务器。
3.5. 通过ie访问诸如https://mail.cashcat.com/owa 可以正确访问owa页面,正确在表单中输入密码用户名,确定后得到错误代码10061 Connection Refused.
10061错误表示ISA Server尝试连接exchange服务器,但是基于某些原因服务器拒绝了请求。通常是因为isa尝试与owa服务器上的未允许端口连接。请确认owa服务器的iis端口和发布规则的端口一致。
如果你使用了ISA Server Monitoring Logging,会有如下错误发生。
更多信息请查看technet的详细文档。 6. 通过ie访问诸如https://mail.cashcat.com/owa 可以正确访问owa页面,正确在表单中输入密码用户名,可以进入邮箱页面,但是无法创建新邮件或者点击任何的button。即使从内网也是同样的问题。 这个问题很难,因为可能是因为安装在exchange服务器上的某些第三方isapi筛选器导致流量过isa的时候出现了异常。基本上直接在微软开case会协助你解决该问题。
常见问题基本上就这么多,如果你遇到的问题还有更奇怪的,首先请使用isa BPA来分析问题。下载地址为http://www.microsoft.com/downloads/details.aspx?FamilyID=d22ec2b9-4cd3-4bb6-91ec-0829e5f84063&DisplayLang=en BPA会给你一份详尽的解决方案。
本文来自
http://xunyangit.spaces.live.com/blog/cns!F934535AFC3723BA!263.entry