iT邦幫忙

0

Exchange2010/Outlook Any Where無法連線

遠端(Wan端)用戶端OWA正常,但是Outlook Anywhere 無法連線(Lan端正常)
環境:
DC1:Server 2008 R2,啟用IPV6,含5大角色+GC,啟用IPV6,採預設值,DNS1指向DC2,DNS2指向自己
DC2:Server 2003,No GC,DNS1指向DC1,DNS2指向自己
Member Server Exchange Server 2010 V14.2(Build 247.5),啟用IPV6,採預設值(自動取得),DNS1指向DC1,DNS2留空

問題:
1.一直詢問帳號密碼,怎麼登打都無效,取消時出現:
無法完成此動作。無法連線至Microsoft Exchange。Outlook必須在線上或連線,才能完成此動作
2.如果改用手動-->檢查名稱,則會是:
無法登入Outlook。請確認您已連上網路,且使用正確的伺服器與信箱名稱。
無法解析此名稱。無法完成此動作。

嘗試過的方法:

1.確認不是網路閘道的問題
http://support.microsoft.com/kb/913843/zh-tw
2.Outlook的設定檔,分別用過新增、移除、修改等各方式
3.RPC over http proxy 重新移除、安裝(會影響OWA)
4.確認DN解析正常、SPF正常、MX正常
5.確認憑證正常
6.Outlook Anywhere (HTTP 上的 RPC) 測試 有以下問題
Certificate trust is being validated.
Certificate trust validation failed.
測試步驟
ExRCA is attempting to build certificate chains for certificate CN=domain.com.tw, OU=Ou, O=Org, L=Taichung, S=South, C=TW.
A certificate chain couldn't be constructed for the certificate.
其他詳細資料
The certificate chain couldn't be built. You may be missing required intermediate certificates.

7.Outlook自動探索(已勾選『忽略SSL信任』)-->正常

肯請幫忙,多日無法解決

看更多先前的討論...收起先前的討論...
小成 iT邦高手 10 級 ‧ 2011-12-19 15:31:51 檢舉
請教一下
Outlook用戶端驗證方法是用哪一個?
CLIENT端的設定是否也是相同的?
氣到,把IIS移除掉,結果.........全死了........
raytracy iT邦大神 1 級 ‧ 2012-01-17 16:29:02 檢舉
iT邦幫忙MVPbigcandy提到:
氣到,把IIS移除掉,結果.........全死了........
糖叔, 快過年了耶, 別把自己給玩死啦.....年假都要陪他玩了...哭
沒辦法,誰叫我不會飛.........只有Ray超人會...飛飛飛
重灌治百病
小成 iT邦高手 10 級 ‧ 2012-01-18 16:34:27 檢舉
januslin提到:
重灌治百病

萬一又遇到同一個狀況怎麼辦...
aaronlin iT邦新手 3 級 ‧ 2013-01-24 08:55:59 檢舉
小弟近期也遇到同樣的問題!!
不過相同的CA跟OFFICE 2007 Std版本!
在XP SP3+OFFICE 2007問題產生都跟bigcandy一樣
可是一樣的CA跟OFFICE 2007 Std版本!
在WIN 7+OFFICE 2007就解決了.....真的怪!!

Exchange 2010版本!!去年三月才建立的!!
還是說XP SP3有東西沒有FIX= =?

2 個回答

12
raytracy
iT邦大神 1 級 ‧ 2011-12-19 14:11:36
最佳解答
  1. 有沒有試過, 帳號名稱用 Email 格式輸入: xxxx@domain.com ?
  2. Outlook 是哪一版的?
  3. Outlook Proxy 裡面的 msstd 欄位是否符合 Exchange 憑證的 CN Name?
看更多先前的回應...收起先前的回應...

1.試過,一樣不行
2.遠端二台不同網路位置,都是XP+OFFICE2007版,既有Outlook設定檔讀取另個上線中EX2010正常
3.是的,符合,為了內外合一,我URL都是mail.domain.com.tw,檢查過憑證主體別名,包含:
domain.com.tw
autodiscover.domain.com.tw
mail.domain.com.tw
host.940.com.tw(Exchange 主機原始名稱)

raytracy iT邦大神 1 級 ‧ 2011-12-19 15:37:27 檢舉

bigcandy提到:
既有Outlook設定檔讀取另個上線中EX2010正常

這句是說, 還有另外一台 Exchange Server 嗎?(假設他叫 EX-A 好了) 而且 Outlook 內網連這台 EX-A 是正常的?

如果用來測試的用戶信箱, 是放在這台 EX-A 上面的話, 若沒有建 CAS Array, 您是無法從其他的 Exchange CAS 登入 (例如: EX-B, EX-C.....). 因為 Outlook 一登入其他的 EX-*, 系統就會強迫它去找 EX-A, 然後 Outlook 就會自己重新導向...

raytracy iT邦大神 1 級 ‧ 2011-12-19 15:46:17 檢舉

您試一下這個能否過關:

<pre class="c" name="code">https://mail.domain.com.tw/rpc/rpcproxy.dll?host.940.com.tw:6001

上面的 mail.domain.com.tw 請替換成您對外的名稱, host.940.com.tw 則是您 Exchange 的內網名稱. 正常的話, 他應該會出現一個對話框, 問您密碼, 此時請您用 domain\userid 的方式輸入 ID 及密碼.

若可以被認證通過, 應該會出現空白畫面.
若不能認證通過, 會一直跳認證畫面出來.

這樣可以先釐清一些問題....

raytracy iT邦大神 1 級 ‧ 2011-12-19 16:01:59 檢舉

下面這個測試可能比較複雜一點:

<pre class="c" name="code">	rpcping -t ncacn_http -o RpcProxy=host.940.com.tw -P "userid,domain,password" -H 1 -F 3 -a connect -u 9 -v 3 -s host.940.com.tw -I " userid,domain,password " -e 6004

請注意第二個 userid (-I 之後), 雙引號前後都有《空白》, 不要弄錯了.

正常的話, 應該出現下面這樣:

若是有問題的話, 可能會出現下面這個, 同時會有個 Exception Code:

raytracy iT邦大神 1 級 ‧ 2011-12-19 16:32:40 檢舉

bigcandy提到:
IPV6 有人說要關閉,也有人說要保留,參考:

IPv6 的問題是出現在 Exchange 2007 SP1 安裝在 Server 2008 的版本上, 這個問題已經在 2008 年 Q3 的 2007 SP1 RU4 版本中被修正. Exchange 2010 則不需要擔心這個問題....

raytracy提到:
您試一下這個能否過關

使用IE8連線:
https://mail.domain.com.tw/rpc/rpcproxy.dll?host.domain.com.tw:6001
輸入domain\name,pws之後空白,看來如超人所說,是正常的

由DC1或Exchange local 使用powershell執行結果:
例外狀況 5 (0x00000005)
記錄數目為: 1
ProcessID 為 2680
系統時間為: 12/19/2011 11:30:19:36
產生元件為 2
狀態為 0x5,5
偵測位置為 1750
旗標為 0
NumberOfParameters 為 1
長數值: 0x5

raytracy iT邦大神 1 級 ‧ 2011-12-20 14:08:16 檢舉

bigcandy提到:
例外狀況 5 (0x00000005)

這個通常是密碼有誤, 請確認一下上面的指令, 記得在 -I 後面的《每一個雙引號》前後都有空白喔...

bigcandy提到:

XP-->ExchangeA-->Outlook正常(同一個Lan,是否啟用Outlook Any Where皆正常)

這個, 能否測一下: 如果把 Anywhere Proxy 的《高速網路》也勾選起來的話, 可否用 HTTPS 連上? (請用 Outlook 的《連線狀態》查看是否真為 HTTPS 連線?)

1.我的指令是:
rpcping -t ncacn_http -o RpcProxy=host.domain.com.tw -P "administrator,domain,password" -H 1 -F 3 -a connect -u 9 -v 3 -s host.domain.com.tw -I " administrator,domain,password " -e 6004
會造成例外狀況 5 (0x00000005)

2.勾選快速網路之後將變成本次問題-->一直問密碼卻無法連線,也就是無法以https連線,正常連線只在TCP/IP(連線狀況)

raytracy iT邦大神 1 級 ‧ 2011-12-21 22:50:01 檢舉

我今天剛好遇到一個跟您一樣的狀況, 待我解開之後再給您參考看看...不過最快要周五以後....(前面有太多問題在排隊了)

先感謝Ray超人了,CASE優先,應當地!

raytracy iT邦大神 1 級 ‧ 2011-12-28 00:13:31 檢舉

報告糖叔, 我的客戶解決了, 但不知道您的是否相同? 我遇到的狀況是這樣:

這個客戶的 Email 地址是: ray@domain.com, 但是 Domain 的登入帳號是: ray.tracy. 我把 Anywhere 設定成用 Basic 認證, 但是當 Outlook 跳出認證畫面的時候, 這個客戶輸入的帳號是: ray 或 ray@domain.com, 這兩種格式皆無法通過認證.

後來, 我請這位客戶在問密碼的畫面改輸入成: domain\ray.tracy 就過關了.
(domain = AD domain name, 不是 email 的 domain)

不曉得這樣能否解決掉您的問題?

小成 iT邦高手 10 級 ‧ 2011-12-28 09:10:51 檢舉

大師好
我跟糖叔測試了一下
有一些問題想請教大師,能否請大師釋疑

糖叔這邊狀況有用rpcping跟test-outlookconnectivity測試都是正常
然後在外面用OUTLOOK測試連線時,偶爾有測試成功,有設定完成也可以連線,但是連線速度似乎很慢
不過更大的部分是,不斷地跳出帳密驗證畫面,已確認憑證等等都是正常的,如上所說是偶爾會成功的
而我說得很慢的情況是,輸入伺服器與使用者帳號以後,按下檢查名稱,要等很久很久,才會跳出帳密驗證,但是同一台CLIENT,我測試我公司這邊的環境,速度就很快。
而我用糖叔的CLIENT去設定OUTLOOK也是剛開始都一直失敗,不斷地跳出驗證,測了好一段時間以後才成功,OUTLOOK也確定可以收到信件,但之後,同一個OUTLOOK設定檔,糖叔卻說OUTLOOK還是會跳驗證,收不到信。
請教一下大師,會是網路方面的問題嗎? 還是EXCHANGE是否有可能有哪邊有問題會導致此情況?

另外糖叔那邊環境我還有一個疑問想請教大師:
CAS那邊的設定不是有設定內部跟外部網址嗎?
像我這邊,我是把內部網址設成EXCAHNGE這台機器的FQDN,假設是host.d.com,然後外部網址才是對外的mail.d.com
但是糖叔那邊的設定,內部跟外部網址都是mail.d.com,並沒有用到機器本身的FQDN,
我有疑問的部分是,像糖叔那邊這樣子的設定,是可以的是嗎?還是會不會導致哪邊有可能有問題呢?
謝謝大師

raytracy iT邦大神 1 級 ‧ 2011-12-30 14:19:03 檢舉

esyc提到:
像我這邊,我是把內部網址設成EXCAHNGE這台機器的FQDN,假設是host.d.com,然後外部網址才是對外的mail.d.com
但是糖叔那邊的設定,內部跟外部網址都是mail.d.com,並沒有用到機器本身的FQDN,
我有疑問的部分是,像糖叔那邊這樣子的設定,是可以...(恕刪)

這個會有問題, 但我現在忙, 假日再詳細回...

終於換了線路+防火牆+DNS改設定,結果........
完全一樣,一直問帳密
帳號登入三種打法:
id
domain\id
id@domain.com.tw
皆失敗......目前看來,應該不是線路、防火牆
感覺是RPC Over http的問題,可是重新安裝過滿多次了,RPC Over http需要額外設定嗎?

raytracy iT邦大神 1 級 ‧ 2012-01-17 16:31:27 檢舉

我今天又遇到一個同樣狀況, 最後是 Root CA 的憑證不正確所致.

這個客戶原本使用 Exchange 2003, 當時有架一個 Root CA, 後來升級到 2010 的時候, 架了另外一個 Root CA 發憑證給 Exchange, 但是 Support 工程師不知道這件事, 一直拿舊的 Root CA 去安裝, 結果就出現以上的問題.

小成 iT邦高手 10 級 ‧ 2012-01-17 16:45:58 檢舉

但是糖叔這邊是忽好忽壞
不過我是在外部測試的
但是基本上有成功設定好也能使用(過一段時間沒更改設定又不行)
應該算沒甚麼大問題吧?
不曉得糖叔內部測試是否也是忽好忽壞? 還是完全正常?

raytracy iT邦大神 1 級 ‧ 2012-01-20 16:29:19 檢舉

剛剛又看到一篇, 說 Outlook Anywhere 的認證協定必須選死是: Basic 或是 NTLM, 不可以選《協議》, 否則 IIS 會錯亂.

時好時壞也很詭異. 照理說, 不是全好就應該全壞才對, 時好時壞應該是有甚麼設定會跑來跑去的, 要不要查看看 DNS (內部及外部都查)?

小成 iT邦高手 10 級 ‧ 2012-02-03 10:19:55 檢舉

大師不好意思
如大師說的,我自己在測試的時候的確也有遇過使用"協議"的時候,反而造成大家都不能使用的情況。後來才改成設死。
然後糖叔那邊設定也是設死成"BASIC"
時好時壞的確很詭異,不過我沒測過糖叔那邊從內部測試是否也會時好時壞,都是從外部測試的,
大師說的查DNS是指?
如前所說,糖叔那邊內部外部所使用的網址設定,在外面都可以反解的到(反解出都是同一個IP),這樣不曉得是否會有影響?

由於此狀況出自LAB,經過長期努力依舊無法解決,只好刪除所有AD+EXCHANGE了

(EXCHANGE 2010移除重新安裝、ADSI編輯刪除+重裝,都失敗)

暫時結案,感謝RAY超人+esyc 的協助,感恩!

2
krimy
iT邦新手 4 級 ‧ 2011-12-20 14:18:25

https的憑證是否為信任的狀況??
用IE試試,
我遇到的狀況是根憑證不被信任,所以outlook anywhere就會認證不過..

感謝提醒,憑證是正常的。感覺是RPC Over http的問題

我要發表回答

立即登入回答