Здравствуйте. Настраиваю OWA. Для этого на ISA создала правило публикации почтового сервера с параметрами: action:allow, from:anywhere, to:<имя сервера в локальной сети>(стоит галка "Forward the original host header..." и переключатель "requests appear to com from the ISA server computer"), traffic:HTTPS, link translation - выключен, Users: all, bridging: включен только редирект по SSL. Настроен Listener - слушает внешнюю сеть, включено SSL, установлен сертификат. Метод аутентификации в слушателе - OWA Forms Based.
В настройках IIS (на том же сервере) установлено для папок Exchange и Public интерированная аутентификация, require secure channel и 128-bit encryption, для папки exchweb - анонимный доступ, require secure channel и 128-bit encryption.
Ввожу в браузере внешний IP Исы, появляется форма OWA. Ввожу туда имя пользователя в виде домен\логин и пароль, жму ОК и появляется окно с ошибкой - Error Code: 403 Forbidden. The server denied the specified Uniform Resource Locator (URL). Contact the server administrator. (12202).
Так как иса и иис на одном компьютере, я с помощью httpcfg разнесла их на разные интерфейсы - иса слушает по 443 порту на внешнем интерфейсе, а иис - на внутреннем. Но теперь появилась описанная проблема. Может быть, кто-то сталкивался с подобным и смог разрешить это? Или просто может я галочку где-то не поставила?

Для начала вот это прочитайте
http://www.msexchange.org/tutorials/Securing-Exchang…ess-Chapter5.html
для проверки всех настроек на IIS

далее: может на ISA не авторизовать пользователя, а делать это на IIS?

спасибо, почитаю. Правда, поправить настройки на сервере смогу только в понедельник.

может на ISA не авторизовать пользователя, а делать это на IIS?
это как? То есть, на исе в свойствах слушателя вообще аутентификацию отключить?

да, пусть слушатель просто форвардит запрос на IIS,
конечно если не параноидально настроины на безопасности, но судя по таму что exchange и ISA на одном серваке это не так.

А что, настолько плохо Exchange и ISA на одном серваке? В плане безопасности?

Банальная проблема, надо перегрузить это сервер -не работает ни почта ни интеренет.
так что лучше такие глобальные сервисы разносить.

Прочитала статью, проставила все настройки папок, как там указано. Forms-base autentication не включала. Подключаюсь из локальной сети - https:\\<имя сервера>\exchange. Ввожу имя пользователя, пароль, и выдается сообщение Access denied. В логах IIS указана ошибка - 401 2

Ошибка авторизации.
а если зайти просто по http?

ну я действительно уже запуталась... Во разных инструкциях (с microsoft.com, с msexchange.org, с isaserver.org) указаны разные настройки аутентификации для виртуальных папок. Сейчас поставила везде, кроме exchweb basic autentication. Теперь в логах так:
2007-01-22 14:32:27 W3SVC1 192.168.1.8 GET /exchange - 443 domain\test 192.168.1.68 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) fw1 302 0 0
2007-01-22 14:32:36 W3SVC1 192.168.1.8 GET /wspad.dat - 80 - 192.168.1.8 - fw1.domain.lan 403 4 5
Описана ли где-то действительно работающая конфигурация?

У меня в разных местах сделано всё по ссылке которую я приводил. С авторизацией проблем нет.
Тем более изнутри.

А могут быть такие проблемы из-за неверно выставленных разрешений к папкам пользователей в mbx? Как у вас там выставлены разрешения?

self full and read permition

Я имею в виду не почтовые ящики, к которым права выставляются в Active Directory Users and Computers, а папки, которые им соответствуют на эксчейнджевском диске (М).

Какой диск М?В начале же упоменялось про Echange2003!!!
Тут только есть базы Mailbox Store...nhjufnm на них пермишены не надо, это не относится к представляниям OWA

Ну да, 2003. Открыла я в свое время на нем диск М... Да, я понимаю, что эти хранилища тут не при чем. Вот, нашла такую статью на микрософте - http://support.microsoft.com/kb/317471/en-us. Проверила разрешения, как там сказано, перезапустила службы. Пробую подключиться - в логах IIS:
2007-01-23 13:04:46 W3SVC1 192.168.1.8 GET /exchange - 443 domain\test 192.168.1.68 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) fw1 302 0 0
2007-01-23 13:04:46 W3SVC1 192.168.1.8 GET /exchange/ - 443 - 192.168.1.68 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) fw1 401 2 2148074254
2007-01-23 13:04:46 W3SVC1 192.168.1.8 GET /exchange/ - 443 - 192.168.1.68 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) fw1 401 1 0
2007-01-23 13:04:56 W3SVC1 192.168.1.8 GET /exchange/ - 443 - 192.168.1.68 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) fw1 401 2 2148074254
2007-01-23 13:04:56 W3SVC1 192.168.1.8 GET /exchange/ - 443 - 192.168.1.68 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) fw1 401 1 0
2007-01-23 13:04:57 W3SVC1 192.168.1.8 GET /exchange/ - 443 - 192.168.1.68 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) fw1 401 2 2148074254

Katyavra
Решила проблему? у меня такая же хрень

ZPavel
возникли другие проблемы, щас вернулась к этой. Пока не решила. Создаю в том же сайте другую виртуальную директорию, с ssl, с basic аутентификацией - открывается нормально. А когда пытаюсь открыть exchange - в логах иис ошибка 401 2. Я в ближайшее время хочу попробовать поставить второй exchange и с ним попробовать.
У тебя ISA и Exchange тоже на одной машине?

Нет, у меня на разных. Я придерживаюсь мнения: на шлюз лишнего ничего не ставить.
Когда делал без ssl, веб-страница с формой загружается, ввожу пароль, ошибка 403. По https: сертификат показывает, не доходит до формы, сразу же 403 Forbidden.
Вообще интересно, я выключил аутентификацию на ISA и у меня теперь не спрашивает пароль, сразу эта ошибка...
Может дело в каких-то невключенных правилах фильтрации или способах аутентификации на различных папках сайта?
Кто знает?

Исправлено: ZPavel, 06.02.2007 22:36