Exchange 2007 [Single Sign On]

Situatie:
Exchange 2007 - 2 node cluster (SCC)
Exchange 2007 - CAS/HT
Exchange 2007 - Edge

Allen draaiende op Windows Server 2008 x64 enterprise.

Alles default geinstalleerd (test omgeving).

Het volgende wil ik voor elkaar krijgen, vanaf elke client/server zonder aanmelden inloggen in OWA.
Nu heb ik op de CAS/HT server een vinkje gezet bij "Intergrated Windows Authentication".
(Exchange Admin, Outlook Web Access, OWA virtual directory).

Wanneer ik naar het interne IP of de Interne hostname browse vanaf een client/server in hetzelfde domein (server 2008 domein) / ip range blijf ik toch helaas elke keer een inlog scherm krijgen (de bekende popup, niet het OWA form).

Van buitenaf kan ik (nog) niet testen, daar de server nog niet aan 't internet hangt.

Googlen heeft helaas niks opgeleverd, nog de docs van Microsoft. Daar staat doodleuk in dat voor de meeste organisaties de standaard settings goed genoeg zouden moeten zijn.

Heeft iemand enig idee hoe ik SSO aan de praat kan krijgen i.c.m. Exchange 2007?

Derice wijzigde dit bericht 08-07-2008 16:39 (6%)

Heb je de ie settings al gechecked?
en de iis settings?

google >> How to Configure Integrated Windows Authentication

Uiteraard heb ik dat KB artikel al gelezen.
Daar staat alleen uitgelegd waar je dat vinkje kunt zetten. En zoals te lezen is in de startpost, heb ik die optie al gevonden.

@pennelikker, welke IE/IIS settings doel je op?

quote:

Derice schreef op dinsdag 08 juli 2008 @ 16:39:
Uiteraard heb ik dat KB artikel al gelezen.
Daar staat alleen uitgelegd waar je dat vinkje kunt zetten. En zoals te lezen is in de startpost, heb ik die optie al gevonden.

@pennelikker, welke IE/IIS settings doel je op?

url toevoegen aan trusted sites en dan in ie "tools -> internet options -> security -> trusted sites -> Custom Level -> "User Authentication (laatste optie) Automaticly Logon with current user name and password"

Dat zou het kunnen zijn

Thanks, dat werkte.

Nu nog dat via een Policy zien uit te rollen! (That's the easy part).

Ander iets waar ik nog tegenaan loop, heb mijn certificaat van webmail.example.com geimporteerd.
Uiteraard ook gekoppeld aan IIS via de Exchange Management Console, maar toch blijf ik de melding krijgen dat het certificaat niet thrusted is.

Enable-ExchangeCertificate -thumbprint <thumbprint> -services "IIS"

In DNS heb ik een entry aangemaakt voor webmail.example.com maar toch pakt ie em niet.
Die DNS truc zou toch moeten zorgen dat het certificaat wel als OK gezien moet worden?

Van welke Certificate Authority heb je je SSL certificaat? CACert bijvoorbeeld is inderdaad niet Trusted zonder het root certificaat toe te voegen.

Heb je je certificaat geïmporteerd in IIS op de website? Dus in IIS Management Console ipv Exchange Management Console? Via IIS kun je namelijk een certificaat aanvragen en de request code die je krijgt, moet je ingeven bij je CA.

Certificaat is van GlobalSign ServerSign CA.
Deze moest ik toen ik het certificaat installeerde ook importeren. Voor de import van het root certificaat was het webmail.example.com certificaat inderdaad niet thrusted.

In IIS staat het certificaat onder Server Certificates netjes erbij.
Name: webmail.example.com
Issued To: webmail.example.com
Issued by: GlobalSign ServerSign CA
Expiration Date: <datum>
Certificate Hash: <hash>

Behalve dat certificaat staat er ook nog een Exchange certificaat bij met de naam van de server. Dit certificaat is standaard, echter niet Thrusted omdat ie niet in de Thrusted Root store staat.

Vreemd verhaal, ik heb voor mijn OWA omgeving een certificaat van CACert genomen (testomgeving) en deze binnen IIS geïmporteerd. Verder heb ik er niets aan veranderd binnen Exchange, maar het certificaat wordt wel vertrouwd. Heb je dat root certificaat ook op de client gezet? Anders kan het bijv. dat de client deze ook niet vertrouwen wil.

Ik weet niet uit mijn hoofd of jouw Certificate Authority wel standaard in de Root certificates staat, maar het kan uiteraard geen kwaad om 't te proberen

IIS7?

Nope, Exchange 2007 op Windows Server 2003, IIS6 dus.

Probleem is dat voor de OWA certificaten en Outlook Anywhere, je nu een zogenaamde Organization Validated SSL nodig hebt, waarin je ook een link legt naar je internal adres ( eg. servername.domain.local )

Met het huidig certificaat zal het nu dus niet lukken.

Hmm.... nou ja, ik zal dan een nieuw certficiaat moeten aanvragen (huidige verloopt toch over een paar maanden).

Heb nu gewoon het certificaat van Exchange 2003 geexporteerd en geimporteerd op mijn nieuwe server.
Echter wordt intern ook gebruik gemaakt van webmail.example.com de interne DNS verwijst naar het interne IP van de CAS.
Extern wordt het geNAT door de firewall.

Outlook Anywhere wordt niet gebruikt overigens.

Derice wijzigde dit bericht 09-07-2008 14:47 (119%)

Meer info vind je op Exchange Team blog : http://msexchangeteam.com/archive/2007/02/19/435472.aspx

Het gaat dus over de Subject Alternative Names die je in een SSL moet meegeven.

Thanks! Weer wat geleerd vandaag!