我试图通过在Android手机上使用客户端证书,在2008R2盒子上通过TMG 2010在Server2K3盒子上发布Exchange 2003 ActiveSync。
从我可以告诉,问题是与TMG,因为当我直接连接到邮件服务器一切工作正常。 在通过TMG时,我可以在EAS日志中看到这个尝试,服务器返回403.7 – 禁止,需要客户端证书。
现在,我已经设置了Web侦听器来要求客户端证书,我已经告诉发布规则使用Kerberos约束委派,并且我已经在Active Directory中configuration了TMG框,以便使用以下SPN进行委派:
http / {邮件服务器内部FQDN}
w3svc / {邮件服务器内部FQDN}
我遵循了这两个演练中的步骤:
http://www.isaserver.org/tutorials/publish-microsoft-exchange-active-sync-eas-isa-server-2006-part1.html
http://www.isaserver.org/tutorials/Publish-Microsoft-Exchange-Active-Sync-EAS-ISA-Server-2006-Part2.html
尽pipe如此,尽pipe如此,我还是从Exchange服务器获得了403.7的回报。 我怀疑问题在于TMG服务器从我们的DC获取票据,或者TMG向邮件服务器提供票据。
任何build议将是最受欢迎的!
提前致谢。
从客户端进行身份validation时,从TMG盒子的内部抓取networking跟踪; 那会告诉你与DC的票务交换。 (假设日志没有特定的错误)。
尽pipe403.7大致转换为客户证书要求。 如果这是您在Web服务器上的W3日志中看到的错误,则需要在那里禁用客户端证书身份validation; TMG只能执行Kerberos,所以Client Cert Auth不再是卡上的。
这也解释了为什么它仍然在内部工作,没有任何变化。
编辑 – 关于使用客户端证书身份validation设置ActiveSync的最佳链接,请参阅Technet上的ISA 2006部署指南: http : //technet.microsoft.com/en-us/library/bb794751.aspx#AppendixC
编辑2 – 使其明确,上面的第1部分文章是错误的 ,在这不解决ISA / TMG执行客户端证书身份validation; 只在Exchange框中直接进行。