我正在尝试通过 2008R2 机器上的 TMG 2010 在 Server2K3 机器上发布 Exchange 2003 activesync,并使用 Android 手机上的客户端证书。
据我所知,问题出在 TMG 上,因为当我直接连接到邮件服务器时,一切都正常。通过 TMG 时,我可以在 EAS 日志中看到该尝试,并且服务器返回 403.7 - 禁止访问,需要客户端证书。
现在,我已经设置了 Web 侦听器以要求客户端证书,我已经告诉发布规则使用 Kerberos 约束委派,并且我已经在 Active Directory 中配置了 TMG 框以使用以下 SPN 进行委派:
http/{邮件服务器内部 FQDN}
w3svc/{邮件服务器内部 FQDN}
我已遵循这两个演练中的步骤:
http://www.isaserver.org/tutorials/publish-microsoft-exchange-active-sync-eas-isa-server-2006-part1.html
http://www.isaserver.org/tutorials/Publish-Microsoft-Exchange-Active-Sync-EAS-ISA-Server-2006-Part2.html
然而,尽管如此,我仍然从 Exchange 服务器收到 403.7。我怀疑问题出在 TMG 服务器从我们的 DC 获取票证,或 TMG 向邮件服务器提供票证。
欢迎提出任何建议!
提前致谢。
答案1
当您从客户端进行身份验证时,从 TMG 盒内部获取网络跟踪;这将向您显示与 DC 的票务交换。(假设日志没有特定错误)。
虽然 403.7 大致可以理解为需要客户端证书。如果您在 Web 服务器上的 W3 日志中看到此错误,则需要禁用客户端证书身份验证;TMG 只能执行 Kerberos,因此客户端证书身份验证不再可行。
这也解释了为什么它在内部仍能正常工作而没有任何变化。
编辑 - 关于使用客户端证书身份验证设置 ActiveSync 的最佳链接,我见过的是在 Technet 上的 ISA 2006 部署指南中: http://technet.microsoft.com/en-us/library/bb794751.aspx#AppendixC
编辑 2 - 明确地说,上述第 1 部分文章是错误的,其中没有解决 ISA/TMG 执行客户端证书认证的问题;只是直接在 Exchange 框中执行此操作。