lundi 16 septembre 2013

[DirectAccess] Outlook 2010 ne se connecte pas à Exchange via DirectAccess


Comme le décrit Microsoft dans l'article Outlook MAPI connection to Exchange 2010 CAS fails through UAG 2010 direct access tunnel, il se peut que la connectivité Outlook vers Exchange 2010 pose soucis au travers d'une passerelle DirectAccess hébergée sur Forefront UAG.

Dans cet article le souci vient du fait que Forefront TMG refusait des paquets RPC. Cependant j'ai rencontré un problème similaire chez un autre client mais cette fois ci avec une autre source de problème.

1/ Description de l'environnement

Besoins du client :
  1. Les agences se connectent au travers de DirectAccess vers le siège de la société
  2. Les agences doivent consulter leurs messagerie au travers DirectAccess afin de sécuriser au mieux les flux 
 Informations diverses :
  1. Le client Outlook utilise le protocole MAPI pour se connecter à Exchange
  2. Ce dernier n'utilise pas RPC over HTTP

2/ Problème rencontré

Cependant comme l'on peut le constater sur cette capture le client Outlook n'arrive pas à se connecter au rôle CAS de l'infrastructure Exchange 2010.

3/ Explications

 Tout naturellement afin de trouver la cause du problème c'est parti pour faire les traces avec ma commande netsh adorée (netsh trace start scenario=directaccess capture=yes report=yes), de reproduire le problème et ensuite analyser ces dernières avec l'aide du support.

Comme attendu le client tente au travers de MAPI des appels RPC, les informations en jaunes correspondent à l'adresse IP du client DirectAccess suivit du port, et celles en vert à l'adresse NAT64/DNS64 du serveur Exchange que le client souhaite joindre.

Ici sur ces traces on observe que le 3-ways handshake échoues.

 De plus son remarque que le client accède bien aux informations de l'autodiscover sans aucun soucis.

4/ Solution

Un moyen viable de faire passer les communications entre Outlook et Exchange dans ce cas était d'activer la connexion RPC over HTTP au travers la fonctionnalité Outlook AnyWhere. Effectivement suite à la mise en place de cette fonctionnalité tout s'est mis à fonctionner comme un charme.
Publié par Lionel à 09:05
Libellés : , , , ,

2 commentaires:

  1. Anonyme16 septembre 2013 à 10:47

    Je suis d'accord mais le client ne passera via du Outlook anywhere qu'à l'une de ses deux conditions si du MAPI est disponible en Direct Access:

    1)Exclure les liens de connexion MAPI du Direct Access (liens internes vers les CAS/HLB/NLB selon l'infrastructure du client)
    2)Spécifier dans le client Outlook de toujours utiliser d'abord http sur les connexions lentes et rapides.

    RépondreSupprimer
    Réponses
    1. Lionel17 septembre 2013 à 22:14

      La solution proposée par le support Microsoft ne nécessite pas d'effectuer l'étape 1) que vous décrivez.

      De souvenir il n'a pas été demandé de modifier les paramètres clients, mais n'étant pas expert sur Exchange je pense que vous devez avoir raison.

      Supprimer

Inscription à : Publier les commentaires (Atom)