Проблема с доступом внешних клиентов VPN, RPCoHTTP
 

Добрый день. В фирме есть 2 сервера: 1) Win2003 r2sp2 x86 ent - ISA 2006 sp1; 2) Win2008 SP2 x64 std - Exchange 2007 sp3 (CAS,HUB,MB,UM), AD, CA, IIS, RPCoHTTP Proxy, DHCP.

Проблема №1
Внешние клиенты подключаясь через VPN не могут получить доступ к совим почтовым ящикам по MAPI, если ящик уже был настроен в офисе когда ноутбук клиента был в внутренней сети, то через VPN (PPTP) он работает 3-5 сек, после чего теряет подключение к Exchange, в это время на ISA в логах возникает ошибка Event: 20021 Source: ISA Server RPC Filter (Опубликованная служба RPC 192.168.*.100:135 недоступна). Никакой информации по этой ошибке найти не удалось. Если попытаться настроить почтовый ящик из дома подключившись по VPN то во время настройки будет ошибка "Сервер Exchange недоступен". Правила на ISA разрешают VPN клиентам полный доступ к внутренней сети, так же ISA сервер имеет полный доступ к внутренней сети.

Проблема №2
Хотел перевести пользователей с VPN на PRCoHTTP подключение, но и тут возникли проблемы. Правила публикации созданы, сертификат с внутреннего CA прикручен к exchange и к isa, и опять же не работает, при проверке подлинности NTLM просто пишет об отсутствии подключения к Exchange, при Basic запрашивает логин\пароль\домен но так же появляется ошибка о недоступности подключения к Exchange. На ISA и Exchange во время подключения в логах чисто, ошибок нет. При проверке через testexchangeconnectivity возникает ошибка при проверке SSL "Не удалось построить цепочку сертификатов. Требуемые промежуточные сертификаты могут отсутствовать" но думаю это все таки из-за того что сертификат не покупной, а из внутренней CA.

Сразу уточню, все настраивалось еще года 2 назад другим администратором, контактов которого нет, и проблема с VPN тогда же была и решить ее так же не удавалось.

Я не сильный спец по связке ISA+Exchange, но указанная ошибка может быть причиной, т.к. если бы у Вас самоподписной сертификат, то это (с точки зрения MS) было бы не очень плохо... а если нельзя получить CRL всей цепочки... то с точки зрения MS это фатально!

В Вашей цепочке сертификатов все CRL-размещения доступны из Инетрнет?! Если нет, то для решения проблем с CA начинайте именно с этого! Как временный тест можно предложить загрузить во внутренней сети свежий CRL и загрузить его ручками на клиента... пока не истек срок его действия попробовать подключиться снаружи.

Сертификат из внутренного CA, на компьютере удаленного клиента корнвеой сертификат CA так же установлен, т.е. заходя на owa из интернета видно, что ошибок с сертификатом нет. Доступ к CRL из интернета был сделан временно по HTTP, при VPN подключении так же есть доступк с CRL и через HTTP и через LDAP.