Невнимательность + кривые руки + новые технологии = OWA\ECP Logon Loop.

15 thoughts on “Невнимательность + кривые руки + новые технологии = OWA\ECP Logon Loop.”

  1. Хехехе, добро пожаловать в клуб! Когда Паша с месяц назад с темже пришел, с типа-опа, я его сразу отругал- а зачем, мол не командлетом выписывал? От этого все зло :)

  2. Небольшая поправочка. Я говорил: «Скорее всего проблема в сертификате. Если ты уверен, что проблема не в нём, то скорее всего проблема в сертификате!». Вот :) .

  3. Олега, ты прости, но это не CNG проклятый, а эксчендж-тим, который за 10(!) лет так и не запилил поддержку православного CNG. Доколе можно терпеть хлам времён NT4 (я про CAPI1)? На дворе 21-й век, всё-таки.

    > Т.е. он плевал на криптопровайдера, на возможность экспорта ключа и т.п.

    не то, чтобы плевал. Он про это ничего не знает. В запросе могут быть опциональные атрибуты, но это для администратора, а не для CA.

    > Microsoft RSA SChannel Cryptographic Provider

    имхо, Microsoft Enhanced RSA and AES Cryptographic Provider лучше будет. У него шире поддержка по алгоритмам и ключам.

  4. >Олега, ты прости, но это не CNG проклятый, а эксчендж-тим, который за 10(!) лет так и не запилил поддержку православного CNG.
    Вадя, это профдеформация у меня во всей красе. Exchange — он привычный и родной, а этот ваш модный CNG с ним не работает :) Хотя я, конечно же, понимаю, что корень зла не в команде PKI.
    По остальным пунктам скажу только, что я не настоящий пикиайщик, я только учусь :)

  5. Я бы сказал, что эта проблема ни к CNG ни к Exchange’у напрямую не относится — она вообще платформенная, ибо .NET, с точки зрения криптографии, очень отстаёт от новомодных тенденций. Ну а так как Exchange жиздится на нём по полной программе, вот и соответствующий эффект.

  6. Ну так все в отстающих, (а я бы добавил) — Exchnange 2016,TMG, ADFS 2012R2, Lync/S4Bда даже ни в богомерзкой Vmware 6.0 нет поддержки супер новой CNG, который православный, но всеми вышеперечисленными продуктами не поддерживаемый. Мир жесток. :)

  7. Это, типа, шутка или просто неправильно прочитанное выше :) ?
    А Дима заработал 100 баллов ;) !

  8. Саша всё правильно написал про дотнеты и производные от него. Но я бы не сказал, что CNG — какой-то суперновомодный. Ему 10 лет уже. И это не CNG с эксченджем не дружит, а наоборот. Потому что все, кто юзают нативные COM’ы (например, тот же аутлук) или нативные функции Win32 — те с CNG дружат по умолчанию. Даже аутлук 2003 (которому чуть больше, чем 10 лет) умеет CNG (если установлен на висте и выше).

  9. Тоже полностью согласен. А «новомодные тенденции» мне нужно было взять в кавычки :) .

  10. Он такой же «суперновомодный», как и IPv6. Которому тоже 15 лет, в обед, но его хоть начинают использовать, а с CNG даже конь не валялся. В общем- все тлен.:) А сто баллов то за что, за ПравдуЪ?

  11. Не-не-не. CNG используют тоже. Например, по умолчанию начиная с Windows Server 2008, CA сервер использует провайдер CNG для ключей. И тому есть ряд важных причин. Как минимум, чтобы использовать SHA2 подписи. И CNG решает ряд других важных вопросов (которые большинству людей не кажутся очевидными).

  12. Хм. Делал недавно ровно то же самое. Запрос сертификата из MMC, в качестве Крипто-провайдера «Microsoft Software Key Storage Provider». Т.е. по идее должны были бы быть проблемы. Но их нет. Логон проходит штатно. Версия Exchange 14.3 (Build 123.4).

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s