An unexpected error occurred and your request couldn’t be handled. OWA 2010

Error Message : An unexpected error occurred and your request couldn’t be handled / The service ‘/EWS/exchange.asmx’ cannot be activated due to an exception during compilation

We have encountered this issue on 3 fresh Exchange 2010 installations SP1 RU1 on OWA when trying to delete a message on OWA
Nous avons rencontrés dans le cadre d’une installation Exchange 2010 le problème suivant lors de la tentative de suppression d’un message dans OWA

We have decided to install RU2 reboot etc…
Nous avons installé le RU2 . meme probléme

Same issue
Our binding on default website are

When we try to delete a msg on owa we have this on application log.
En supprimant un message nous avons vu dans le journal des applications les entrées suivantes.

WebHost failed to process a request.

Sender Information: System.ServiceModel.ServiceHostingEnvironment+HostingManager/56566820

Exception: System.ServiceModel.ServiceActivationException: The service ‘/EWS/exchange.asmx’ cannot be activated due to an exception during compilation. The exception message is: This collection already contains an address with scheme http. There can be at most one address per scheme in this collection.

Parameter name: item. —> System.ArgumentException: This collection already contains an address with scheme http. There can be at most one address per scheme in this collection.

 

Outlook Web App couldn’t connect Exchange Web Services due to a configuration error. Response code = “500″.

We change the binding in a way to have just one binding per port

Same Issue

The certificate on IIS is ok and contains right Subject alternate name

Le certificate sur IIS est correct et contient les bon SAN

We have delete the second entries http 4443 used for a specific remote powershell connection and it works again.

Nous avons supprimer l’entrée que nous avions ajouter et tout refonctionne.

The question is now … how to have a secondary bindings
La question est désormais de savoir comment l’on peut mettre une seconde entrée sans avoir ce souci .

Cordialement
Laurent Teruin

Noubliez Pas ! Si vous désirez avoir acces au réféntiel documentaire envoyez un message à Unifiedit@hotmail.com !

 

 

 

Mise à jour de l’espace documentaire

La mise à jour de l’espace documentaire a été faite. Pour demander votre accès envoyez simplement un Mail à unifiedit@hotmail.com avec comme sujet Demande-Access

Cordialement

Laurent Teruin

 

Lync Social Connector : Plugin Outlook pour les amateurs de fédération Lync

Un nouvel outil vient de faire son apparition, il s’agit de Lync Social Connector. Développé par Loryan Strant (MVP O365), ce petit plugin Outlook (totalement gratuit) fera le bonheur des utilisateurs utilisant très fréquemment la fédération Lync.

A l’heure actuelle, pour savoir si un contact Outlook possède Lync avec fédération, il est nécessaire d’ouvrir une session IM avant que la fédération se mette en place.

Lync Social Connector va vous permettre de gagner du temps en scannant les emails reçus et d’identifier si l’expéditeur supporte la fédération Lync. Pour ce faire, le plugin est lancé en tâche de fond et ira même jusqu’à proposer l’ajout de l’expéditeur dans vos contacts Lync (si bien sûr il supporte la fédération) lors de la réception d’un email sans même initialiser une session IM Lync !

Le plugin possède aussi une gestion des exclus (expéditeur/domaine).

En ce qui concerne son installation, elle est très simple :

-       Télécharger Lync Social Connector sur la galerie TechNet.

-       Installer le package .msi

-       Redémarrer Outlook

Have Fun

David ANDRE

Unifiedit : Nouveau Service : Espace de Partage de Documentation

Bonjour à tous

Nous ouvrons ce matin un nouveau service qui vous permettra de récupérer des documents de diverses provenances portant sur les 2 principaux sujets que sont Lync et Microsoft Exchange traités sur ce blog.

L’objectif est de proposer l’accès à un référentiel de documentations publiques portant sur les écosystèmes Lync et Microsoft Exchange.

La technologie utilisée est basée sur l’offre SkyDrive de Microsoft. Pour plus d’information : https://skydrive.live.com/

Cet accès est totalement gratuit. Pour y accéder merci d’envoyer un mail portant l’objet « Demande-Access » à l’adresse Unifiedit@hotmail.com

Le contenu est en train d’être consolidé et va s’enrichir très prochainement.

Cordialement

Laurent Teruin
Unifiedit@hotmail.com

 

 

Exchange 2010 Cas : Utiliser les fonctionnalités X-Forwarded-For sous Windows 2008 R2

Dans le cas de l’utilisation des fonctions de répartition de charges, et dans le but d’éviter des demi-sessions, on peut être contraint à utiliser des fonctions de Nat source (SNat ou Snat Automap) sur les répartiteurs de charge.

Note : Après l’avoir testeé, la procédure donnée par F5 dans le guide « Deploying the BIG-IP System v10 with Microsoft Internet Information Services 7.0 » ne semble pas correcte.

L’inconvénient de cette technique est que par défaut, les administrateurs Exchange vont perdre l’adresse IP des clients http(s). Une solution de contournement consiste à mettre en place sur les répartiteurs de charge réseau une fonctionnalité qui permet d’insérer dans l’entête http l’adresse Ip de ces derniers. Si cela est possible dans certains répartiteur de charge, les serveurs IIS par défaut, ne logueront pas cette information sauf si vous activez les options de journalisations avancées de IIS et que vous configuriez ces dernières pour prendre en compte cette information.

Pour installer sur vos Cas Server Windows 2008 R2 X64 cette fonctionnalité, il vous faudra récupérer un module complémentaire. Pour récupérer ce module de journalisation avancée cliquez sur le lien suivant :

http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=7211

Et procédez à son installation sur le serveur Web Windows 2008 R2 Cas Exchange 2010

Une fois installé, ouvrez Internet Information Services (IIS) Manager et dans le panneau de connexion cliquez sur le répertoire sur lequel vous désirez configurer la journalisation avancée.

Activer les fonctions de journalisation avancées en cliquant sur Enable Advanced Logging

Puis modifier les journaux en ajoutant la valeur X-Forwaded-For comme le montre l’exemple suivant :

Ensuite retourner dans Advanced Logging et cliquer sur Edit Log Definition

Dans la fenêtre suivante cliquez sur X-Forwarded-FOR pour activer son suivi

Si la fonction n’est pas activée pensez à l’activer en cliquant sur Enable Advanced Logging

 

Les journaux IIS comprendront désormais les adresses IP de vos chers clients http.

 

Cordialement
Laurent Teruin

 

 

 

Exchange 2007 : Inbound authentication failed with error IllegalMessage for Receive connector.

Un petit cas Exchange 2007 à ce jour entre deux serveurs Exchange 2007

Inbound authentication failed with error IllegalMessage for Receive connector Default MYEXSERVER.The authentication mechanism is ExchangeAuth. The source IP address of the client who tried to authenticate to Microsoft Exchange is [172.16.18.126].

 

En regardant les SPN nous pouvons voir que tout est correct

Registered ServicePrincipalNames for CN=MYEXSERVER,OU=Domain Controllers,DC=UNIFIEDIT,DC=local:

    POP3/MYEXSERVER

    POP3/MYEXSERVER.unifiedit.local

    exchangeMDB/MYEXSERVER.unifiedit.local

    exchangeMDB/MYEXSERVER

    exchangeRFR/MYEXSERVER.unifiedit.local

    exchangeRFR/MYEXSERVER

    SMTP/MYEXSERVER

    SMTP/MYEXSERVER.unifiedit.local

    SmtpSvc/MYEXSERVER

    SmtpSvc/MYEXSERVER.unifiedit.local

    exchangeAB/MYEXSERVER

    exchangeAB/MYEXSERVER.unifiedit.local

    ldap/MYEXSERVER.unifiedit.local/ForestDnsZones.unifiedit.local

    ldap/MYEXSERVER.unifiedit.local/DomainDnsZones.unifiedit.local

    DNS/MYEXSERVER.unifiedit.local

    NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/MYEXSERVER.unifiedit.local

    GC/MYEXSERVER.unifiedit.local/unifiedit.local

    HOST/MYEXSERVER.unifiedit.local/unifiedit.local

    HOST/MYEXSERVER.unifiedit.local/UNIFIEDIT

    ldap/1d6d7ff2-b3a3-45c1-b737-41788d0d59b6._msdcs.unifiedit.local

    ldap/MYEXSERVER.unifiedit.local/UNIFIEDIT

    ldap/MYEXSERVER

    ldap/MYEXSERVER.unifiedit.local

    ldap/MYEXSERVER.unifiedit.local/unifiedit.local

    E3514235-4B06-11D1-AB04-00C04FC2DCD2/1d6d7ff2-b3a3-45c1-b737-41788d0d59b6/unifiedit.local

    WSMAN/MYEXSERVER.unifiedit.local

    WSMAN/MYEXSERVER

    HOST/MYEXSERVER

HOST/MYEXSERVER.unifiedit.local

 

En modifiant les clefs de registre suivantes

1. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
   
2. Dans le menu Edition, pointez sur Nouveau et cliquez sur Valeur DWORD.
   
3. Dans le volet de détails, entrer la nouvelle valeur LogLevel et appuyez sur entrée.
   
4. Cliquez avec le bouton droit sur LogLevel, puis cliquez sur Modifier.
   
5. Dans la boîte de dialogue Modifier la valeur DWORD, sous base, cliquez sur décimale.
   
6. Dans la zone données de la valeur, tapez la valeur 1, puis cliquez sur OK.
   
7. Fermez l’Éditeur du Registre.
   

Puis en redemarrant le service KDC nous avons obtenu l’erreur suivante

Event Type:       Warning

Event Source:   KDC

Event Category:               None

Event ID:             20

Date:                    4/3/2012

Time:                    9:56:00 AM

User:                    N/A

Computer:         MYEXSERVER

Description:

The currently selected KDC certificate was once valid, but now is invalid and no suitable replacement was found.  Smartcard logon may not function correctly if this problem is not remedied.  Have the system administrator check on the state of the domain’s public key infrastructure.  The chain status is in the error data.

Puis

Event Type:       Error

Event Source:   Kerberos

Event Category:               None

Event ID:             3

Date:                    4/3/2012

Time:                    9:57:21 AM

User:                    N/A

Computer:         MYEXSERVER

Description:

A Kerberos Error Message was received:

         on logon session

 Client Time:

 Server Time: 7:57:21.0000 4/3/2012 Z

Error Code: 0xd KDC_ERR_BADOPTION

Extended Error: 0xc00000bb KLIN(0)

Client Realm:

 Client Name:

 Server Realm: UNIFIEDIT.LOCAL

Server Name: host/MyExServer.unifiedit.local

Target Name: host/MyExServer.unifiedit.local@UNIFIEDIT.LOCAL

Error Text:

 File: 9

Line: b22

Error Data is in record data.

 

 

En purgeant les tickets Kerberos et en redémarrant les services KDC de part et d’autre le problème a été résolu.

 

 

Documents additionnels

http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=21820

Cordialement

Laurent Teruin

 

 

Un , deux et trois : UnifiedIt devient le site au trois Mvp

Comme on dit … ça c’est fait. Anthony Costeseque est passé MVP. Donc UnifiedIt devient le site au trois MVP Exchange. On recrute on recrute !

Bonne journée

Cordialement

LaurentTeruin

MVP Award 2012

Bonjour à tous,

En ces temps très chargés un peu de lumière fait toujours du bien :) et cette fois elle est venue de ma messagerie :p

La cristallisation de beaucoup de passion, de travail, de sacrifices, et de courtes nuits sous forme de reconnaissance au travers du statut MVP.

Cela ne change rien à part un regain d’énergie pour continuer dans la même direction

Merci à tous pour votre confiance et votre reconnaissance ^^

“La connaissance ne vaut que si elle est partagée” – Exchange your Mind

Anthony COSTESEQUE (MVP Exchange)

Lync & Certificats Publics.. : Pas si publics que ça … suite et fin ;-)

Bon alors comme je voulais avoir le fin mot de l’histoire et surtout savoir si l’on devait déployer ces fameuses autorités de certification intermédiaire, je me suis mis en tête d’appeler Verisign. Bon après un demie heure de .. appuyer sur 1 appuyer sur 2 etc.. Pour finalement tomber sur un répondeur m’invitant à taper une extension de poste…., j’ai switcher sur le support Globalsign ou j’ai pu avoir le fin mot de l’histoire.

Remerciements au passage aux interlocuteurs de Globalsign pour leur disponibilité et la qualité de leurs échanges ainsi que du temps passé. C’est assez rare parfois, alors autant le souligner. ;-)

D’après le support, les autorités de certifications intermédiaires auraient été positionnées pour éviter de trop exposer les autorités racines. Utilisée sur un serveur Web elles n’impliqueraient pas la nécessité de déployer la chaine de certificat de l’autorité intermédiaire sur le poste de travail car rappelons le, l’utilisateur ne sera pas prompté si et seulement si les 4 conditions ci-dessous sont remplies:

• Le certificat n’est pas révoqué
  
• Le certificat contient le nom qui correspond à l’URL tapée par l’utilisateur
  
• Le certificat est émis d’une autorité de certification approuvé par le poste de travail
  
• Le certificat n’est pas expiré
  

Or les autorités de certifications intermédiaires permettraient (à conditions qu’elles soient néanmoins déployées sur le serveur Web) de ce passer de les déclarer sur les postes qui visiteraient le site. Entre nous….ce qui parait plausible.

Alors …j’ai testé en prenant un poste Windows 7 tout neuf et en allant sur un site Web (https://meet.mycompany.com) doté d’un beau certificat Wildcard Globalsign et ça marche !!! Pas de prompt !

Le poste est tout neuf, n’est pas dans le domaine et n’a rien à voir avec l’entreprise.

Alors installons le client Lync et testons l’accès au Edge doté cette fois ci d’un certificat SAN Globalsign.

Et …

Ca marche !

Passons maintenant à la dernière version du client Lync CU3

Résultat ;-))

Note : notre serveur Edge possède bien dans son magasin l’autorité de certification intermédiaire. C’est également le cas pour ce qui est des serveurs Edge de fédération qui de facto fonctionne

Donc .. le consultant GlobaSign ..avait raison ;-) . Voila de quoi me réconcilier avec ces chères institutions ;-)

Un grand merci encore une fois aux équipes de GlobalSign

Bonne soirée

Laurent Teruin

 

 

Lync & Certificats Publics.. : Pas si publics que ça … mise à jour

Bonjour

Plusieurs problèmes récents liés aux certificats et à Lync 2010 m’amène à poster cet article

Pour que les services Lync Edge / reverse proxy fonctionnent correctement, il faut que le mobile ou le pc approuve l’autorité de certification de confiance qui a émis ce certificat. L’autorité de certification la plus communément reconnue et par conséquent installée dans le magasin de certificat des ordinateurs semble être Verisign et Thawte.

Cependant, cela n’empêche pas les autres de fonctionner convenablement à condition que les autorités de certification qui ont délivrées le certificat, à savoir l’Autorité racine de confiance ou l’autorité intermédiaire soient présentes dans le magasin du périphérique qui accède à Lync. Périphérique qui peut être un téléphone mobile (Windows Phone, Iphone etc..) , un Serveur Lync Edge (Fédération), un Pc de l’entreprise dans le domaine, un pc externe inconnu.

Bien sûr me direz-vous que si vous achetez des certificats publics (au prix où parfois ils sont vendus ….), c’est pour justement ne pas avoir à mettre en place des certificats d’autorités de confiance dans les PC. J’en conviens mais……. Mais parfois ce n’est pas le cas.

Pour tester j’ai installé une machine Windows 7 «  from scratch » que je l’ai mis à jour.

Voici ce qu’elle possédé dans son magasin de certifications

 

On n’y trouve Thawte Verisign (qui semble être la même société par ailleurs) mais pas de trace de Comodo ni de Globalsign par exemple. Ce qui veut dire que pour ces autorités, il faudra déployer des certificats d’autorités de confiance Racines et voir intermédiaires sur les postes de travail de l’entreprise. En Gpo ça se fait très rapidement. Par contre sur les Smartphones, c’est selon le système d’exploitation parfois un peu plus compliqué, surtout si vous en avez beaucoup ;-))

Cependant reste le problème de l’accès WEB APP de Lync qui est censé être utilisé par des clients externes en https, et qui n’étant pas dans le domaine, n’auront pas forcement les bonnes autorités de certifications dans leurs magasins. Pour eux, lorsqu’ils tenteront d’accéder à une réunion par web app un warning de certificat s’affichera avec la possibilité de continuer néanmoins. C’est moyen je vous l’accorde mais ….pas le choix.

Si vous mettez en place une fédération alors il faudra également penser à ce que les deux serveurs Edge possèdent de part et d’autre les bonnes autorités de certification de confiance (racines et intermédiaires) et dans les bons conteneurs !.

D’autre part, il n’est pas exclu, même si vous choisissez une autorité connue par défaut dans Windows 7 que cela suffise. Pourquoi ? Parce que les autorités de certifications publiques peuvent si elle le souhaite, utiliser des nouvelles autorités de certifications intermédiaires pour délivrer des certificats publics. De facto, cette nouvelle autorité de certification publique de confiance et intermédiaire ne sera donc pas présente dans vos magasins. Et par conséquent cela ne fonctionnera pas. Un exemple ? un certificat récemment acheter auprès de Vérisign . Vous remarquerez le nom de l’autorité de certification intermédiaire

Concernant la fédération avec Windows Live et autre IM, peu de problème sont remontés pour le moment.

Certificat pour les Phone Edition

Pour les téléphones voici les autorités racines approuvés par défaut sur Lync Phone Edition

Fournisseur	Nom du certificat	Date d’expiration	Longueur de la clé
Comodo	AAA Certificate Services	12/31/2020	2048
Comodo	AddTrust External CA Root	5/30/2020	2048
Cybetrust	Baltimore CyberTrust Root	5/12/2025	2048
Cybetrust	GlobalSign Root CA	1/28/2014	2048
Cybetrust	GTE CyberTrust Global Root	8/13/2018	1024
VeriSign	Class 2 Public Primary Certification Authority	8/1/2028	1024
VeriSign	Thawte Premium Server CA	12/31/2020	1024
VeriSign	Thawte Server CA	12/31/2020	1024
VeriSign	Comodo	1/7/2010	1000
VeriSign	Class 3 Public Primary Certification Authority	8/1/2028	1024
Entrust	Entrust.net Certification Authority (2048)	12/24/2019	2048
Entrust	Entrust.net Secure Server Certification Authority	5/25/2019	1024
Equifax	Equifax Secure Certification Authority	8/22/2018	1024
GeoTrust	GeoTrust Global CA	5/20/2022	2048
Go Daddy	Go Daddy Class 2 Certification Authority	6/29/2034	2048
Go Daddy	http://www.valicert.com/	6/25/2019	1024
Go Daddy	Starfield Class 2 Certification Authority	6/29/2034	2048

 

Donc avant de signer chez un fournisseur d’autorité de certification publique comme on dit dans le sud … Méfi !

Vérifier également sur le site de Microsoft que cette autorité de certifications publiques est bien certifiée UC par l’éditeur voir ci-dessous ou. lien suivant : http://support.microsoft.com/kb/929395

Au prix où ils le vendent leurs services ne serait-t-il pas de bon ton de les publier au moins via Windows Update non ? Sinon à quoi bon passer par une autorité de certification publique. J’ai dit une bêtise la ?

Laurent Teruin