使用客户端证书通过TMG发布Activesync (403.7禁止)

Question

我试图在Server2K3上发布Exchange2003ActiveSync，在2008R2上通过TMG 2010发布Exchange2003ActiveSync，在Android手机上使用客户端证书。

据我所知，问题在于TMG，因为当我直接连接到邮件服务器时，一切正常。在查看TMG时，我可以在EAS日志中看到尝试，服务器返回所需的403.7禁止的客户端证书。

现在，我已经设置了web侦听器以要求客户端证书，我已经告诉发布规则使用Kerberos受限的委托，并且我已经使用以下SPN配置了Active中用于委托的TMG框：

http/{邮件服务器内部FQDN}

W3svc/{邮件服务器内部FQDN}

我遵循了这两个演练中的步骤：

http://www.isaserver.org/tutorials/publish-microsoft-exchange-active-sync-eas-isa-server-2006-part1.html

http://www.isaserver.org/tutorials/Publish-Microsoft-Exchange-Active-Sync-EAS-ISA-Server-2006-Part2.html

然而，尽管如此，我仍然可以从Exchange服务器获得403.7美元的回报。我怀疑问题要么是TMG服务器从我们的DC获得了机票，要么是TMG向邮件服务器提供了票证。

任何建议都欢迎！

提前谢谢。

Answer 1

当您从客户端进行身份验证时，从TMG框内部获取一个网络跟踪；这将显示与DC的票务交换。(假设日志没有特定的错误)。

虽然403.7大致转换为客户证书所需。如果这是您在web服务器上的W3日志中看到的错误，则需要在那里禁用客户端证书身份验证；TMG只能执行Kerberos操作，因此Client Cert Auth不再在卡上了。

这也解释了为什么它仍然在内部工作，没有任何变化。

编辑-关于使用客户端证书身份验证设置ActiveSync的最佳链接，我在Technet上的ISA 2006部署指南中看到：http://technet.microsoft.com/en-us/library/bb794751.aspx#AppendixC

编辑2-为了使其显式化，上面第1部分的文章是错误的，因为它没有提到ISA/TMG执行客户端证书；只在Exchange框中直接这样做。