Недавно заменил сертификат SSL на нашем сервере Exchange 2010 новым сертификатом с подстановочными знаками. Назначенные службы, перенастроили все URL-адреса для внешнего и внутреннего доступа, чтобы они были идентичными (предыдущий сертификат был сертификатом SAN с доменными именами .local, и, поскольку они больше не доступны, мы должны это изменить), настроить разделение DNS, чтобы внутренние и внешние клиенты все используйте то же имя DNS для доступа.
Все работает так, как ожидалось, за исключением клиентов Outlook, получающих ошибку несоответствия сертификата ... похоже, что сервер предоставляет клиенту полное доменное имя server.domain.local, а SSL - * .domain.com не соответствует ...
Я следил за всеми найденными мной руководствами / статьями, чтобы убедиться, что все URL-адреса настроены правильно и все указывают на одно и то же внешнее DNS-имя. Внутреннее автообнаружение также работает и проходит (у нас нет его настройки для внешнего автообнаружения, но Outlook в любом месте работает должным образом при ручной настройке, это было протестировано)
Что меня озадачило этой проблемой, так это то, что недавно созданные профили / учетные записи не имеют этой проблемы, поэтому, похоже, это скорее проблема профиля Outlook, чем проблема сервера. Я могу открыть Outlook и использовать свой ранее настроенный профиль и получаю сообщение об ошибке несоответствия SSL. Если я создам новый профиль Outlook и настрою в нем свою учетную запись, ошибок SSL не будет вообще.
Не уверен, сталкивался ли кто-нибудь с этим раньше или нет, но любые советы / помощь были бы очень признательны ... хотя восстановление профиля Outlook решает проблему, с 25-30 пользователями, это не совсем то, что я хочу делать .... Это не то, что нужно делать .... Заранее спасибо за любой ответ / помощь.
Глина
Редактировать -
Моя проблема не совсем похожа на упомянутый вопрос о предупреждении безопасности Outlook ... но тем более Как этот - ошибки сертификата Outlook / Exchange после настройки свойств clientaccessserver и т. Д.... этот, кажется, почти идентичен моей проблеме ... к сожалению, на него нет ответа, хотя
Основываясь на комментарии, который вы сделали выше, я хотел бы предоставить вам четкое представление о том, что вам нужно проверить, чтобы среда работала должным образом. Я собираюсь осветить все аспекты, так что некоторые вещи, которые у вас, вероятно, уже работают. 1. Убедитесь, что на сервере Exchange установлен и правильно работает протокол «RPC over HTTP» (например, при загрузке сервера можно просмотреть соответствующие журналы событий.
Поскольку вы заменили сертификат SSL на сертификат с подстановочными знаками, вам нужно будет решить, как вы собираетесь ссылаться на сервер Exchange внутри своей внутренней сети, для примера давайте сделаем его mail.domain.com для fqdn и mail. для имени netbios.
Запустите следующие CMD-файлы, чтобы найти и УСТАНОВИТЬ правильную информацию для перспективы виртуальных каталогов:
Панель управления обменом: Get-ecpVirtualDirectory -Серверная почта | Set-ecpVirtualDirectory -InternalURL https://mail.domain.com/ecp -ExternalURL https://mail.domain.com/ecp
Get-ECPVirtualDirectory -Серверная почта | Fl InternalURL, ExternalURL
Outlook Web App: Get-OwaVirtualDirectory -Серверная почта | Set-OwaVirtualDirectory -InternalURL https://mail.domain.com/owa -ExternalURL https://mail.domain.com/owa
Get-OWAVirtualDirectory -Серверная почта | Fl internalUrl, ExternalURL
EWS (веб-службы Exchange): Get-WebservicesVirtualDirectory -Серверная почта | Set-WebservicesVirtualDirectory -InternalURL https://mail.domain.com/EWS/Exchange.asmx -ExternalURL https://mail.domain.com/EWS/Exchange.asmx
Get-WebservicesVirtualDirectory -Server mail | Fl internalURL, ExternalURL
Автообнаружение: Set-ClientAccessServer mail -AutodiscoverServiceInternalUri https://mail.domain.com/Autodiscover/Autodiscover.xml
Get-ClientAccessServer почта | Fl AutodiscoverServiceInternalUri
ActiveSync: Get-ActiveSyncVirtualDirectory -Серверная почта | Set-ActiveSyncVirtualDirectory -InternalURL https://mail.domain.com/Microsoft-Server-ActiveSync -ExternalURL https://mail.domain.com/Microsoft-Server-ActiveSync
Get-ActiveSyncVirtualDirectory -Серверная почта | Fl InternalURL, ExternalURL
Автономная адресная книга: Get-OABVirtualDirectory - серверная почта | Set-OABVirtualDirectory -InternalUrl https://mail.domain.com/OAB -ExternalURL https://mail.domain.com/OAB
Get-OABVirtualDirectory - почтовый сервер | Fl InternalURL, ExternalURL
OutlookAnywhere: Set-OutlookAnywhere -Identity mail \ Rpc (веб-сайт по умолчанию) "-InternalHostname mail.domain.com -ExternalHostName mail.domain.com -InternalClientAuthenticationMethod ntlm -InternalClientsRequireSsl: $ True -ExternalClientAuthenticationMethod Basic -ExternalClientsRequireS
Get-OutlookAnywhere -Identity mail \ rpc (веб-сайт по умолчанию) "| fl InternalHostName, InternalClientAuthenticationMethod, InternalClientsRequiressl, ExternalHostName, ExternalClientAuthenticationMethod, ExternalClientsRequiressl
Выполнить iisreset /restart после приведенного выше сценария не забудьте заменить mail фактическим именем netbios сервера и mail.domain.com фактическим fqdn вашего сервера Exchange.
Что касается поставщика Outlook, см. Здесь: http://blogs.technet.com/b/exchange/archive/2008/09/29/3406352.aspx
Дайте знать, если у вас появятся вопросы.
У нас возникла та же проблема после удаления нашего локального домена из наших сертификатов Exchange и после того, как мы пошли по тому же пути устранения неполадок, Clay.
Мы обнаружили, что виновником стал «последний известный исправный» кеш в Outlook 2013, отключив эту функцию через реестр на нескольких пораженных компьютерах.
Затем мы поняли, что основная причина была в том, что мы оставили старую «локальную» запись в dns. Outlook 2013 искал кеширование старого автообнаружения, и поскольку оно все еще существовало, несмотря на то, что не соответствовало сертификату, он никогда не собирался получить новый адрес.
Я знаю, что это старый, но подумал, что это может помочь кому-то другому.
Я столкнулся с той же проблемой при миграции на Exchange 2013, требующей замены сертификата SSL на Exchange 2010 и настройки OA для включения проксирования через Exchange 2013. Решение, чтобы избежать всплывающих окон сертификатов на настольных компьютерах, заключалось в импорте шаблона объекта групповой политики Outlook 2013 и включении объекта групповой политики для автообнаружения в ExcludeLastKnownGoodUrl.
Виной тому новая функция Outlook 2013 для хранения последних известных хороших URL-адресов и порядка обработки подключения при запуске :)
У меня была точно такая же проблема, как вы описываете, вплоть до T.
Решением было отключить режим кэширования для затронутых профилей. Откройте Outlook, закройте Outlook. Повторно включите режим кэширования, и проблема исчезла.
Надеюсь, это сэкономит время другим :)
Таким образом, у меня возникла точно такая же проблема после установки сертификата SSL на наш локальный сервер Exchange для mail.company.com.
Все клиенты Outlook в локальной сети начали получать сообщение «Имя в сертификате безопасности недействительно или не соответствует имени сайта», за которым следовало «Разрешить этому веб-сайту настраивать параметры сервера user@company.com? https://autodiscover.company.com/autodiscover/autodiscover.xml" Подсказка.
Я запустил утилиту DigiCert Exchange, сгенерировал сценарий, проверил его, получил и сделал резервную копию всей существующей конфигурации с помощью команды «Get-», а затем выполнил сценарий в командной консоли Exchange:
Set-ClientAccessServer -Identity "LocalServer" -AutodiscoverServiceInternalUri "https://mail.company.com/Autodiscover/Autodiscover.xml"
Set-OABVirtualDirectory -Identity "LocalServer\OAB (Default Web Site)" -InternalUrl "http://mail.company.com/OAB"
Set-WebServicesVirtualDirectory -Identity "LocalServer\EWS (Default Web Site)" -InternalUrl "https://mail.company.com/EWS/Exchange.asmx"
Set-ActiveSyncVirtualDirectory -Identity "LocalServer\Microsoft-Server-ActiveSync (Default Web Site)" -InternalUrl "https://mail.company.com/Microsoft-Server-ActiveSync"
Set-OWAVirtualDirectory -Identity "LocalServer\owa (Default Web Site)" -InternalUrl "https://mail.company.com/owa"
Set-ECPVirtualDirectory -Identity "LocalServer\ecp (Default Web Site)" -InternalUrl "https://mail.company.com/ecp"
Это не помогло устранить предупреждающие запросы на клиентах после ipconfig / flushdns, gpupdate / force и перезапуска, поэтому я дважды проверил некоторые другие элементы:
mail.company.com был зарегистрирован в сертификате SSL - окей.
Локальный DNS-сервер Псевдоним входа mail.company.com в LocalServer.company.com - хорошо
Обнаружен дубликат локального DNS-сервера Host LocalServer.company.com на 192.168.1.11 и 192.168.1.60 - Удалена неверная вторая запись.
Найден локальный DNS-сервер. Псевдоним autodiscover.company.com на LocalServer.company.com. Удалил эту запись, ipconfig / flushdns, закройте и откройте Outlook на клиентах, и все вроде работает!
Что в статье Microsoft KB https://support.microsoft.com/en-gb/kb/940726, и инструмент DigiCert Exchange ускользнул, - это еще один параметр, который я обнаружил впоследствии, который, скорее всего, правильно адресовал бы подсказку AutoDiscover:
Set-AutodiscoverVirtualDirectory -Identity "LocalServer\Autodiscover (Default Web Site)" -InternalUrl "https://mail.company.com/autodiscover/autodiscover.xml"
Set-AutodiscoverVirtualDirectory -Identity "LocalServer\Autodiscover (Default Web Site)" -ExternalUrl "https://mail.company.com/autodiscover/autodiscover.xml"
Обе эти записи пусты на моем сервере Exchange, поэтому мы протестируем их заполнение и вернемся снова.
РЕДАКТИРОВАТЬ: Итак, я ввел InternalUrl для mail.company.com/autodiscover/autodiscover.xml, и когда я проверил клиенты Outlook с помощью CTRL + щелкните правой кнопкой мыши значок Outlook на панели задач, Тест автоконфигурации электронной почты ..., Тест, Зарегистрируйтесь, прокрутите вниз и найдите строку Autodiscover, в которой есть новый адрес и статус успеха!
Я видел другую статью, в которой они добавили autodiscover.company.com в сертификат SSL в качестве решения, которое также решило бы проблему в этом сценарии, однако в моих обстоятельствах это бесполезный ресурс, поскольку у нас ограниченные сертификаты SSL.
Все работает, теперь просто выясняю подключения извне и маршрутизацию через межсетевой экран :)