Meilleur auteur de réponses
Exchange 2010: Problème de certificat.

Question
-
Bonjour à tous.
Je viens vers vous car j'ai un soucis avec un serveur Exchange 2010 depuis le renouvellement du certificat SSL.
Précédement le certificat SSL comprenait les DNS suivants:
-domain.com
-autodiscover.domain.com
-webmail.domain.com
-localserv.domain.local
-webmail.domain.local
Lors du renouvellement il était impossible de mettre des FQDN (www.domain.local) dans le certificat. J'ai donc renouveller avec les DNS suivants:
-domain.com
-autodiscover.domain.com
-webmail.domain.com
Depuis il m'est impossible d'ajouter un compte exchange sur un client outlook. Les comptes existants fonctionnement bien mais lorsque je tente d'en ajouter un nouveau j'obtiens un message me disant que le serveur exchange n'est pas en ligne. En faisant le teste de connectivitée depuis le site de microsoft je n'obtiens aucune erreur mais lorsque j'utilise le logiciel Microsoft Connecticity Analyzer celui-ci me donne l'erreur suivante:
Tentative de résolution du nom d'hôte autodiscover.domain.com dans DNS. Le nom d'hôte a été résolu correctement. Détails supplémentaires Test du port TCP 443 sur l'hôte autodiscover.domain.com pour s'assurer qu'il écoute/est ouvert. Le port a été ouvert correctement. Détails supplémentaires Test du certificat SSL pour confirmer sa validité. Échec du certificat SSL à une ou plusieurs vérification(s) de validation de certificat. Détails supplémentaires Millisecondes écoulées: 16 Résultats de test L’analyseur de connectivité de Microsoft tente d’obtenir le certificat SSL depuis le serveur distant autodiscover.domain.com sur le port 443... Merci de patienter. L’analyseur de connectivité de Microsoft a obtenu avec succès le certificat SSL distant. Détails supplémentaires Détails supplémentaires: Sujet du certificat distant : CN=domain.com, OU=Domain Control Validated, Émetteur : SERIALNUMBER=XXXXXXX, CN=Go Daddy Secure Certification Authority, OU=http://certificates.godaddy.com/repository, O="GoDaddy.com, Inc.", L=Scottsdale, S=Arizona, C=US. Millisecondes écoulées: 4 Validation du nom du certificat. La validation du nom de certificat a échoué. En savoir plus sur ce problème et sa résolution Détails supplémentaires Détails supplémentaires: Le nom d'hôte autodiscover.domain.com ne correspond à aucun nom trouvé sur le certificat du serveur CN=domain.com, OU=Domain Control Validated. Millisecondes écoulées: 0
Pourtant autodoscover.domain.com est bien dans mon certificat.
Avez-vous une idée?
Merci d'avance
Réponses
-
Il semblerait que j'ai résolu le soucis.
J'ai installé le SP3 et depuis j'arrive à connecter un compte depuis Outlook sans problème.
Cependant l'outil Microsoft Connectivity Analyzer (installé en local sur un poste) me sort toujours la même erreur donc je soupçonne l'utilitaire d'avoir un problème.
Merci à Bruce JDC de m'avoir apporté son aide.
Toutes les réponses
-
Vous devez vérifier que vos ressources internes sont adressés par l'un des noms portés par le certificat.
Vous devez vérifier :
Get-ClientAccessServer | fl Name,AutodiscoverServiceInternalUri
Get-OutlookAnywhere | fl ExternalHostname
Puis vérifier toutes les cmdlet du type Get-*VirtualDirectory que la propriété InternalURL (lordqu'elle existe) pointe sur un nom porté par le certificat.
La seule chose qui n'a pas besoin d'être portée par le certificat est le nom du CAS Array.
Vous devez aussi vous assurer que autodiscover.domain.com pointe bien sur le serveur Exchange même lorsque vous êtes en interne de votre réseau.
Enfin reste à vérifier qu'il n'y a pas d'erreur sur le certificat, et que l'autorité racine est bien trusté.
Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr
- Modifié Bruce JDCModerator mardi 14 janvier 2014 09:49
-
Normalement la configuration est correct:
[PS] C:\Windows\system32>Get-ClientAccessServer | fl Name,AutodiscoverServiceInternalUri Name : PIXSERV04 AutoDiscoverServiceInternalUri : https://autodiscover.domain.com/Autodiscover/Autodiscover.xml
[PS] C:\Windows\system32>Get-OutlookAnywhere | fl ExternalHostname ExternalHostname : webmail.domain.com
[PS] C:\Windows\system32>get-webservicesvirtualdirectory | ft identity,internalurl Identity InternalUrl -------- ----------- PIXSERV04\EWS (Default Web Site) https://autodiscover.domain.com/ews/exchange.asmx
[PS] C:\Windows\system32>get-oabvirtualdirectory | ft identity,internalurl Identity InternalUrl -------- ----------- PIXSERV04\OAB (Default Web Site) https://autodiscover.domain.com/oab
[PS] C:\Windows\system32>get-owavirtualdirectory | ft identity,internalurl Identity InternalUrl -------- ----------- PIXSERV04\owa (Default Web Site) https://webmail.domain.com/owa
[PS] C:\Windows\system32>get-ecpvirtualdirectory | ft identity,internalurl Identity InternalUrl -------- ----------- PIXSERV04\ecp (Default Web Site) https://webmail.domain.com/ECP
[PS] C:\Windows\system32>get-ActiveSyncVirtualDirectory | ft identity,internalurl Identity InternalUrl -------- ----------- PIXSERV04\Microsoft-Server-ActiveSync (Default Web Site) https://webmail.domain.com/
Je pense les avoirs toutes passées et aucunes ne renvoie un nom local.
-
Vous devez vérifier que vos ressources internes sont adressés par l'un des noms portés par le certificat.
Vous devez vérifier :
Get-ClientAccessServer | fl Name,AutodiscoverServiceInternalUri
Get-OutlookAnywhere | fl ExternalHostname
Puis vérifier toutes les cmdlet du type Get-*VirtualDirectory que la propriété InternalURL (lordqu'elle existe) pointe sur un nom porté par le certificat.
La seule chose qui n'a pas besoin d'être portée par le certificat est le nom du CAS Array.
Vous devez aussi vous assurer que autodiscover.domain.com pointe bien sur le serveur Exchange même lorsque vous êtes en interne de votre réseau.
Enfin reste à vérifier qu'il n'y a pas d'erreur sur le certificat, et que l'autorité racine est bien trusté.
Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr
- Modifié McDonnel mardi 14 janvier 2014 10:11
-
-
-
Pouvez-vous ouvrir la même URL directement sur le serveur Exchange en question?
Si cela fonctionne, il y a probablement quelque chose dans le format du certificat qui n'est pas apprécié par Exchange, reste à trouver quoi.
Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr
- Modifié Bruce JDCModerator mardi 14 janvier 2014 10:50
-
-
-
Tu as vu la Faq godaddy?
Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr
-
Oui je l'avais suivi pour l'installation du certificat. Je n'avais pas rencontré de problèmes au moment de l'import que ce soit dans le catalogue de certificat du serveur ou sur la console exchange.
Mon certificat est bien actif sur les services SMTP, IMAP, POP et IIS et l'autodiscover est bien présent dans le CertificateDomains
[PS] C:\Windows\system32>Get-ExchangeCertificate "A7487B26D8EF9F42DAE0A17A1917C47F03DF8B59" | fl * PSComputerName : pixserv04.domain.lan RunspaceId : 7f4bd43d-9cf3-4f68-b4b9-7bbe0885c6f8 AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAcces sRule, System.Security.AccessControl.CryptoKeyAccessRule} CertificateDomains : {domain.com, www.domain.com, autodiscover.domain.com, webmail.domain.com} CertificateRequest : IisServices : {} IsSelfSigned : False KeyIdentifier : A2C2A96DF943E613B0CAE57E43040A9C692994B3 RootCAType : ThirdParty Services : IMAP, POP, SMTP, IIS Status : Valid SubjectKeyIdentifier : A2C2A96DF943E613B0CAE57E43040A9C692994B3 PrivateKeyExportable : True PublicKeySize : 2048 ServicesStringForm : IP..S. Archived : False Extensions : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptograph y.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Crypt ography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security .Cryptography.Oid} FriendlyName : Microsoft Exchange IssuerName : System.Security.Cryptography.X509Certificates.X500DistinguishedName NotAfter : 09/12/2016 00:30:44 NotBefore : 09/12/2013 14:02:03 HasPrivateKey : True PrivateKey : System.Security.Cryptography.RSACryptoServiceProvider PublicKey : System.Security.Cryptography.X509Certificates.PublicKey RawData : {48, 130, 5, 113, 48, 130, 4, 89, 160, 3, 2, 1, 2, 2, 7, 4...} SerialNumber : 04907E8DC08B72 SubjectName : System.Security.Cryptography.X509Certificates.X500DistinguishedName SignatureAlgorithm : System.Security.Cryptography.Oid Thumbprint : A7487B26D8EF9F42DAE0A17A1917C47F03DF8B59 Version : 3 Handle : 543097632 Issuer : SERIALNUMBER=XXXXXXX, CN=Go Daddy Secure Certification Authority, OU=http://certificates.godadd y.com/repository, O="GoDaddy.com, Inc.", L=Scottsdale, S=Arizona, C=US Subject : CN=domain.com, OU=Domain Control Validated
- Modifié McDonnel jeudi 16 janvier 2014 08:32
-
Votre certificat dispose des extensions suivantes ?
- Key Usage : Digital Signature, Key Encipherment, Key agreement
- Enhanced Key Usage : Server Authenticication et Client Authentication
Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr
-
-
Je pense que vous avez trouvé le nœud du problème, vous pouvez cependant vérifier avec l'ancien certificat?
Mise à jour : en fait je ne l'ai pas non plus sur les self signed d'Exchange, cela n'a peut etre rien à voir du coup.
Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr
- Modifié Bruce JDCModerator jeudi 16 janvier 2014 10:51
-
Il semblerait que j'ai résolu le soucis.
J'ai installé le SP3 et depuis j'arrive à connecter un compte depuis Outlook sans problème.
Cependant l'outil Microsoft Connectivity Analyzer (installé en local sur un poste) me sort toujours la même erreur donc je soupçonne l'utilitaire d'avoir un problème.
Merci à Bruce JDC de m'avoir apporté son aide.