none
Remplacement de certificats vers un certificat SAN sur Exchange 2007 ? RRS feed

  • Discussion générale

  • Bonjour à tous !

    Je suis actuellement sur un problème récurant que je ne comprends pas trop.

    • Nom de domain interne est azerty.lab.net nom du serveur interne exchange.azerty.lab.net
    • Nom de domain externe est azerty.com, nom OWA depuis l'externe https://mail01.azerty.com/owa

    Depuis l'installation de mes Clients Outlook 2010, j'avais une erreur de certificat dès le lancement Outlook (le nom ne correspondait pas).

    J'ai donc fais une modification pour ne plus avoir ce message, en suivant KB http://support.microsoft.com/kb/940726 qui modifie:

    Set-ClientAccessServer -Identity CAS_Server_Name -AutodiscoverServiceInternalUri https://mail.azerty.com/autodiscover/autodiscover.xml
    Set-WebServicesVirtualDirectory -Identity "CAS_Server_Name\EWS (Default Web Site)" -InternalUrl
    https://mail.azerty.com/ews/exchange.asmx
    Set-OABVirtualDirectory -Identity "CAS_Server_name\oab (Default Web Site)" -InternalUrl
    https://mail.azerty.com/oab
    Set-UMVirtualDirectory -Identity "CAS_Server_Name\unifiedmessaging (Default Web Site)" -InternalUrl
    https://mail.azerty.com/unifiedmessaging/service.asmx

    Depuis, je n'ai plus de message d'erreur, mais je ne peux plus utiliser:

    • Le gestionnaire absence
    • Le téléchargement de l'annuaire
    • La planification de réunion avec une vue du planning de chaque collaborateur
    • Actualisation du répertoire en mode hors connexion

    C'est plutôt problématique...

    PS: Je n'ai pas d'erreur dans autodiscover ! Il retrouve même toutes les informations de mes users pour faire une configuration automatique de Outlook 2010.

    Par-contre quand je tape:

    Actuellement, je n'utilise pas de certificat SAN, j'utilise des certificats dissociés

    • Un certificat pour mail01.azerty.com délivré à mail01.azerty.com délivré par mail01.azerty.com
    • Un certificat pour exchange.azerty.lab.net délivré à exchange.azerty.lab.net délivré par exchange.azerty.lab.net

    Je pense que le problème vient de là, pour moi la solution est peut-être de faire un certificat SAN comprenant tous mes noms DNS.

    Pouvez-vous me confirmer ou me donner le meilleur BestPratice ?

    Je vous remercie par avance

    • Type modifié Florin Ciuca jeudi 21 juin 2012 07:01 attente de feedback
    jeudi 14 juin 2012 09:57

Toutes les réponses

  • Bonjour,

    puisque vous n'avez qu'un seul serveur qui a généré son propre certificat, la solution la plus facile est effectivement de générer un seul certificat contenant tous les noms.

    Dans tous les cas, il est important de garder la distinction Interne/Externe avec des URL différentes... Ce n'est pas une bonne pratique  de le mettre à l'identique (même si cela peut diminuer le coût des certificats publics).

    Pour le nom différent, la cause est souvent la zone "msstd:" qui demande la vérification du nom de certificat. On peut facilement désactiver cela sur le poste client (ou sur le serveur CAS).

    A bientôt,


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (69 MCPs) http://base.faqexchange.info

    jeudi 14 juin 2012 11:42
    Modérateur
  • Thierry, merci pour votre réponse,

    Mais un non accès à ces fonctions:
    •Le gestionnaire absence
    •Le téléchargement de l'annuaire
    •La planification de réunion avec une vue du planning de chaque collaborateur
    •Actualisation du répertoire en mode hors connexion

    vient bien d'un problème de certificat? ou de la modification de Set-ClientAccessServer -Identity, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory -Identity, Set-UMVirtualDirectory -Identity ?

    Car techniquement quand j'ouvre Outlook, je n'ai aucun message d'erreur de certificat.

    Par-contre, quand je vais sur une de ces fonctions qui ne fonctionne pas (ex Fichier> Réponses automatiques) , ma connexion part vers l’extérieur. Je ne pense pas que cela soit normal puisse-que je suis sur mon réseau interne.

    Voici les messages d’erreurs des fonctions :

     •Le gestionnaire absence
    Impossible d'afficher vos paramètre de réponse automatique, car le serveur n'est pas disponible. Réessayer ultérieurement.

     •Le téléchargement de l'annuaire
    La tache user@azerty.coma signalé une erreur (0x80004005) : échec de l’opération
     

    •La planification de réunion avec une vue du planning de chaque collaborateur
    Impossible de déterminer l’emplacement de votre serveur. Contacter administrateur de votre entreprise (humm embarrassant c’est moi :-/)

     •Actualisation du répertoire en mode hors connexion
    La tache user@azerty.coma signalé une erreur (0x80004005) : échec de l’opération

             
    jeudi 14 juin 2012 13:49
  • Bonsoir,

    la plupart des fonctions indiquées utilisent la fonctionnalité Autodiscover et les WebServices pour trouver l'utilisateur (auto...) puis interroger  la boîte correspondante (par webservices). L'erreur 4005 signifie que l'accès est refusé. Cette type  d'erreur peut survenir s'il n'y a pas unicité de l'authentification sur les différentes fonctions et/ou que l'authentification "basique" est postionnée. On peut alors vérifier que l'authentification intégrée est bien cochée (dans IIS) en plus des autres authentifications souhaitées.

    A+


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (69 MCPs) http://base.faqexchange.info

    jeudi 14 juin 2012 22:40
    Modérateur
  • Bonjour,

    En effet, j'ai donc modifier ceci:

    J'ai modifier Set-OABVirtualDirectory -Identity "CAS_Server_name\oab (Default Web Site)" -InternalUrl https://exchange.azerty-lab.net/oab

    Pour avoir mon service OAB en interne et non sur l'adresse externe


    Lors du téléchargement du carnet d'adresse j'ai ceci:

     •Le téléchargement de l'annuaire
    La tache user@azerty.coma signalé une erreur (0x80072F06) : Erreur inconnue 0x80072F06

    Apparemment ça correspond bien à une erreur de certificat non ?

    vendredi 15 juin 2012 10:47
  • Bonjour,

    Non je n'ai pas fais de IISRESET mais un redémarrage du serveur. Cela à une incidence?

    Cordialement,

    lundi 18 juin 2012 11:56
  • Oui!

    Comme après toute modification touchant à IIS.


    Thierry DEMAN. Exchange MVP. https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://www.faqexchange.info

    lundi 18 juin 2012 12:03
    Modérateur