Auteur de questions
Remplacement de certificats vers un certificat SAN sur Exchange 2007 ?

Discussion générale
-
Bonjour à tous !
Je suis actuellement sur un problème récurant que je ne comprends pas trop.
- Nom de domain interne est azerty.lab.net nom du serveur interne exchange.azerty.lab.net
- Nom de domain externe est azerty.com, nom OWA depuis l'externe https://mail01.azerty.com/owa
Depuis l'installation de mes Clients Outlook 2010, j'avais une erreur de certificat dès le lancement Outlook (le nom ne correspondait pas).
J'ai donc fais une modification pour ne plus avoir ce message, en suivant KB http://support.microsoft.com/kb/940726 qui modifie:
Set-ClientAccessServer -Identity CAS_Server_Name -AutodiscoverServiceInternalUri https://mail.azerty.com/autodiscover/autodiscover.xml
Set-WebServicesVirtualDirectory -Identity "CAS_Server_Name\EWS (Default Web Site)" -InternalUrl https://mail.azerty.com/ews/exchange.asmx
Set-OABVirtualDirectory -Identity "CAS_Server_name\oab (Default Web Site)" -InternalUrl https://mail.azerty.com/oab
Set-UMVirtualDirectory -Identity "CAS_Server_Name\unifiedmessaging (Default Web Site)" -InternalUrl https://mail.azerty.com/unifiedmessaging/service.asmxDepuis, je n'ai plus de message d'erreur, mais je ne peux plus utiliser:
- Le gestionnaire absence
- Le téléchargement de l'annuaire
- La planification de réunion avec une vue du planning de chaque collaborateur
- Actualisation du répertoire en mode hors connexion
C'est plutôt problématique...
PS: Je n'ai pas d'erreur dans autodiscover ! Il retrouve même toutes les informations de mes users pour faire une configuration automatique de Outlook 2010.
Par-contre quand je tape:
- https://mail01.azerty.com/owa j'ai pas d'erreur de certificat !
- exchange.azerty.lab.net j'ai une erreur
Actuellement, je n'utilise pas de certificat SAN, j'utilise des certificats dissociés
- Un certificat pour mail01.azerty.com délivré à mail01.azerty.com délivré par mail01.azerty.com
- Un certificat pour exchange.azerty.lab.net délivré à exchange.azerty.lab.net délivré par exchange.azerty.lab.net
Je pense que le problème vient de là, pour moi la solution est peut-être de faire un certificat SAN comprenant tous mes noms DNS.
Pouvez-vous me confirmer ou me donner le meilleur BestPratice ?
Je vous remercie par avance
- Type modifié Florin Ciuca jeudi 21 juin 2012 07:01 attente de feedback
Toutes les réponses
-
Bonjour,
puisque vous n'avez qu'un seul serveur qui a généré son propre certificat, la solution la plus facile est effectivement de générer un seul certificat contenant tous les noms.
Dans tous les cas, il est important de garder la distinction Interne/Externe avec des URL différentes... Ce n'est pas une bonne pratique de le mettre à l'identique (même si cela peut diminuer le coût des certificats publics).
Pour le nom différent, la cause est souvent la zone "msstd:" qui demande la vérification du nom de certificat. On peut facilement désactiver cela sur le poste client (ou sur le serveur CAS).
A bientôt,
Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (69 MCPs) http://base.faqexchange.info
-
Thierry, merci pour votre réponse,
Mais un non accès à ces fonctions:
•Le gestionnaire absence
•Le téléchargement de l'annuaire
•La planification de réunion avec une vue du planning de chaque collaborateur
•Actualisation du répertoire en mode hors connexion
vient bien d'un problème de certificat? ou de la modification de Set-ClientAccessServer -Identity, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory -Identity, Set-UMVirtualDirectory -Identity ?
Car techniquement quand j'ouvre Outlook, je n'ai aucun message d'erreur de certificat.
Par-contre, quand je vais sur une de ces fonctions qui ne fonctionne pas (ex Fichier> Réponses automatiques) , ma connexion part vers l’extérieur. Je ne pense pas que cela soit normal puisse-que je suis sur mon réseau interne.
Voici les messages d’erreurs des fonctions :
•Le gestionnaire absence
Impossible d'afficher vos paramètre de réponse automatique, car le serveur n'est pas disponible. Réessayer ultérieurement.
•Le téléchargement de l'annuaire
La tache user@azerty.coma signalé une erreur (0x80004005) : échec de l’opération
•La planification de réunion avec une vue du planning de chaque collaborateur
Impossible de déterminer l’emplacement de votre serveur. Contacter administrateur de votre entreprise (humm embarrassant c’est moi :-/)
•Actualisation du répertoire en mode hors connexion
La tache user@azerty.coma signalé une erreur (0x80004005) : échec de l’opération- Modifié Gregory TechIT jeudi 14 juin 2012 13:52
-
Bonsoir,
la plupart des fonctions indiquées utilisent la fonctionnalité Autodiscover et les WebServices pour trouver l'utilisateur (auto...) puis interroger la boîte correspondante (par webservices). L'erreur 4005 signifie que l'accès est refusé. Cette type d'erreur peut survenir s'il n'y a pas unicité de l'authentification sur les différentes fonctions et/ou que l'authentification "basique" est postionnée. On peut alors vérifier que l'authentification intégrée est bien cochée (dans IIS) en plus des autres authentifications souhaitées.
A+
Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (69 MCPs) http://base.faqexchange.info
-
Bonjour,
En effet, j'ai donc modifier ceci:
J'ai modifier Set-OABVirtualDirectory -Identity "CAS_Server_name\oab (Default Web Site)" -InternalUrl https://exchange.azerty-lab.net/oab
Pour avoir mon service OAB en interne et non sur l'adresse externe
Lors du téléchargement du carnet d'adresse j'ai ceci:•Le téléchargement de l'annuaire
La tache user@azerty.coma signalé une erreur (0x80072F06) : Erreur inconnue 0x80072F06Apparemment ça correspond bien à une erreur de certificat non ?
-
Bonjour Gregory,
Avez-vous fait un IISRESET sur le CAS Exchange après la modification ?
Cordialement,
Florin
Florin CIUCA, MSFT Votez! Appel à la contribution
Nous vous prions de considérer que dans le cadre de ce forum on n’offre pas de support technique et aucune garantie de la part de Microsoft ne peut être offerte. -
-