none
Il nome del certificato non è valido o non corrisponde al sito RRS feed

  • Domanda

  • Buongiorno, 

    ho cercato nel forum e ho visto che ci sono diversi treads relativi alla mia problematica, ma nessuno che mi aiuti, ed non essendo un esperto in Exchange, vorrei chiedere maggiori info prima di apportare modifiche al server di produzione.

    La mia infrastruttura è la seguente:

    2 Server Exchange 2010 in cluster.

    Il sistema gestisce più domini.

    Alcuni utenti segnalato questo errore:

    Il nome del certificato non è valido o non corrisponde al sito

    Ora dalla powershell di Exchange lancio i seguenti comandi:

    Get-ActiveSyncVirtualDirectory | fl internalurl,externalurl
    InternalUrl : https://webmail.dominioA.it/Microsoft-Server-ActiveSync
    ExternalUrl : https://webmail.dominioA.it/Microsoft-Server-ActiveSync

    Get-AutoDiscoverVirtualDirectory | fl internalurl,externalurl
    InternalUrl :
    ExternalUrl :

    Get-ECPVirtualDirectory | fl internalurl,externalurl
    InternalUrl : https://webmail.dominioA.it/ecp
    ExternalUrl : https://webmail.dominioA.it/ecp

    Get-OabVirtualDirectory | fl internalurl,externalurl
    InternalUrl : https://webmail.dominioA.it/OAB
    ExternalUrl : https://webmail.dominioA.it/OAB

    Get-WebServicesVirtualDirectory | fl internalurl,externalurl
    InternalUrl : https://webmail.dominioA.it/EWS/Exchange.asmx
    ExternalUrl : https://webmail.dominioA.it/EWS/Exchange.asmx

    SERVER1:

    Get-ExchangeCertificate -Server srvmail2
    Thumbprint                                Services   Subject
    ---------                                       --------     -------
    xxxxxxxxxxxxxxxxxxxxxxxxxx     IP.WS.     CN=webmail.dominioA.it, 
    xxxxxxxxxxxxxxxxxxxxxxxxxx      ......       CN=WMSvc-SRVMAIL1

    SERVER2:

    Get-ExchangeCertificate -Server srvmail2
    Thumbprint                                Services   Subject
    ---------                                       --------     -------
    xxxxxxxxxxxxxxxxxxxxxxxxxx     IP.WS.     CN=webmail.dominioA.it, 
    xxxxxxxxxxxxxxxxxxxxxxxxxx      ......       CN=WMSvc-WIN-GEMLS96HVLD (il nome non corrisponde al nome host del serve)

    Test-OutlookWebServices -identity:n.cognome@dominioB.it | ft * -AutoSize -Wrap

    PSComputerName Id TypeMessage
    srvmail2.dominio.local 1019 Information Trovato un valido punto di connession e al servizio di individuazione automatica. L'URL di individuazione automatica su questo oggetto è https://SRVMAIL2.dominio.local/Autodiscover/Autodiscover.xml.
    srvmail2.dominio.local 1004 Error Il certificato per l'URL srvmail2.dominio.local/Autodiscover/Autodiscover.xml non è corretto. Affinché SSL funzioni, l'oggetto del certificato deve essere srvmail2.dominio.local, ma l'oggetto trovato è webmail.dominio.it. Si consiglia di correggere l'individuazione del servizio o di installare un certificato SSL corretto.
    srvmail2.dominio.local 1006 Information L'individuazione automatica si connetterà all'URL srvmail2.dominio.local/Autodiscover/Autodiscover.xml.
    srvmail2.dominio.local Information [EXCH] Il servizio AS è configurato per questo utente nella risposta di individuazione automatica ricevuta da srvmail2.dominio.local/Autodiscover/Autodiscover.xml.
    srvmail2.dominio.local Information [EXCH] Il servizio OAB è configurato per questo utente nella risposta di individuazione automatica ricevuta dasrvmail2.dominio.local/Autodiscover/Autodiscover.xml.
    srvmail2.dominio.local 1014 Information [EXCH] Il servizio UM è configurato per questo utente nella risposta di individuazione automatica ricevuta da https://SRVMAIL2.dominio.local/Autodiscover/Autodiscover.xml.
    srvmail2.dominio.local 1016 Information [EXPR] Il servizio AS è configurato per questo utente nella risposta di individuazione automatica ricevuta da https://SRVMAIL2.dominio.local/Autodiscover/Autodiscover.xml.
    srvmail2.dominio.local Information [EXPR] Il servizio OAB è configurato per questo utente nella risposta di individuazione automatica ricevuta da srvmail2.dominio.local/Autodiscover/Autodiscover.xml.
    srvmail2.dominio.local Information [EXPR] Il servizio UM è configurato per questo utente nella risposta di individuazione automatica ricevuta da https://SRVMAIL2.dominio.local/Autodiscover/Autodiscover.xml.
    srvmail2.dominio.local 1022 Success Il servizio di individuazione automatica ha superato il test.
    srvmail2.dominio.local 1024 Success [EXCH] Il servizio AS all'indirizzo https://webmail.dominio.it/EWS/Exchange.asmx è stato contattato correttamente. Tempo trascorso: 921 millisecondi.
    srvmail2.dominio.local Success [EXCH] Il servizio UM all'indirizzo https://webmail.dominio.it/EWS/Exchange.asmx è stato contattato correttamente. Tempo trascorso: 703 millisecondi.
    srvmail2.dominio.local Error Il certificato per l'URL https://srvmail2/ews/exchange.asmx non è corretto. Affinché SSL funzioni, l'oggetto del certificato deve essere srvmail2, ma l'oggetto trovato è webmail.dominio.it. Si consiglia di correggere l'individuazione del servizio o di installare un certificato SSL corretto.
    srvmail2.dominio.local 1124 Success [Server] Il servizio AS all'indirizzo https://srvmail2/ews/exchange.asmx è stato contattato correttamente. Tempo trascorso: 124 millisecondi.
    srvmail2.dominio.local 1126 Success [Server] Il servizio UM all'indirizzo https://srvmail2/ews/exchange.asmx è stato contattato correttamente. Temp o trascorso: 218 millisecondi.

    Per risolvere il mio problema basta solo lanciare questo comando:

    Get-AutodiscoverVirtualDirectory -server SRVMAIL1 | Set-AutodiscoverVirtualDirectory -ExternalUrl ‘https://webmail.dominio.it/Autodiscover/Autodiscover.xml’ -InternalUrl ‘https://webmail.dominio.it/Autodiscover/Autodiscover.xml’ 

    Get-AutodiscoverVirtualDirectory -server SRVMAIL2 | Set-AutodiscoverVirtualDirectory -ExternalUrl ‘https://webmail.dominio.it/Autodiscover/Autodiscover.xml’ -InternalUrl ‘https://webmail.dominio.it/Autodiscover/Autodiscover.xml’ 

    Grazie per il supporto.

    Marco

    venerdì 3 marzo 2017 12:56

Risposte

  • Ciao, il discorso del certificato che non corrisponde al nome del sito l'abbiamo oramai trattato forse un centinaio di volte. Se ti vai a leggerei vari thread che hai trovato, trovi la soluzione. Sostanzialmente i nomi delle virtual directory interne ed esterne devono corrispondere al nome presente nel certificato ssl del server exchange. Dipende anche da che certificato usi, selfsigned, con CA interna o terze parti. Il terze parti ti evita parecchie rogne se non conosci la piattaforma, ma siccome ad oggi i terze parti non permettono nomi .local dovrai cambiare i nomi delle virtual dir internal ed external tutte con lo stesso nome FQDN esterno altrimenti otterrai l'errore di nome non corrispondente al nome del sito. Detto questo però se non sei esperto ti sconsiglio di andare a modificare roba senza sapere come funziona realmente un server Exchange nella sua totalità perchè poi non torni più indietro. 

    Fino ad oggi, curiosità mia quel 2010 come ha fatto a non dare mai errore di certificato? chi si occupava dei rinnovi degli ssl alla scandenza? perchè un 2010 è un po che gira ed è impossibile non sia mai stato rinnovato..

    ciao.

    A.

    venerdì 3 marzo 2017 14:47
    Moderatore
  • E' impostato in modo non corretto il SCP (service connection point) a cui punta autodiscover.

    Per verificarlo puoi usare il seguente comando:

    Get-ClientAccessServer | FL AutoDiscoverServiceInternalUri

    Dal tuo test si vede che la URL punta all'FQDN del server e non al namespace giusto

    Per correggere:

    Get-ClientAccessServer | Set-ClientAccessServer -AutoDiscoverServiceInternalUri https://webmail.dominioA.it/Autodiscover/Autodiscover.xml

    Roberto


    Roberto Ferazzi
    Microsoft® MVP Office Server & Services (Exchange Server)
    Moderator in the Microsoft TechNet Italy Forums
    My MVP Profile

    MSExchange.Community

    venerdì 3 marzo 2017 17:39
    Moderatore

Tutte le risposte

  • Ciao, il discorso del certificato che non corrisponde al nome del sito l'abbiamo oramai trattato forse un centinaio di volte. Se ti vai a leggerei vari thread che hai trovato, trovi la soluzione. Sostanzialmente i nomi delle virtual directory interne ed esterne devono corrispondere al nome presente nel certificato ssl del server exchange. Dipende anche da che certificato usi, selfsigned, con CA interna o terze parti. Il terze parti ti evita parecchie rogne se non conosci la piattaforma, ma siccome ad oggi i terze parti non permettono nomi .local dovrai cambiare i nomi delle virtual dir internal ed external tutte con lo stesso nome FQDN esterno altrimenti otterrai l'errore di nome non corrispondente al nome del sito. Detto questo però se non sei esperto ti sconsiglio di andare a modificare roba senza sapere come funziona realmente un server Exchange nella sua totalità perchè poi non torni più indietro. 

    Fino ad oggi, curiosità mia quel 2010 come ha fatto a non dare mai errore di certificato? chi si occupava dei rinnovi degli ssl alla scandenza? perchè un 2010 è un po che gira ed è impossibile non sia mai stato rinnovato..

    ciao.

    A.

    venerdì 3 marzo 2017 14:47
    Moderatore
  • E' impostato in modo non corretto il SCP (service connection point) a cui punta autodiscover.

    Per verificarlo puoi usare il seguente comando:

    Get-ClientAccessServer | FL AutoDiscoverServiceInternalUri

    Dal tuo test si vede che la URL punta all'FQDN del server e non al namespace giusto

    Per correggere:

    Get-ClientAccessServer | Set-ClientAccessServer -AutoDiscoverServiceInternalUri https://webmail.dominioA.it/Autodiscover/Autodiscover.xml

    Roberto


    Roberto Ferazzi
    Microsoft® MVP Office Server & Services (Exchange Server)
    Moderator in the Microsoft TechNet Italy Forums
    My MVP Profile

    MSExchange.Community

    venerdì 3 marzo 2017 17:39
    Moderatore
  • Ciao,

    ho provato a lanciare il comando che mi hai segnalato:

     Get-ClientAccessServer | Set-ClientAccessServer -AutoDiscoverServiceInternalUri https://webmail.dominioA.it/Autodiscover/Autodiscover.xml

    Ma continuo a ricevere sempre lo stesso errore su outlook.

    Grazie mille per il supporto.

    MF

    venerdì 24 marzo 2017 08:43