Principale utente con più risposte
Exchange 2010 - erorre certificato per nome server errato

Domanda
-
Ciao a tutti, sono in questa situazione:
exchange 2010 Sp1 installato su 4 server distitni
1° Mailbox
2° HubTransport
3° ClientAccess
4° Edge (in dmz)
tutti i server sono installati su windows 2008 R2 e fanno solo quello.
il dominio è su un'altra macchina ed è un windows 2008 R2 nativo.i client mi danno errore di certificato :
- il certificato di sicurezza è stato emesso da un'autorità di certificazione attendibile
- la data è valida
X il nome non corrisponde al nome del sitpe infatti il nome a cui il client sta puntando è mail.miodomino.it
il sito corretto dovrebbe essere webmail.miodominio.itdove devo modificare questa impostazione??
tutte le voci disponibili nella GUI di exhange le ho controllate e ho inserito l'url corretto...---------------------------------------------
ps: i certificati sono emessi tramite una mia ca quindi in teoria potrei rinnovare il certificato e aggiungere il nome "mail..." ma se è possibile vorrei evitare di lasciare configurazioni "sporche"... e sopratutto nascoste!
----------------------------------------------
[PS] C:\Windows\system32>Get-AutodiscoverVirtualDirectory |fl
RunsmydominoId : 19764214-90ec-45c2-82b4-a18c2880faf5
Name : Autodiscover (Default Web Site)
InternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated}
ExternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated}
LiveIdSpNegoAuthentication : False
WSSecurityAuthentication : False
LiveIdBasicAuthentication : False
BasicAuthentication : True
DigestAuthentication : False
WindowsAuthentication : True
MetabasePath : IIS://EXCHANGE-CLIENT.mydomino.local/W3SVC/1/ROOT/Autodiscover
Path : I:\Exchange client access\ClientAccess\Autodiscover
ExtendedProtectionTokenChecking : None
ExtendedProtectionFlags : {}
ExtendedProtectionSPNList : {}
Server : EXCHANGE-CLIENT
InternalUrl : https://exchange-client.mydomino.local/
ExternalUrl : https://webmail.mydomino.it/
AdminDisplayName :
ExchangeVersion : 0.10 (14.0.100.0)
DistinguishedName : CN=Autodiscover (Default Web Site),CN=HTTP,CN=Protocols,CN=EXCHANGE-CLIENT,CN=Servers
,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=Grupp
o mydomino Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=mydomino
,DC=local
Identity : EXCHANGE-CLIENT\Autodiscover (Default Web Site)
Guid : 39f110f4-dd8e-461a-91a3-255ed2b49e38
ObjectCategory : mydomino.local/Configuration/Schema/ms-Exch-Auto-Discover-Virtual-Directory
ObjectClass : {top, msExchVirtualDirectory, msExchAutoDiscoverVirtualDirectory}
WhenChanged : 12/01/2011 12:49:48
WhenCreated : 12/01/2011 12:33:12
WhenChangedUTC : 12/01/2011 11:49:48
WhenCreatedUTC : 12/01/2011 11:33:12
OrganizationId :
OriginatingServer : FILE-SERVER.mydomino.local
IsValid : True- Tipo modificato Anca Popa giovedì 27 gennaio 2011 08:24 attesa di feedback/ ricerca di soluzione
- Tipo modificato Dario Bonini martedì 1 febbraio 2011 15:11 risolto
Risposte
-
dopo tante ricerche il problema stava qui:
Get-WebServicesVirtualDirectory | Set-WebServicesVirtualDirectory -ExternalUrl (indirizzo corretto)
questa non si puo settare da console ( grazie sviluppatori micorsoft :) )
di conseguenza ho modificato tutte le impostazioni tranne questa :)ciao.
- Contrassegnato come risposta Dario Bonini martedì 1 febbraio 2011 15:15
Tutte le risposte
-
Ma l'errore certificato lo hai quando apri outlook? Il nome internal del server cas sta nel certificato? controllato le url in get-clientaccessserver?
Peppacci - MVP - Microsoft Exchange Server Microsoft MCTS - MCITP http://blogs.sysadmin.it/peppacci/Default.aspx -
Credo si riferisca ad OWA, in quanto "webmail.miodominio.it" è l'"external URL" per il ruolo accesso client.
Credo che la soluzione sia rigenerare il certificato per il sito web includendo anche "webmail.miodominio.it" come common name oppure "Subject Alternative Names".Per rigenerare il certificato c'è la guida di Andrea Beggi per Exchange 2007 ma non sò se la procedura per Exchange 2010 è identica. Probabilmente non è necessario applicare la parte riportata nella sezione "Aggiornamento" della guida in quanto il ruolo trasporto hub è su un altra macchina. Corretto??
[EDIT:]
No, mi sà che avevo capito male...
Se questa volta ho capito bene è l'autodiscovery che gli fà puntare il client a "mail.miodomino.it" mentre lui vorrebbe farlo puntare a "webmail.miodomino.it"
E' possibile che sia il nome host associato al record mx nel DNS del dominio che punta a "mail.miodomino.it"??
-
Ma l'errore certificato lo hai quando apri outlook? Il nome internal del server cas sta nel certificato? controllato le url in get-clientaccessserver?
Peppacci - MVP - Microsoft Exchange Server Microsoft MCTS - MCITP http://blogs.sysadmin.it/peppacci/Default.aspx
1) si il messaggio di errore lo da solo quando apri outlook
2) il nome ESTERNO del cas NON è nel certificato e non ci deve essere ( la mia richiesta è propio questa!!!)
l'errore è relativo a "mail.miodominio.it" invece dove puntare a "webmail.miodominio.it"
2.1) il nome INTERNO DEL CAS è CORRETTO ED INSERITO nel certificato3) ecco l'output del comando.
[PS] C:\Windows\system32>get-clientaccessserver |fl
RunsmydominioId : 19764214-90ec-45c2-82b4-a18c2880faf5
Name : EXCHANGE-CLIENT
Fqdn : EXCHANGE-CLIENT.mydominio.local
OutlookAnywhereEnabled : True
AutoDiscoverServiceCN : Exchange-Client
AutoDiscoverServiceClassName : ms-Exchange-AutoDiscover-Service
AutoDiscoverServiceInternalUri : https://exchange-client.mydominio.local/Autodiscover/Autodiscover.xml
AutoDiscoverServiceGuid : 77378f46-2c66-4aa9-a6a6-3e7a48b19596
AutoDiscoverSiteScope : {Default Web Site}
AlternateServiceAccountConfiguration :
IrmLogEnabled : True
IrmLogMaxAge : 30.00:00:00
IrmLogMaxDirectorySize : 250 MB (262,144,000 bytes)
IrmLogMaxFileSize : 10 MB (10,485,760 bytes)
IrmLogPath : I:\Exchange client access\Logging\IRMLogs
MigrationLogLoggingLevel : Information
MigrationLogFilePath :
MigrationLogMaxAge : 180.00:00:00
MigrationLogMaxDirectorySize : 10 GB (10,737,418,240 bytes)
MigrationLogMaxFileSize : 100 MB (104,857,600 bytes)
IsValid : True
ExchangeVersion : 0.1 (8.0.535.0)
DistinguishedName : CN=EXCHANGE-CLIENT,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT)
,CN=Administrative Groups,CN=Gruppo mydominio Organization,CN=Microsoft Exchange,CN=S
ervices,CN=Configuration,DC=mydominio,DC=local
Identity : EXCHANGE-CLIENT
Guid : 2a695d94-605a-4cab-96c5-dfe842350c39
ObjectCategory : mydominio.local/Configuration/Schema/ms-Exch-Exchange-Server
ObjectClass : {top, server, msExchExchangeServer}
WhenChanged : 02/12/2010 11:37:42
WhenCreated : 01/03/2010 12:19:37
WhenChangedUTC : 02/12/2010 10:37:42
WhenCreatedUTC : 01/03/2010 11:19:37
OrganizationId :
OriginatingServer : FILE-SERVER.mydominio.local -
[EDIT:]
No, mi sà che avevo capito male...
Se questa volta ho capito bene è l'autodiscovery che gli fà puntare il client a "mail.miodomino.it" mentre lui vorrebbe farlo puntare a "webmail.miodomino.it"
E' possibile che sia il nome host associato al record mx nel DNS del dominio che punta a "mail.miodomino.it"??
si esetto fa riferimento ad outlook usato internamente.
se il problema è nell'autodiscover come si modifica?nel dns ho dovuto inserire sia "mail...." che "webmail...." come nome host.
i record MX NON sono configurati. -
Dubito che il record MX c'entri qualcosa con l'autodiscovery, anzi sicuramente non c'entra nulla. Stavo solo facendo delle ipotesi ma non conosco ancora abbastanza Exchange perchè il suggerimento potesse essere sensato... Stavo solo ipotizzando che il servizio di rilevazione automatica fornisse un nome host sbagliato (mail.miodominio.com sa tanto di impostazione di default) usando una entry simile a quello che può essere il record MX per un DNS...
Il nome host dovrebbe essere fornito dal servizio autodiscovery, questo dovrebbe essere il comando powershell per impostare l'URL corretto ma per favore aspetta che te lo dica Peppacci.
Set-ActiveSyncVirtualDirectory -Identity "COMPUTERNAME\Microsoft-Server-ActiveSync (Default Web Site)" -ExternalURL "https://servername.com/"
da: http://technet.microsoft.com/en-us/library/cc539114.aspx
E immagino che "servername.com" sia l'FQDN del CAS. Siccome tu vuoi utilizzare quello che è attualmente "internal url" del server anche per questo servizio immagino che tu debba usare https://exchange-client.mydomino.local al posto di "servername.com" ma mi sembra (almeno formalmente) scorretto... La soluzione più pulita credo sia proprio aggiungere il nome interno sul certificato anche di https://webmail.mydomino.it/
A meno che non sia possibile creare due siti diversi, uno solo interno ed uno solo esterno, che puntano alla stessa virtual directory. Ma non mi convince molto...
[EDIT:]
A quanto pare la possibilità di creare il doppio sito non era così assurda: http://msexchangeteam.com/archive/2007/04/30/438249.aspx E' il metodo 1, alternativo al certificato con nomi multipli.
Però poi ci potrebbero essere da aggiornare anche i riferimenti autodiscovery anche per gli altri servizi Exchange. http://technet.microsoft.com/en-us/library/bb201695%28EXCHG.80%29.aspx
-
Ciao,
Innanzitutto vorrei ringraziare Matteo della partecipazione nel forum di Exchange, il suo aiuto è veramente gradito.
In attesa di ulteriori feedback per i suggerimenti ricevuti, ho modificato questo thread in "Commento".
Se il problema è stato risolto nel frattempo, vorrei chiederti di condividere la soluzione sul forum, in modo che la risposta possa essere trovata e utilizzata dagli altri membri della community chi hanno domande simili.
Grazie,
Exchange 2007/2010: problemi con le cartelle pubbliche: “The Active Directory user wasn’t found”
Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie Microsoft. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte di Microsoft.
-
dopo tante ricerche il problema stava qui:
Get-WebServicesVirtualDirectory | Set-WebServicesVirtualDirectory -ExternalUrl (indirizzo corretto)
questa non si puo settare da console ( grazie sviluppatori micorsoft :) )
di conseguenza ho modificato tutte le impostazioni tranne questa :)ciao.
- Contrassegnato come risposta Dario Bonini martedì 1 febbraio 2011 15:15
-
Ti ringrazio di aver riferito la soluzione, aiuterà gli altri nel risolvere la stessa situazione.
Exchange 2007/2010: problemi con le cartelle pubbliche: “The Active Directory user wasn’t found”
Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie Microsoft. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte di Microsoft.