none
Exchange 2010 - erorre certificato per nome server errato RRS feed

  • Domanda

  • Ciao a tutti, sono in questa situazione:
    exchange 2010 Sp1 installato su 4 server distitni
    1° Mailbox
    2° HubTransport
    3° ClientAccess
    4° Edge (in dmz)
    tutti i server sono installati su windows 2008 R2 e fanno solo quello.
    il dominio è su un'altra macchina ed è un windows 2008 R2 nativo.

    i client mi danno errore di certificato :
    -  il certificato di sicurezza è stato emesso da un'autorità di certificazione attendibile
    - la data è valida
    X il nome non corrisponde al nome del sitp

    e infatti il nome a cui il client sta puntando è mail.miodomino.it
    il sito corretto dovrebbe essere webmail.miodominio.it

    dove devo modificare questa impostazione??
    tutte le voci disponibili nella GUI di exhange le ho controllate e ho inserito l'url corretto...

     ---------------------------------------------

    ps: i certificati sono emessi tramite una mia ca quindi in teoria potrei rinnovare il certificato e aggiungere il nome "mail..." ma se è possibile vorrei evitare di lasciare configurazioni "sporche"... e sopratutto nascoste!

    ----------------------------------------------

    [PS] C:\Windows\system32>Get-AutodiscoverVirtualDirectory |fl


    RunsmydominoId                      : 19764214-90ec-45c2-82b4-a18c2880faf5
    Name                            : Autodiscover (Default Web Site)
    InternalAuthenticationMethods   : {Basic, Ntlm, WindowsIntegrated}
    ExternalAuthenticationMethods   : {Basic, Ntlm, WindowsIntegrated}
    LiveIdSpNegoAuthentication      : False
    WSSecurityAuthentication        : False
    LiveIdBasicAuthentication       : False
    BasicAuthentication             : True
    DigestAuthentication            : False
    WindowsAuthentication           : True
    MetabasePath                    : IIS://EXCHANGE-CLIENT.mydomino.local/W3SVC/1/ROOT/Autodiscover
    Path                            : I:\Exchange client access\ClientAccess\Autodiscover
    ExtendedProtectionTokenChecking : None
    ExtendedProtectionFlags         : {}
    ExtendedProtectionSPNList       : {}
    Server                          : EXCHANGE-CLIENT
    InternalUrl                     : https://exchange-client.mydomino.local/
    ExternalUrl                     : https://webmail.mydomino.it/
    AdminDisplayName                :
    ExchangeVersion                 : 0.10 (14.0.100.0)
    DistinguishedName               : CN=Autodiscover (Default Web Site),CN=HTTP,CN=Protocols,CN=EXCHANGE-CLIENT,CN=Servers
                                      ,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=Grupp
                                      o mydomino Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=mydomino
                                      ,DC=local
    Identity                        : EXCHANGE-CLIENT\Autodiscover (Default Web Site)
    Guid                            : 39f110f4-dd8e-461a-91a3-255ed2b49e38
    ObjectCategory                  : mydomino.local/Configuration/Schema/ms-Exch-Auto-Discover-Virtual-Directory
    ObjectClass                     : {top, msExchVirtualDirectory, msExchAutoDiscoverVirtualDirectory}
    WhenChanged                     : 12/01/2011 12:49:48
    WhenCreated                     : 12/01/2011 12:33:12
    WhenChangedUTC                  : 12/01/2011 11:49:48
    WhenCreatedUTC                  : 12/01/2011 11:33:12
    OrganizationId                  :
    OriginatingServer               : FILE-SERVER.mydomino.local
    IsValid                         : True

    • Tipo modificato Anca Popa giovedì 27 gennaio 2011 08:24 attesa di feedback/ ricerca di soluzione
    • Tipo modificato Dario Bonini martedì 1 febbraio 2011 15:11 risolto
    venerdì 14 gennaio 2011 08:07

Risposte

  • dopo tante ricerche il problema stava qui:

    Get-WebServicesVirtualDirectory | Set-WebServicesVirtualDirectory -ExternalUrl  (indirizzo corretto)

     

    questa non si puo settare da console ( grazie sviluppatori micorsoft :) )
    di conseguenza ho modificato tutte le impostazioni tranne questa :)

     

    ciao.

     

    • Contrassegnato come risposta Dario Bonini martedì 1 febbraio 2011 15:15
    martedì 1 febbraio 2011 15:15

Tutte le risposte

  • Ma l'errore certificato lo hai quando apri outlook? Il nome internal del server cas sta nel certificato? controllato le url in get-clientaccessserver?
    Peppacci - MVP - Microsoft Exchange Server Microsoft MCTS - MCITP http://blogs.sysadmin.it/peppacci/Default.aspx
    venerdì 14 gennaio 2011 13:32
    Moderatore
  • Credo si riferisca ad OWA, in quanto "webmail.miodominio.it" è l'"external URL" per il ruolo accesso client.

    Credo che la soluzione sia rigenerare il certificato per il sito web includendo anche "webmail.miodominio.it" come common name oppure "Subject Alternative Names".

    Per rigenerare il certificato c'è la guida di Andrea Beggi  per Exchange 2007 ma non sò se la procedura per Exchange 2010 è identica. Probabilmente non è necessario applicare la parte riportata nella sezione "Aggiornamento" della guida in quanto il ruolo trasporto hub è su un altra macchina. Corretto??

     

    [EDIT:]

    No, mi sà che avevo capito male...

    Se questa volta ho capito bene è l'autodiscovery che gli fà puntare il client a "mail.miodomino.it" mentre lui vorrebbe farlo puntare a "webmail.miodomino.it"

    E' possibile che sia il nome host associato al record mx nel DNS del dominio che punta a "mail.miodomino.it"??

    sabato 15 gennaio 2011 13:32
  • Ma l'errore certificato lo hai quando apri outlook? Il nome internal del server cas sta nel certificato? controllato le url in get-clientaccessserver?
    Peppacci - MVP - Microsoft Exchange Server Microsoft MCTS - MCITP http://blogs.sysadmin.it/peppacci/Default.aspx


    1) si il messaggio di errore lo da solo quando apri outlook
    2) il nome ESTERNO del cas  NON è nel certificato e non ci deve essere ( la mia richiesta è propio questa!!!)
       l'errore è relativo a "mail.miodominio.it" invece dove puntare a "webmail.miodominio.it"
    2.1) il nome INTERNO DEL CAS è CORRETTO ED INSERITO nel certificato

    3) ecco l'output del comando.
    [PS] C:\Windows\system32>get-clientaccessserver |fl


    RunsmydominioId                           : 19764214-90ec-45c2-82b4-a18c2880faf5
    Name                                 : EXCHANGE-CLIENT
    Fqdn                                 : EXCHANGE-CLIENT.mydominio.local
    OutlookAnywhereEnabled               : True
    AutoDiscoverServiceCN                : Exchange-Client
    AutoDiscoverServiceClassName         : ms-Exchange-AutoDiscover-Service
    AutoDiscoverServiceInternalUri       : https://exchange-client.mydominio.local/Autodiscover/Autodiscover.xml
    AutoDiscoverServiceGuid              : 77378f46-2c66-4aa9-a6a6-3e7a48b19596
    AutoDiscoverSiteScope                : {Default Web Site}
    AlternateServiceAccountConfiguration :
    IrmLogEnabled                        : True
    IrmLogMaxAge                         : 30.00:00:00
    IrmLogMaxDirectorySize               : 250 MB (262,144,000 bytes)
    IrmLogMaxFileSize                    : 10 MB (10,485,760 bytes)
    IrmLogPath                           : I:\Exchange client access\Logging\IRMLogs
    MigrationLogLoggingLevel             : Information
    MigrationLogFilePath                 :
    MigrationLogMaxAge                   : 180.00:00:00
    MigrationLogMaxDirectorySize         : 10 GB (10,737,418,240 bytes)
    MigrationLogMaxFileSize              : 100 MB (104,857,600 bytes)
    IsValid                              : True
    ExchangeVersion                      : 0.1 (8.0.535.0)
    DistinguishedName                    : CN=EXCHANGE-CLIENT,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT)
                                           ,CN=Administrative Groups,CN=Gruppo mydominio Organization,CN=Microsoft Exchange,CN=S
                                           ervices,CN=Configuration,DC=mydominio,DC=local
    Identity                             : EXCHANGE-CLIENT
    Guid                                 : 2a695d94-605a-4cab-96c5-dfe842350c39
    ObjectCategory                       : mydominio.local/Configuration/Schema/ms-Exch-Exchange-Server
    ObjectClass                          : {top, server, msExchExchangeServer}
    WhenChanged                          : 02/12/2010 11:37:42
    WhenCreated                          : 01/03/2010 12:19:37
    WhenChangedUTC                       : 02/12/2010 10:37:42
    WhenCreatedUTC                       : 01/03/2010 11:19:37
    OrganizationId                       :
    OriginatingServer                    : FILE-SERVER.mydominio.local

    lunedì 17 gennaio 2011 07:59
  • [EDIT:]

    No, mi sà che avevo capito male...

    Se questa volta ho capito bene è l'autodiscovery che gli fà puntare il client a "mail.miodomino.it" mentre lui vorrebbe farlo puntare a "webmail.miodomino.it"

    E' possibile che sia il nome host associato al record mx nel DNS del dominio che punta a "mail.miodomino.it"??


    si esetto fa riferimento ad outlook usato internamente.
    se il problema è nell'autodiscover come si modifica?

    nel dns ho dovuto inserire sia "mail...." che "webmail...."  come nome host.
    i record MX NON sono configurati.

     

    lunedì 17 gennaio 2011 08:03
  • Dubito che il record MX c'entri qualcosa con l'autodiscovery, anzi sicuramente non c'entra nulla. Stavo solo facendo delle ipotesi ma non conosco ancora abbastanza Exchange perchè il suggerimento potesse essere sensato... Stavo solo ipotizzando che il servizio di rilevazione automatica fornisse un nome host sbagliato (mail.miodominio.com sa tanto di impostazione di default) usando una entry simile a quello che può essere il record MX per un DNS...

     

     Il nome host dovrebbe essere fornito dal servizio autodiscovery, questo dovrebbe essere il comando powershell per impostare l'URL corretto ma per favore aspetta che te lo dica Peppacci.

    Set-ActiveSyncVirtualDirectory -Identity "COMPUTERNAME\Microsoft-Server-ActiveSync (Default Web Site)" -ExternalURL "https://servername.com/"

    da: http://technet.microsoft.com/en-us/library/cc539114.aspx

     E immagino che "servername.com" sia l'FQDN del CAS. Siccome tu vuoi utilizzare quello che è attualmente "internal url" del server anche per questo servizio immagino che tu debba usare  https://exchange-client.mydomino.local al posto di "servername.com" ma mi sembra (almeno formalmente) scorretto... La soluzione più pulita credo sia proprio aggiungere il nome interno sul certificato anche di https://webmail.mydomino.it/

    A meno che non sia possibile creare due siti diversi, uno solo interno ed uno solo esterno, che puntano alla stessa virtual directory. Ma non mi convince molto...

    [EDIT:]

     A quanto pare la possibilità di creare il doppio sito non era così assurda: http://msexchangeteam.com/archive/2007/04/30/438249.aspx E' il metodo 1, alternativo al certificato con nomi multipli.

    Però poi ci potrebbero essere da aggiornare anche i riferimenti autodiscovery anche per gli altri servizi Exchange. http://technet.microsoft.com/en-us/library/bb201695%28EXCHG.80%29.aspx

     

     

     

    lunedì 17 gennaio 2011 19:58
  • Ciao, 

     

    Innanzitutto vorrei ringraziare Matteo della partecipazione nel forum di Exchange, il suo aiuto è veramente gradito.

    In attesa di ulteriori feedback per i suggerimenti ricevuti, ho modificato questo thread in "Commento".
     
    Se il problema è stato risolto nel frattempo, vorrei chiederti di condividere la soluzione sul forum, in modo che la risposta possa essere trovata e utilizzata dagli altri membri della community chi hanno domande simili. 
     
    Grazie,


    Anca Popa Follow ForumTechNetIt on Twitter

    Exchange 2007/2010: problemi con le cartelle pubbliche: “The Active Directory user wasn’t found” 

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie Microsoft. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte di Microsoft. 

    giovedì 27 gennaio 2011 08:16
  • dopo tante ricerche il problema stava qui:

    Get-WebServicesVirtualDirectory | Set-WebServicesVirtualDirectory -ExternalUrl  (indirizzo corretto)

     

    questa non si puo settare da console ( grazie sviluppatori micorsoft :) )
    di conseguenza ho modificato tutte le impostazioni tranne questa :)

     

    ciao.

     

    • Contrassegnato come risposta Dario Bonini martedì 1 febbraio 2011 15:15
    martedì 1 febbraio 2011 15:15
  • Ti ringrazio di aver riferito la soluzione, aiuterà gli altri nel risolvere la stessa situazione.


    Anca Popa Follow ForumTechNetIt on Twitter

    Exchange 2007/2010: problemi con le cartelle pubbliche: “The Active Directory user wasn’t found” 

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie Microsoft. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte di Microsoft. 

    mercoledì 2 febbraio 2011 09:58