none
Problema de certificado no RPC/HTTP RRS feed

  • Pergunta

  • Bom dia.

    Mais uma vez enchendo o saco e vcs já devem estar pensando quanto problema tem esse Exchange.

    Mas vamos lá. Quando vou fazer o teste de

    Outlook Anywhere (RPC sobre HTTP) no https://www.testexchangeconnectivity.com
    Ele me retorna esses erros abaixa refente ao certificado. queria saber se só vou resolver esse problema se comprar um certificado de uma empresa certificadora ex certsign?

    Testando a conectividade de RPC/HTTP.
      Falha no teste RPC/HTTP. 
     
     Testando Porta TCP 443 no host dominio.com.br para garantir que ela esteja escutando/aberta.
      A porta foi aberta com êxito.
     Testando o certificado SSL, para verificar se ele é válido.
      O Certificado SSL falhou em uma ou mais verificações de validação de certificado.
       Etapas do Teste
       Validando nome de certificado.
      Falha na validação do nome do certificado.
       Mais informações sobre este problema e como resolvê-lo
       Detalhes Adicionais
      Nome de host aisin.com.br não corresponde a nenhum nome localizado no certificado do servidor CN=mail.dominio.com.br, OU=TI, O=Empresa do Brasil, L=Barueri, S=São Paulo, C=BR.
     Tentando testar URL de Descoberta Automática em potencial https://autodiscover.empresa.com.br/AutoDiscover/AutoDiscover.xml
      Falha ao testar esta URL de Descoberta Automática em potencial.
       Etapas do Teste
       Tentando Resolver o nome de host autodiscover.empresa.com.br no DNS.
      Nome de host resolvido com êxito.
       Detalhes Adicionais
      Endereços IP retornados: 201.87.132.22 
     Testando Porta TCP 443 no host autodiscover.empresa.com.br para garantir que ela esteja escutando/aberta.
      A porta foi aberta com êxito.
     Testando o certificado SSL, para verificar se ele é válido.
      O Certificado SSL falhou em uma ou mais verificações de validação de certificado.
       Etapas do Teste
       Validando nome de certificado.
      Nome do certificado validado com êxito.
       Detalhes Adicionais
      O nome do host autodiscover.empresa.com.br foi localizado no Nome Alternativo do Assunto do Certificado.
     Validando confiança de certificado.
      Falha na validação da confiança do certificado.
       Detalhes Adicionais
      Não foi possível construir cadeia de certificados. Talvez faltem certificados intermediários obrigatórios.
      Tentando contatar o serviço Descoberta Automática usando o método de redirecionamento HTTP.
      Falha ao contatar a Descoberta Automática usando o método de Redirecionamento HTTP.
       Etapas do Teste
       Tentando Resolver o nome de host autodiscover.empresa.com.br no DNS.
      Nome de host resolvido com êxito.
       Detalhes Adicionais
      Endereços IP retornados: 201.87.132.22 
     Testando Porta TCP 80 no host autodiscover.empresa.com.br para garantir que ela esteja escutando/aberta.
      A porta foi aberta com êxito.
     O ExRCA está verificando o autodiscover.empresa.com.br host para um redirecionamento de HTTP para o serviço de Descoberta Automática.
      O ExRCA não pôde obter uma resposta de redirecionamento HTTP para a Descoberta Automática.
       Detalhes Adicionais
      Resposta HTTP 403 proibido recebida. A resposta parece ter vindo de Unknown. O corpo é: Você não tem permissão para exibir este diretório ou página.
     Tentando contatar o serviço Descoberta Automática usando o método de redirecionamento DNS SRV.
      O ExRCA não pôde contatar o serviço de Descoberta Automática usando o método de redirecionamento DNS SRV.
       Etapas do Teste

    quarta-feira, 24 de novembro de 2010 12:49

Respostas

  • Pessoal Certificado Gerado Self Sempre vai dar erro no testexchangeconnectivity 

    Testando o certificado SSL, para verificar se ele é válido.

     

    Sempre irá dar erro so quando vocês tiverem um Certificado self ! já o  pago em third Party que não dará erro 

     

    no campo Validando confiança de certificado sempre dará erro com o certificado Self mas  o resto tem que estar tudo verdinho 

     

    Vocês podem Criar uma req de certificado ou gerar direto pelo exchange

    New-ExchangeCertificate -FriendlyName "pd-hub01-rj.examplo" -DomainName Inclua o nome externo exemplo correio.suaempresa.com.br e os nomes internos com netbios e FQDN ou da o includefqdn  -PrivateKeyExportable $true -GenerateRequest-Path "c:\hub122010.req"

    Mais certificado Self tem que importar no cliente ou Criar um CA interna no ambiente de vocês  ai o cliente tem que importar o certificado do CA que ja é instalado automaticamente nas maquinas que estão no dominio 


    MCSA + M
    quarta-feira, 23 de março de 2011 21:34

Todas as Respostas

  • Caros, queria saber para resolver esse problema acima, vou ter que comprar um certificado digital ou estou fazendo algo errado?

    Obrigado.

    quarta-feira, 24 de novembro de 2010 15:57
  • Olá Cleber,  algumas questões ..

    Qual versão do Exchange está usando ?

    O Outlook Anywhere estava funcionando e parou ou é a primeira utilização ?

    Você gerou um certificado em um CA interna e associou com os serviços do CAS (Exh 2007) ? Está utilizando um certificado de multiplos subject names (Exh 2007) ?

    O certificado possui o mesmo nome da URL externa de acessso ao OWA ?

    A unica resposta que posso lhe adiantar é que o Outlook  Anywhere ou RPC/HTTP  funciona para acesso externo com certificados emitidos por uma CA Windows (Certificate Services instalado no DC). Não é obrigatório utilizar um certificado de CA publica como a que você mencionou.  A desvantagem neste caso é que os certificados devem ser instalados e adicionados ao Trusted Root Certification Authorities de todos os computadores que irão fazer o acesso.

     


    Wesley Ellwanger | Analista de infrastrutura MCP | 70-290,70-291 | Next goals 70-680, 70-236
    quarta-feira, 1 de dezembro de 2010 11:05
  • Bom dia Wesley desde já obrigado pela ajuda.

     

    Qual versão do Exchange está usando ?

    Exchange 2010 Standart SP1

    O Outlook Anywhere estava funcionando e parou ou é a primeira utilização ?

    Desde que instalei ele dá esse resultado no teste.

    Você gerou um certificado em um CA interna e associou com os serviços do CAS (Exh 2007) ? Está utilizando um certificado de multiplos subject names (Exh 2007) ?

    Sim, ele está associado com os serviços do CAS, sim não sei bem quais os padrões de nomes mas coloquei esses.

    Nome DNS=mail.dominio.com.br

    Nome DNS=autodiscover.dominio.com.br

    Nome DNS=pop.dominio.com.br

    Nome DNS=imap.dominio.com.br

    Nome DNS=dominio.com.br

    Nome DNS=legacy.dominio.com.br

    O certificado possui o mesmo nome da URL externa de acessso ao OWA ?

    Como pode ver acima está com o mesmo nome como nome comum.

    Está certo como fiz? E como fazer essa parte:

    os certificados devem ser instalados e adicionados ao Trusted Root Certification Authorities de todos os computadores que irão fazer o acesso.

    Obrigado.

    quarta-feira, 1 de dezembro de 2010 11:20
  • Bom dia Wesley desde já obrigado pela ajuda.

     

    Qual versão do Exchange está usando ?

    Exchange 2010 Standart SP1

    O Outlook Anywhere estava funcionando e parou ou é a primeira utilização ?

    Desde que instalei ele dá esse resultado no teste.

    Você gerou um certificado em um CA interna e associou com os serviços do CAS (Exh 2007) ? Está utilizando um certificado de multiplos subject names (Exh 2007) ?

    Sim, ele está associado com os serviços do CAS, sim não sei bem quais os padrões de nomes mas coloquei esses.

    Nome DNS=mail.dominio.com.br

    Nome DNS=autodiscover.dominio.com.br

    Nome DNS=pop.dominio.com.br

    Nome DNS=imap.dominio.com.br

    Nome DNS=dominio.com.br

    Nome DNS=legacy.dominio.com.br

    O certificado possui o mesmo nome da URL externa de acessso ao OWA ?

    Como pode ver acima está com o mesmo nome como nome comum.

    Está certo como fiz? E como fazer essa parte:

    os certificados devem ser instalados e adicionados ao Trusted Root Certification Authorities de todos os computadores que irão fazer o acesso.

    Obrigado.

          A mensagem de erro remete a erro de nome não encontrado no certificado.  Adicione ao Subject Alternative Name os nomes NETBIOS e FQDN do servidor de correio.    Exemplo.   servidor EXCH01 em contoso.com  adicione os nomes alternativos :

    Nome DNS=EXCH01

    Nome DNS=EXCH01.contoso.com.br

         Quanto a instalação do certificado conheço duas maneiras :

    1º -  Abrir o SNAP-IN "Certificates" em um novo console MMC,  Expandir a arvore Certificates e em Trusted Root Certification Authorities / Certificates dê um click com o botão propriedades (geralmente o direito do mouse), selecione a opção All Tasks > Import e siga o assistente.  Neste procedimento será necessário ter o arquivo do certificado *.CER em disco.

    2º - Acessando o OWA inicialmente irá surgir a famosa tela de Warning, após dar o continue na tela do formulário de login,  dê um click sobre a caixa "Certificate Error" ao lado da barra de endereços do IE.  Click sobre a opção View Certificates e depois no botão Install Certificate. O Wizard irá iniciar ,  NEXT (tela de Welcome), na tela "Certification Store" selecione "Place all certificates in the following Store", Click em BROWSE e selecione "Trusted Root Certification Authorities", OK, NEXT e FINISH.  Irá surgir um "Security Warning", aceite a instalação.  "The import was sucessful"

    Espero ter ajudado.


    Wesley Ellwanger | Analista de infrastrutura MCP | 70-290,70-291 | Next goals 70-680, 70-236
    quarta-feira, 1 de dezembro de 2010 16:16
  • Bom dia Pessoal.

    Estou com o mesmo problema relatado pelo colega Cleber.

    Quando executei o teste  https://www.testexchangeconnectivity.com ele reportou o seguinte erro:

    Testando a conectividade de RPC/HTTP.
     Falha no teste RPC/HTTP.
     Etapas do Teste
     Tentando Resolver o nome de host mail.dominio.com.br no DNS.
     Nome de host resolvido com êxito.
     Detalhes Adicionais
     Endereços IP retornados: 200.xxx.xxx.xxx

    Testando Porta TCP 443 no host mail.dominio.com.br para garantir que ela esteja escutando/aberta.
     A porta foi aberta com êxito.
    Testando o certificado SSL, para verificar se ele é válido.
     O Certificado SSL falhou em uma ou mais verificações de validação de certificado.
      Mais informações sobre este problema e como resolvê-lo
     Detalhes Adicionais
     Erro de rede na comunicação com o host remoto.
    Detalhes da Exceção:
    Mensagem: Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host.
    Tipo: System.IO.IOException
    Rastreamento de Pilha:
    at System.Net.Sockets.NetworkStream.Read(Byte[] buffer, Int32 offset, Int32 size)
    at System.Net.FixedSizeReader.ReadPacket(Byte[] buffer, Int32 offset, Int32 count)
    at System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult)
    at System.Net.Security.SslStream.AuthenticateAsClient(String targetHost)
    at Microsoft.Exchange.Tools.ExRca.Tests.SSLCertificateTest.PerformTestReally()
    Detalhes da Exceção:
    Mensagem: Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host.
    Tipo: System.IO.IOException
    Rastreamento de Pilha:
    at System.Net.Sockets.NetworkStream.Read(Byte[] buffer, Int32 offset, Int32 size)
    at System.Net.FixedSizeReader.ReadPacket(Byte[] buffer, Int32 offset, Int32 count)
    at System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult)
    at System.Net.Security.SslStream.AuthenticateAsClient(String targetHost)
    at Microsoft.Exchange.Tools.ExRca.Tests.SSLCertificateTest.PerformTestReally()

    Meu servidor é um Exchange 2010.

    Se alguém ja passou por isso e sabe a resposta, favor compartilhar.

    Obrigado.


    Microsoft Certified Professional
    quarta-feira, 23 de março de 2011 11:32
  • Pessoal.

    No post anterior o meu certificado emitido pela CA do AD estava com o seguinte nome:

    emissor: CN=dominio-mailserver-CA, DC=dominio, DC=local

    assunto: CN=mailserver.dominio.local

    Removi o serviço de CA do AD, reiniciei o servidor e instalei novamente.

    Criei um novo certificado com o seguinte nome:

    emissor: CN=mailserver.dominio.com.br

    assunto: CN=mailserver.dominio.com.br

    Atribui os serviços do Exchange ao novo certificado.

    Ao fazer o teste de conexão do RPC/HTTP usando teste https://www.testexchangeconnectivity.com, ocorre o mesmo erro citado anteriormente.

    Alguém pode ajudar?


    Microsoft Certified Professional
    quarta-feira, 23 de março de 2011 16:56
  • Pessoal Certificado Gerado Self Sempre vai dar erro no testexchangeconnectivity 

    Testando o certificado SSL, para verificar se ele é válido.

     

    Sempre irá dar erro so quando vocês tiverem um Certificado self ! já o  pago em third Party que não dará erro 

     

    no campo Validando confiança de certificado sempre dará erro com o certificado Self mas  o resto tem que estar tudo verdinho 

     

    Vocês podem Criar uma req de certificado ou gerar direto pelo exchange

    New-ExchangeCertificate -FriendlyName "pd-hub01-rj.examplo" -DomainName Inclua o nome externo exemplo correio.suaempresa.com.br e os nomes internos com netbios e FQDN ou da o includefqdn  -PrivateKeyExportable $true -GenerateRequest-Path "c:\hub122010.req"

    Mais certificado Self tem que importar no cliente ou Criar um CA interna no ambiente de vocês  ai o cliente tem que importar o certificado do CA que ja é instalado automaticamente nas maquinas que estão no dominio 


    MCSA + M
    quarta-feira, 23 de março de 2011 21:34