none
Новый сертификат в Exchange 2010 RRS feed

  • Вопрос

  • Добрый день! Есть Роль хаб транспорт на сервере АД и роль еджа на сервере ТМГ все прекрасно работало до того момента как я попытался на транспорте сделать новый сертификат командой New-ExchangeCertificate вот с таким параметром [-Thumbprint ] Сейчас ничего не работает подскажите как зарегистрировать и применить к моей инфраструктуре новый сертификат? Не работает отправка и получения почты!
    14 апреля 2011 г. 3:04

Ответы

Все ответы

  • Вот тут почитайте.


    http://alexxhost.ru
    • Помечено в качестве ответа KoreanKz 20 апреля 2011 г. 4:51
    14 апреля 2011 г. 5:02
  • Alex Ваш сайт не работает...
    14 апреля 2011 г. 5:12
  • Ситуация обновилась удалось полукриво поставить новый сертификат через эксчендже менеджера теперь вся входящая почта

    This message was created automatically by mail delivery software.

    A message that you sent could not be delivered to one or more of its
    recipients. This is a permanent error. The following address(es) failed:

      a.dyu@asartel.kz
        SMTP error from remote mailer after end of data:
        host mail.asartel.kz [85.29.138.126]: 550 5.7.1 Message rejected as spam by Content Filtering.

    ------ This is a copy of the message, including all the headers. ------

     

    и исходящая уходит при полном перезапуске служб... I need help,

    14 апреля 2011 г. 5:14
  • Alex Ваш сайт не работает...

    Странно, у меня работает...
    http://alexxhost.ru
    14 апреля 2011 г. 5:15
  • Сертификат ставили от какого центра сертификации? Все службы переключили на новый сертификат (IIS, SMTP ... )?
    http://alexxhost.ru
    14 апреля 2011 г. 5:16
  • Сертификат ставил со встроенного генератора в эксч 2010

    IMAP,pop3,SMTP, IIS и создались еще 2 сертификата без подписи к службам. Есть пошаговое описание создания и замены на новый сертификат=) скажите IP адрес вашего сайта я пропишу его у себя в дНС

    14 апреля 2011 г. 5:26
  • кстати теперь проблема уперлась в EDGE получается внутри почта ходит, ОВА работает внутри но внешний прием и отправка не работают, а работают при перезагрузки служб почтаря... ЧТО МОЖЕТ БЫТЬ?
    14 апреля 2011 г. 5:32
  •  скажите IP адрес вашего сайта я пропишу его у себя в дНС

    Можно спросить у гугла :) nslookup alexxhost.ru 8.8.8.8

    получится например этот 74.125.43.121 или этот 74.125.77.121


    http://alexxhost.ru
    14 апреля 2011 г. 5:34
  • А по поводу основной проблемы будет мнение?)

     

    14 апреля 2011 г. 5:50
  • покажите вывод get-exchangecertificate


    http://alexxhost.ru
    14 апреля 2011 г. 5:54
  • покажите вывод get-exchangecertificate


    http://alexxhost.ru



     $CSV = Import-Csv
     $CSV | ForEach { New-MailContact -Name $_.Name -Alias $_.Alias -ExternalEmailAddress $_.EmailAddress -OrganizationalUni
    t Users }

    VERBOSE: Connecting to DC.lux.kz
    VERBOSE: Connected to DC.lux.kz.
    [PS] C:\Windows\system32>get-exchangecertificate

    Thumbprint                                Services   Subject
    ----------                                --------   -------
    D3A23DCC7D9BA2132F4CFB96618F267183D9831F  ......     CN=DC.lux.kz
    E2CDC726FAA63B83EB9BCB902238B9A09DC86F4D  ......     CN=lux-DC-CA, DC=lux, DC=kz
    8FA0D9C342C93F331814629553F302CA156B62FB  IP.WS.     CN=DC

    14 апреля 2011 г. 5:58
  • Самого интересного и не видно )))

    Давайте тогда так get-exchangecertificate | fl


    http://alexxhost.ru
    14 апреля 2011 г. 6:01
  • Самого интересного и не видно )))

    Давайте тогда так get-exchangecertificate | fl


    http://alexxhost.ru

          
    [PS] C:\Windows\system32>get-exchangecertificate | fl


    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
                         ule}
    CertificateDomains : {DC.lux.kz}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=lux-DC-CA, DC=lux, DC=kz
    NotAfter           : 4/13/2012 10:14:30 AM
    NotBefore          : 4/14/2011 10:14:30 AM
    PublicKeySize      : 2048
    RootCAType         : Registry
    SerialNumber       : 610226B8000000000002
    Services           : None
    Status             : Valid
    Subject            : CN=DC.lux.kz
    Thumbprint         : D3A23DCC7D9BA2132F4CFB96618F267183D9831F

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
                         ule}
    CertificateDomains : {lux-DC-CA}
    HasPrivateKey      : True
    IsSelfSigned       : True
    Issuer             : CN=lux-DC-CA, DC=lux, DC=kz
    NotAfter           : 4/14/2016 9:09:50 AM
    NotBefore          : 4/14/2011 8:59:51 AM
    PublicKeySize      : 2048
    RootCAType         : Registry
    SerialNumber       : 717DB87BAE5D52A644EF23D1FFD09BD0
    Services           : None
    Status             : Valid
    Subject            : CN=lux-DC-CA, DC=lux, DC=kz
    Thumbprint         : E2CDC726FAA63B83EB9BCB902238B9A09DC86F4D

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
                         ule, System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAcc
                         essRule}
    CertificateDomains : {DC, DC.lux.kz}
    HasPrivateKey      : True
    IsSelfSigned       : True
    Issuer             : CN=DC
    NotAfter           : 3/16/2016 11:26:15 AM
    NotBefore          : 3/16/2011 11:26:15 AM
    PublicKeySize      : 2048
    RootCAType         : None
    SerialNumber       : 1519D52D4780B5A74B85F1370A1DD8AA
    Services           : IMAP, POP, IIS, SMTP
    Status             : Valid
    Subject            : CN=DC
    Thumbprint         : 8FA0D9C342C93F331814629553F302CA156B62FB



    [PS] C:\Windows\system32>get-exchangecertificate | fl
    14 апреля 2011 г. 6:04
  • У вас у сертификата 8FA0D9C342C93F331814629553F302CA156B62FB в поле CertificateDomains только два имеми - DC, DC.lux.kz, а должны быть все имена хостов, по которым пользователи подключаются к серверу Exchange (как локально, так и удаленно) + autodiscover не забывайте.

    Я советую вопсользоваться мастером создания сертификата, в Exch 2010 он очень удачный + сертификат делать не самоподписанным, а выдавать через lux-DC-CA, если я правильно понимаю, то это ваш локальный CA.

    Постарайтесь почитать вышеуказанную сатью, там про это подробно написано.


    http://alexxhost.ru
    14 апреля 2011 г. 6:20
  • Как издать сертификат через CA? или надо как то транспорту показать на СА?
    14 апреля 2011 г. 8:53
  • У вас у сертификата 8FA0D9C342C93F331814629553F302CA156B62FB в поле CertificateDomains только два имеми - DC, DC.lux.kz, а должны быть все имена хостов, по которым пользователи подключаются к серверу Exchange (как локально, так и удаленно) + autodiscover не забывайте.

    Я советую вопсользоваться мастером создания сертификата, в Exch 2010 он очень удачный + сертификат делать не самоподписанным, а выдавать через lux-DC-CA, если я правильно понимаю, то это ваш локальный CA.

    Постарайтесь почитать вышеуказанную сатью, там про это подробно написано.


    http://alexxhost.ru
    Алексей чем то вы носолили казахстаским провайдерам ваш сайт у нас не работает(((
    14 апреля 2011 г. 8:54
  •  Алексей чем то вы носолили казахстаским провайдерам ваш сайт у нас не работает(((
    Странно... тогда попробуйте посмотреть кросс-пост http://itband.ru/2010/07/certification-exch2010/
    http://alexxhost.ru
    14 апреля 2011 г. 9:07
  •  Алексей чем то вы носолили казахстаским провайдерам ваш сайт у нас не работает(((
    Странно... тогда попробуйте посмотреть кросс-пост http://itband.ru/2010/07/certification-exch2010/
    http://alexxhost.ru
    Я не пойму этот сертификат создается при установке ролей СА? где он лежит или откуда он берется?
    14 апреля 2011 г. 9:08
  • Кросс пост на itban.ru у вас открывается? Там все написано. Если коротко, то вам надо:

    • Создать запрос на выдчу сертификата через консоль Exch`a (проще через графическую)
    • Отправить этот запрос на центр сертификации (лучше через веб-морду)
    • Получить ответ от ЦС в виде сертификата
    • Подсунуть этот сертификат в Exch (подтветрдить созданный ранее запрос)
    • Назначить службы в Exch`e на сертификат

    http://alexxhost.ru
    14 апреля 2011 г. 9:13
  • у нового сертификата стоит Falce а у старого True я так думаю как то надо это изменить?

     

    14 апреля 2011 г. 9:36
  • у нового сертификата стоит Falce а у старого True я так думаю как то надо это изменить?

    Для какого именно свойства?

    Вам удалось прочитать статью?


    http://alexxhost.ru
    14 апреля 2011 г. 9:39
  • у нового сертификата стоит Falce а у старого True я так думаю как то надо это изменить?

    Для какого именно свойства?

    Вам удалось прочитать статью?


    http://alexxhost.ru
    Мне удалось все сделать по статье
    14 апреля 2011 г. 9:43
  • Мне удалось все сделать по статье

    Супер :)

    Не забудьте пометить ответ, чтобы в будущем коллегам не пришлось перечитывать всю нашу с вами беседу ;)


    http://alexxhost.ru
    14 апреля 2011 г. 9:45
  • Мне удалось все сделать по статье

    Супер :)

    Не забудьте пометить ответ, чтобы в будущем коллегам не пришлось перечитывать всю нашу с вами беседу ;)


    http://alexxhost.ru

    Delivery is delayed to these recipients or groups:

     

    hangukkr@mail.ru (hangukkr@mail.ru)

     

    Subject: test

     

    This message hasn't been delivered yet. Delivery will continue to be attempted.

     

    The server will keep trying to deliver this message for the next 1 days, 19 hours and 18 minutes. You'll be notified if the message can't be delivered by that time.

    14 апреля 2011 г. 9:48
  • при отправке письма с клиента наружу. Такое ошушения что эджу тоже нужен этот сертификат или я ошибаюсь? +

    14 апреля 2011 г. 9:50
  • Еще смушает статус сертификата в свойствах консоли управления. Server configuration> Self Signed. Это правильно что там FALSE?
    14 апреля 2011 г. 9:54
  • Нет, ежу этот сертификат не нужен. У вас в чем-то другом проблема. Если письмо висит в очереди, то там есть текст ошибки по которой оно все ещё там.


    http://alexxhost.ru
    14 апреля 2011 г. 9:54
  • Сейчас зашел на Транспорт о очередь отправки и на Эдже. Не на транспорте не в эдже нету очереди! что происходит?) Куда деются письма?

     

    14 апреля 2011 г. 10:04
  • Я менял Mac ADRES НА  транспорте может следует переписать edge subsciption?
    14 апреля 2011 г. 10:05
  • что говорит командлет start-edgesynchronization ?


    http://alexxhost.ru
    14 апреля 2011 г. 10:09
  • сейчас на транспорте застряли все письма... ответ на команду [PS] C:\Windows\system32>start-edgesynchronization


    RunspaceId     : 5d843255-55ad-4ffa-bbaa-f3d518f1d38d
    Result         : CouldNotConnect
    Type           : Recipients
    Name           : edge
    FailureDetails : The LDAP server is unavailable.
    StartUTC       : 4/14/2011 10:10:07 AM
    EndUTC         : 4/14/2011 10:10:31 AM
    Added          : 0
    Deleted        : 0
    Updated        : 0
    Scanned        : 0
    TargetScanned  : 0

    RunspaceId     : 5d843255-55ad-4ffa-bbaa-f3d518f1d38d
    Result         : CouldNotConnect
    Type           : Configuration
    Name           : edge
    FailureDetails : The LDAP server is unavailable.
    StartUTC       : 4/14/2011 10:10:08 AM
    EndUTC         : 4/14/2011 10:10:31 AM
    Added          : 0
    Deleted        : 0
    Updated        : 0
    Scanned        : 0
    TargetScanned  : 0

     

     

    В очереди на транспорте у всех ошибка 400 4 4 7

    14 апреля 2011 г. 10:13
    • Result : CouldNotConnect
    • Result : CouldNotConnect

    Вот эти строчки должны настрожить :)

    Я бы пересоздал подписку для начала...


    http://alexxhost.ru
    14 апреля 2011 г. 10:15
    • Result : CouldNotConnect
    • Result : CouldNotConnect

    Вот эти строчки должны настрожить :)

    Я бы пересоздал подписку для начала...


    http://alexxhost.ru

    ок сейчас пересоздам подписку отпишу результат)

     

    14 апреля 2011 г. 10:16
  • [PS] C:\Windows\system32>start-edgesynchronization


    RunspaceId     : 5d843255-55ad-4ffa-bbaa-f3d518f1d38d
    Result         : CouldNotConnect
    Type           : Configuration
    Name           : edge
    FailureDetails : The LDAP server is unavailable.
    StartUTC       : 4/14/2011 10:22:12 AM
    EndUTC         : 4/14/2011 10:22:35 AM
    Added          : 0
    Deleted        : 0
    Updated        : 0
    Scanned        : 0
    TargetScanned  : 0

    RunspaceId     : 5d843255-55ad-4ffa-bbaa-f3d518f1d38d
    Result         : CouldNotConnect
    Type           : Recipients
    Name           : edge
    FailureDetails : The LDAP server is unavailable.
    StartUTC       : 4/14/2011 10:22:12 AM
    EndUTC         : 4/14/2011 10:22:35 AM
    Added          : 0
    Deleted        : 0
    Updated        : 0
    Scanned        : 0
    TargetScanned  : 0
    14 апреля 2011 г. 10:24
  • Результат такой же...
    14 апреля 2011 г. 10:26
  • И что? Решайте проблему The LDAP server is unavailable.


    http://alexxhost.ru
    14 апреля 2011 г. 10:28
  • Новая проблема! как чиниться LDAP?=)о
    14 апреля 2011 г. 11:26
  • Новая проблема - новый топик ;)

    Начать надо с логов системы и с запуска ExBPA


    http://alexxhost.ru
    14 апреля 2011 г. 11:28
  • Exbpa не чего не обнаружила...
    14 апреля 2011 г. 11:47
  • Что можно сделать с этим Ldapom в логах говорить

    DCOM was unable to communicate with the computer edge.lux.kz using any of the configured protocols.

    Driver Send To Microsoft OneNote 2010 Driver required for printer Отправить в OneNote 2010 is unknown. Contact the administrator to install the driver before you log in again.

     

    The DFS Namespace service could not initialize cross forest trust information on this domain controller, but it will periodically retry the operation. The return code is in the record data.

    14 апреля 2011 г. 11:53
  • Создайте новую тему!


    http://alexxhost.ru
    14 апреля 2011 г. 11:56