none
Проблема с сертификатом RRS feed

  • Вопрос

  • Добрый день.

    У меня два сервера Exchange Server 2016 Standart. Виртуальные. Объединены в DAG.

    Я обновил сертификат. Привязал его к обоим серверам. Также в IIS привязал этот сертификат к Default Web Site и Exchange Back End. 

    Сертификат выдан доменным центром сертификации.

    Почта в компании работает. OWA снаружи работает. Старые клиенты с телефонов и планшетов работают нормально. А вот новых не могу подключить. Ругается что не удается проверить удостоверение сертификата. 

    Подскажите пожалуйста куда копать? Что я забыл сделать?


    9 августа 2018 г. 13:36

Ответы

Все ответы

  • У вас в логах нет ошибки 15021? Зачем вы новый сертификат привязали к Exchange Back End? Он там свой самоподписанный использует.
    9 августа 2018 г. 13:59
  • Видимо распространить рутовый сертификат вашего СА на новые устройства, чтобы они ему доверяли. Для них он пока никто и ничто.
    9 августа 2018 г. 14:01
  • Добрый день. Вот специально для вас (там как раз распространение через GPO): https://blog.bissquit.com/mail-servers/exchange-server/sertifikat-exchange-2013/

    А вообще не пожалейте денег на нормальный коммерческий сертификат. Вопреки расхожему мнению он не стоит десятки тысяч. Речь идет в 2-3тр в базовом варианте.

     
    9 августа 2018 г. 16:09
  • Обычно я тут был адептом коммерческого сертификата))) Егор перенял, поддерживаю.

    "Старые клиенты с телефонов и планшетов работают нормально. А вот новых не могу подключить. Ругается что не удается проверить удостоверение сертификата."

    Вот с GPO тут скорее всего как раз не выгорит.

    9 августа 2018 г. 19:06
  • подскажите пожалуйста пол какому пути лог посмотреть.

    На Exchange Back End поставил сертификат потому что без него не работала owa, active sync и т.д. А после того как поставил заработало. Вернуть обратно? Или надо сделать новый самоподписной сертификат для Exchange Back End?

    10 августа 2018 г. 14:43
  • Я с удовольствием куплю коммерческий сертификат за 2-3 тыс руб. Может кинет ссылку? А то я смотрел, там больше 15 тыс руб.
    10 августа 2018 г. 14:44
  • подскажите пожалуйста пол какому пути лог посмотреть.

    На Exchange Back End поставил сертификат потому что без него не работала owa, active sync и т.д. А после того как поставил заработало. Вернуть обратно? Или надо сделать новый самоподписной сертификат для Exchange Back End?

    Вообще не понял о каком сертификате идет речь. Вы вручную в iis настройки правили? Зачем? Все делается в eac или ems.

    По поводу логов: в эксче с ними все ооочень сложно, если лезть внутрь. Вот, специально для вас статьи писал: https://blog.bissquit.com/mail-servers/exchange-server/logi-exchange-2013-transport/

    10 августа 2018 г. 16:13
  • Я с удовольствием куплю коммерческий сертификат за 2-3 тыс руб. Может кинет ссылку? А то я смотрел, там больше 15 тыс руб.

    Смотрите: https://www.instantssl.su/products

    Там как раз скидки до 80%. Купите за смешную цену нормальный сертификат на несколько лет.

      p.s. я не рекламный агент Лидертелекома или Comodo)) просто длительное время с ними работал
    • Изменено Egor Vasilev 10 августа 2018 г. 16:19
    10 августа 2018 г. 16:17
  • так я и делал в EAC. Но не работало. Полез статьи читать и вычитал что на Back End тоже надо привязать сертификат. Так мне его вернуть просто в iis или новый делать? Я же его не удалял. Просто привязку поменял.
    10 августа 2018 г. 17:26
  • спасибо. обязательно приобрету.
    10 августа 2018 г. 17:27
  • так что мне делать то, подскажите пожалуйста.
    13 августа 2018 г. 15:15
  • Вы кстати так и не ответили - есть ли на новых устройствах (если речь в вопросе только про устройства, а не пользователей) корневой сертификат?
    13 августа 2018 г. 16:42
  • до этого устройствам не нужен был корневой сертификат. Выдавал ошибку, жал "дальше" и все работало. А сейчас ошибку выдает, но кнопки "дальше" почему то нет. Я про iOs и Android говорю.
    13 августа 2018 г. 21:17
  • настроено.
    13 августа 2018 г. 21:34
  • Т.е. до обновления на серверах  exch был установлен сертификат, выданный доменным уц, и все устройства ios, android без проблем работали с почтовым клиентом, потом вы обновили  сертификат (опять же от доменного уц) и после этого ни одно новое устройство не может подключиться, так? 

    А вы точно уверены, что старый сертификат был именно от доменного уц?

    14 августа 2018 г. 3:52
  • да. Вот только где-то полгода назад мне пришлось переустанавливать сервер с доменным центром сертификации. И новый сертификат для exch я делал уже на нем. Я вот думаю может забыл в доменной зоне что-то прописать?

    Старый сертификат был от доменного уц. Уверен.

    Вот новый сертификат:


    15 августа 2018 г. 8:47
  • на данный момент у вас какая проблема осталась?

    Какие доменные имена прописывать в сертификате - это уже вам виднее. Юзеры в каком домене AD находятся и какой основной почтовый домен используют?

    15 августа 2018 г. 9:39
  • проблема осталась. В AD домен один encorefitness.ru основной почтовый домен mail.encorefitness.ru
    15 августа 2018 г. 10:17
  • А что вы вообще проделали из наших рекомендаций? Само все просто так не настроится.

    Киньте вывод команд:

    Get-ClientAccessService | fl
    
    Get-OutlookAnywhere

    15 августа 2018 г. 11:08
  • Все что рекомендовали у меня уже было сделано.

    вот вывод команд:

    [PS] C:\Windows\system32>Get-ClientAccessService | fl


    RunspaceId                           : f5ca67b8-e959-40c6-a1fb-38d4f45a817e
    Name                                 : EX-SERV
    Fqdn                                 : ex-serv.encorefitness.ru
    ClientAccessArray                    :
    OutlookAnywhereEnabled               : True
    AutoDiscoverServiceCN                : ex-serv
    AutoDiscoverServiceClassName         : ms-Exchange-AutoDiscover-Service
    AutoDiscoverServiceInternalUri       : https://mail.encorefitness.ru/autodiscover/autodiscover.xml
    AutoDiscoverServiceGuid              : 77378f46-2c66-4aa9-a6a6-3e7a48b19596
    AutoDiscoverSiteScope                : {Default-First-Site-Name}
    AlternateServiceAccountConfiguration :
    IsOutOfService                       : False
    Identity                             : EX-SERV
    IsValid                              : True
    ExchangeVersion                      : 0.1 (8.0.535.0)
    DistinguishedName                    : CN=EX-SERV,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Admi
                                           nistrative Groups,CN=ENCOREFIT,CN=Microsoft Exchange,CN=Services,CN=Configuratio
                                           n,DC=encorefitness,DC=ru
    Guid                                 : 60ae343f-9d73-4553-bae1-77a78722641d
    ObjectCategory                       : encorefitness.ru/Configuration/Schema/ms-Exch-Exchange-Server
    ObjectClass                          : {top, server, msExchExchangeServer}
    WhenChanged                          : 20.07.2018 0:08:15
    WhenCreated                          : 21.07.2016 11:24:14
    WhenChangedUTC                       : 19.07.2018 21:08:15
    WhenCreatedUTC                       : 21.07.2016 8:24:14
    OrganizationId                       :
    Id                                   : EX-SERV
    OriginatingServer                    : dc-serv.encorefitness.ru
    ObjectState                          : Unchanged

    RunspaceId                           : f5ca67b8-e959-40c6-a1fb-38d4f45a817e
    Name                                 : EX-SERV-YAS
    Fqdn                                 : EX-SERV-YAS.encorefitness.ru
    ClientAccessArray                    :
    OutlookAnywhereEnabled               : True
    AutoDiscoverServiceCN                : ex-serv-yas
    AutoDiscoverServiceClassName         : ms-Exchange-AutoDiscover-Service
    AutoDiscoverServiceInternalUri       : https://mail.encorefitness.ru/autodiscover/autodiscover.xml
    AutoDiscoverServiceGuid              : 77378f46-2c66-4aa9-a6a6-3e7a48b19596
    AutoDiscoverSiteScope                : {Default-First-Site-Name}
    AlternateServiceAccountConfiguration :
    IsOutOfService                       : False
    Identity                             : EX-SERV-YAS
    IsValid                              : True
    ExchangeVersion                      : 0.1 (8.0.535.0)
    DistinguishedName                    : CN=EX-SERV-YAS,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=
                                           Administrative Groups,CN=ENCOREFIT,CN=Microsoft Exchange,CN=Services,CN=Configur
                                           ation,DC=encorefitness,DC=ru
    Guid                                 : 64ded156-c9bc-44d2-9883-951b0a31b6cf
    ObjectCategory                       : encorefitness.ru/Configuration/Schema/ms-Exch-Exchange-Server
    ObjectClass                          : {top, server, msExchExchangeServer}
    WhenChanged                          : 20.07.2018 0:14:07
    WhenCreated                          : 09.08.2017 3:56:37
    WhenChangedUTC                       : 19.07.2018 21:14:07
    WhenCreatedUTC                       : 09.08.2017 0:56:37
    OrganizationId                       :
    Id                                   : EX-SERV-YAS
    OriginatingServer                    : dc-serv.encorefitness.ru
    ObjectState                          : Unchanged

    [PS] C:\Windows\system32>Get-OutlookAnywhere


    RunspaceId                         : f5ca67b8-e959-40c6-a1fb-38d4f45a817e
    ServerName                         : EX-SERV
    SSLOffloading                      : True
    ExternalHostname                   : mail.encorefitness.ru
    InternalHostname                   : mail.encorefitness.ru
    ExternalClientAuthenticationMethod : Negotiate
    InternalClientAuthenticationMethod : Ntlm
    IISAuthenticationMethods           : {Basic, Ntlm, Negotiate}
    XropUrl                            :
    ExternalClientsRequireSsl          : True
    InternalClientsRequireSsl          : True
    MetabasePath                       : IIS://ex-serv.encorefitness.ru/W3SVC/1/ROOT/Rpc
    Path                               : D:\Exchange\FrontEnd\HttpProxy\rpc
    ExtendedProtectionTokenChecking    : None
    ExtendedProtectionFlags            : {}
    ExtendedProtectionSPNList          : {}
    AdminDisplayVersion                : Version 15.1 (Build 1466.3)
    Server                             : EX-SERV
    AdminDisplayName                   :
    ExchangeVersion                    : 0.20 (15.0.0.0)
    Name                               : Rpc (Default Web Site)
    DistinguishedName                  : CN=Rpc (Default Web Site),CN=HTTP,CN=Protocols,CN=EX-SERV,CN=Servers,CN=Exchange A
                                         dministrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=ENCOREFIT,CN=Mic
                                         rosoft Exchange,CN=Services,CN=Configuration,DC=encorefitness,DC=ru
    Identity                           : EX-SERV\Rpc (Default Web Site)
    Guid                               : 30f7a9e9-1137-4550-a62c-d49238e2f9f1
    ObjectCategory                     : encorefitness.ru/Configuration/Schema/ms-Exch-Rpc-Http-Virtual-Directory
    ObjectClass                        : {top, msExchVirtualDirectory, msExchRpcHttpVirtualDirectory}
    WhenChanged                        : 22.07.2016 17:29:36
    WhenCreated                        : 21.07.2016 12:00:19
    WhenChangedUTC                     : 22.07.2016 14:29:36
    WhenCreatedUTC                     : 21.07.2016 9:00:19
    OrganizationId                     :
    Id                                 : EX-SERV\Rpc (Default Web Site)
    OriginatingServer                  : dc-serv.encorefitness.ru
    IsValid                            : True
    ObjectState                        : Changed

    15 августа 2018 г. 13:54
  • Хм. Странные дела. Пару дне назад перезагружал оба сервера. Вчера пробовал настроить почту одному из новых сотрудников на iOs не получилось. Сегодня попробовал настроить почту другому новому сотруднику на iOs и получилось. Давайте я завтра-послезавтра попробую еще раз настроить почту на iOs и по результатам отпишусь.
    15 августа 2018 г. 14:44
  • может у вас кэши обновиться не успели. 
    15 августа 2018 г. 16:20
  • Вобщем двум другим новым пользователям я не смог настроить почту на iOs. Хотя на моем iPhone их учетки настраиваются. Странно. Получется их iPhone не может получить сертификат? Почему?
    16 августа 2018 г. 13:21
  • Вобщем двум другим новым пользователям я не смог настроить почту на iOs. Хотя на моем iPhone их учетки настраиваются. Странно. Получется их iPhone не может получить сертификат? Почему?

    Какая вылезает ошибка? Кто выпускал ваш сертификат?

    Какая версия ios у вашего айфона и у других пользователей? 

    Коллега, нужно больше информации для дебага, мы ведь тут не гадалки.

    16 августа 2018 г. 13:36
  • вы мне сказали какая нужна информация я вам постараюсь дать ее.

    Сертификат выпущен доменным центром сертификации.

    Версии iOs у новых пользователей 11.4.1 и у меня тоже.

    16 августа 2018 г. 16:27
  • ЕМНИП, то IOS будет ругаться на такие сертификаты, выданные доменным УЦ, ибо он про него ничего не знает и априори доверять ему не будет. Если вы хотите комплексно решить проблему, то сделайте один раз и правильно - настройте split-dns + установите сертификат от коммерческого центра, которому будут доверять все устройства. Это намного более рационально, чем каждый раз решать проблему с огрызком/зеленым роботом, который ругается на сертификат. Более того на сайте Егора (ссылка выше) приведена целая серия полезных и толковых статей по конфигурированию Exchange. Ознакомьтесь, пожалуйста, с ними.
    16 августа 2018 г. 18:22
  • так и раньше ругался. Выдавал ошибку "Не удается проверить подлинность сертификата". И были кнопки "дальше", "подробнее", "отменить". Я жал "дальше" и все работало. Сейчас только "подробно" и "отменить". Куда делась кнопка "дальше"? Просто ругается и все. Почему так случилось? Сертификат то я куплю. Но мне хочется понять что пошло не так? Статью выше я прочитал, split-dns у меня настроен. Я ничего не менял кроме сертификата. Так в чем же дело то?

    17 августа 2018 г. 8:38
  • Коллега, а вам не кажется, что с этим вопросом надо обращаться на другие форумы? При чем тут exchange, если у вас изменились опции на ios?

    Подход "раньше работало, должно и сейчас" вообще говоря немного инфантилен. ОС меняются, софт регулярно обновляется и т.п., поэтому ваша инфраструктура, как и устройства пользователей, не такие как раньше, даже если формально это те же самые устройства.

    И да, эппл с какого-то момента заблочили самозаверенные сертификаты (под раздачу попали ещё и пара публичных цс, например start sll, если я правильно помню)



    • Изменено Egor Vasilev 17 августа 2018 г. 10:41
    17 августа 2018 г. 10:39
  • вот как. А вы можете кинуть ссылку на ресурс где сказано что Apple заблокировали самозаверенные сертификаты? Мне просто с этим будет проще просить денег на сертификат.
    17 августа 2018 г. 11:07
  • сам поищу. Спасибо.
    17 августа 2018 г. 11:08
  • В настройках огрызка вам нужно активировать:

    Settings > General > About > Certificate Trust Settings->"Enable full trust for root certificates"

    И после этого проверить ещё раз.

    17 августа 2018 г. 12:15
  • огрызок - это iPhone?
    17 августа 2018 г. 14:33
  • Установил нормальный сертификат и заработало.

    Всем спасибо!!!

    5 сентября 2018 г. 9:51