none
Выскакивает предупреждение сертификата RRS feed

  • Вопрос

  • Доброго дня, уважаемые коллеги!

    Заменили сертификат на нормальный, не самоподписный. Назначил его всем службам, прописал во всех каталогах ecp/owa и т.д. нормальное имя как в сертификате mail.domain.ru

    при запуске outlook выскакивает такое окно. Я понимаю, что ругается на сертификат, ведь там нет имени contactexch.domain.ru. Но что к нему обращается то при запуске оутлука?


    • Изменено clippart 3 сентября 2018 г. 5:41
    3 сентября 2018 г. 5:41

Ответы

  • Получается, что он у вас почему-то за autodiscover стучится к contactexch.*.local вместо autodiscover.domain.ru

    Почтовый сервер у вас один? Клиент с ним в одном сайте? Если профиль Outlook пересоздать, то такая же проблема будет?

    • Помечено в качестве ответа clippart 6 сентября 2018 г. 14:37
    6 сентября 2018 г. 13:23

Все ответы

  • Проблема только у внутренник клиентов?

    Как давно меняли виртуальные каталоги? Если прошло меньше суток, перезапустите iis.

    Киньте вывод командлетов:

    Get-ClientAccessServer | fl
    Get-OutlookAnywhere

    3 сентября 2018 г. 5:48
  • Егор, здравствуйте!

    Да, только внутренние.

    Вывод говорит

    Get-ClientAccessServer | fl

    что AutoDiscoverServiceInternalUri       : https://contactexch.domain.local/Autodiscover/Autodiscover.xml

    странно, уже сервер физически перезагружали.

    Get-OutlookAnywhere

    тут все ок, записи верные

    ExternalHostname                   : mail.domain.ru
    InternalHostname                   : mail.domain.ru

    3 сентября 2018 г. 5:51
  • Добрый день.

    "что AutoDiscoverServiceInternalUri       : https://contactexch.domain.local/Autodiscover/Autodiscover.xml"

    Пропишите в SCP для внутренних клиентов корректное имя для Autodiscover. 
    mail.domain.ru
    Во внутреннем ДНС оно конечно же должно резолвится корректно - на CAS сервера.

    Set-ClientAccessServer -AutoDiscoverServiceInternalUri "https://mail.domain.ru/Autodiscover/Autodiscover.xml"

    Либо через adsiedit.msc.

    Статьи: раз, два
    • Предложено в качестве ответа Evgeny Vovney 3 сентября 2018 г. 6:14
    3 сентября 2018 г. 6:14
  • Евгений, уже сделано. IIS перезапустил, пока толку нет, табличка выскакивает.
    3 сентября 2018 г. 6:15
  • Странно.

    С репликацией AD всё в порядке?
    В adsiedit.msc - что прописано?

    clip_image004

    3 сентября 2018 г. 6:20
  • С репликацией все четко. Поменялось на то, что я сделал через powershell
    • Изменено clippart 3 сентября 2018 г. 6:26
    3 сентября 2018 г. 6:25
  • Попробуйте запустить Fiddler, потом проблемный Outlook - и посмотреть на корректность запросов.
    Либо - на проблемном Outlook просто посмотреть, куда он стучится за виртуальными каталогами, в т.ч. autodiscover.

    UPD. И конечно же - точно во всех виртуальных директориях прописали новое имя? EWS и т.д.?
    • Изменено Evgeny Vovney 3 сентября 2018 г. 6:34
    3 сентября 2018 г. 6:29
  • Сейчас буду смотреть

    Прописано все везде на новое имя как в сертификате, перерепроверил.

    3 сентября 2018 г. 6:56
  • Сейчас буду смотреть

    Прописано все везде на новое имя как в сертификате, перерепроверил.

    На клиенте зажмите Ctrl и правой кнопкой нажмите на значке аутлука в трее, из выпадающего меню выберите Статус подключения (или что-то подобное по названию), киньте скриншот открывшегося окна сюда.
    3 сентября 2018 г. 7:10
  • Не совсем понятно что находится под закрашенными областями, но судя по всему клиент цепляется по нужным адресам. Верно?

    На скриншоте в самом первом вашем сообщении есть кнопка "Просмотр сертификата", покажите свойства сертификата. Интересует дополнительное имя субъекта.

    3 сентября 2018 г. 7:15
  • Да, закрашено верное имя.

    дополнительное имя субъекта содержит только имя mail.domain.ru

    3 сентября 2018 г. 7:19
  • Очень похоже на кэши. Если на стороне сервера уже перезапускали iis после смены SCP, то делать ничего не надо. Если нет - перезапустите iis

    На клиенте почистите кэш днс (ipconfig /flushdns), а лучше ребутните ПК. Также, если успели уже пробежаться по мастеру добавления учетки в аутлуке, то удалите профиль (Панель управления - Почта (32 бита) - Конфигурации)

    3 сентября 2018 г. 7:26
  • А как тогда работает autodiscover external? Через SRV DNS запись?

    Тогда имеем стандартную проблему отсутствия записи autodiscover.domain.ru в сертификате.
    Варианта два:
    - переделать сертификат на корректный (правильный вариант)
    - внутри убрать все из SCP, сделать autodiscover через SRV DNS на узел mail.domain.ru (не самый правильный вариант)

    Ссылки:
    https://practical365.com/exchange-server/avoiding-exchange-2013-server-names-ssl-certificates/
    https://social.technet.microsoft.com/Forums/exchange/en-US/61de28b4-9995-4e9a-a61e-a85742ea308c/exchange-certificate-all-required-san-names?forum=exchange2010
    https://community.spiceworks.com/topic/2012355-exchange-2010-certificate-warning-in-the-internal-network
    3 сентября 2018 г. 7:32
  • autodiscover реализован через SRV запись

    SCP сейчас вычищу.

    3 сентября 2018 г. 7:35
  • через fiddler с проблемного клиента увидел что 2 запроса идут на почтовик по его локальному имени. Тоесть как раз когда возникает табличка. Как узнать, что конкретно от клиента ломится туда ?
    3 сентября 2018 г. 7:45
  • "2 запроса идут на почтовик по его локальному имени"

    А ссылки как выглядят?
    3 сентября 2018 г. 7:46
  • Вообщем да. Это злополучный Autodiscover ломится.

    интересно, почему SRV запись не помогла (

    В любом случае спасибо за подсказку, как выловить "гада"

    3 сентября 2018 г. 7:50
  • А в adsiedit.msc нет ли случайно "забытых" записей CAS серверов, в том же сайте, что и проблемный клиент?
    3 сентября 2018 г. 7:58
  • в этом сайте один единственный почтовик. и не было других.

    а в какой ветке adsi это глянуть можно ?

    3 сентября 2018 г. 8:03
  • вот что в запросах

    3 сентября 2018 г. 8:06
  • Коллеги, еще раз здравствуйте.

    Сделали сертификат, прописали в нем SAN имена

    mail.domain.ru

    autodiscover.domain.ru

    Все равно вылетает табличка несоответствия сертификата, в которой локальное имя почтового сервера. Куда что затесалось? Понять не могу от слова совсем. Еще раз проверил все виртуальные каталоги, выполнил еще раз все как написано тут https://community.spiceworks.com/topic/2012355-exchange-2010-certificate-warning-in-the-internal-network

    6 сентября 2018 г. 11:31
  • Давайте ещё раз посмотрим. Предупреждение появляется при запуске Outlook извне или из интрасети?

    У вас MAPI over HTTP или RPC overv HTTP (Outlook Anywhere)?

    6 сентября 2018 г. 11:34
  • При запуске внутри сети. У меня mapi over http

    InternalUrl/ExternalUrl урлы в mapi перепроврил, указаны как в сертификате

    6 сентября 2018 г. 11:47
  • А можете показать AutoDiscoverServiceInternalUri для всех CAS и get-MapiVirtualDirectory.


    6 сентября 2018 г. 11:56
  • AutoDiscoverServiceInternalUri       : https://autodiscover.domain.ru/Autodiscover/Autodiscover.xml

    InternalUrl                     : https://mail.domain.ru/mapi
    InternalAuthenticationMethods   : {Ntlm, Negotiate}
    ExternalUrl                     : https://mail.domain.ru/mapi
    ExternalAuthenticationMethods   : {Ntlm, Negotiate}

    6 сентября 2018 г. 12:12
  • В какие записи резолвится изнутри autodiscover.domain.ru ?

    Сертификат (autodiscover.domain.ru, mail.domain.ru) привязан к службам IIS, SMTP?

    6 сентября 2018 г. 12:21
  • резолвится внутренний IP почтового сервера.

    сертификат привязал полностью для всех служб

    Enable-ExchangeCertificate -Thumbprint 71F305FACA9C4E635AF7DFDDDDED54043AEFED1A -Services POP,IMAP,IIS,SMTP

    6 сентября 2018 г. 12:47
  • Получается, что он у вас почему-то за autodiscover стучится к contactexch.*.local вместо autodiscover.domain.ru

    Почтовый сервер у вас один? Клиент с ним в одном сайте? Если профиль Outlook пересоздать, то такая же проблема будет?

    • Помечено в качестве ответа clippart 6 сентября 2018 г. 14:37
    6 сентября 2018 г. 13:23
  • Да, и это мне тоже непонятно.

    Сервер один, клиент в одном сайте. Профиль пересоздавал до включения нового сертификата, толку не было (тогда был просто нормальный сертификат, но autodiscover был через SRV запись)

    Пересоздам сейчас еще раз, посмотрю.

    6 сентября 2018 г. 13:28
  • А для OutlookAnywhere у вас тоже всё прописано? Может он по MAPI не может подключиться (там есть ряд ограничений) и пытается RPC over HTTP, а там как раз contactexh....
    6 сентября 2018 г. 14:07
  • Да, все также как и для мапи.

    Алексей, пересоздание профиля на одном компе пока не вызвало табличку с сертификатом. И это круто ))

    Наблюдаю, возможности на еще одном компе удалить профиль и создать заново нет, чтобы уже точно убедится, что это был какой-то кеш. Неприятно конечно, если это так. 150 машин перелопачивать :(

    6 сентября 2018 г. 14:23
  • Может GPO поможет?

    https://social.technet.microsoft.com/Forums/windows/en-US/d6c26869-84be-46c8-8375-d8f75fc0417c/create-new-profile-with-gpo-keep-old-profile?forum=officeitproprevious

    6 сентября 2018 г. 14:35
  • Спасибо за подсказку!
    6 сентября 2018 г. 14:37