none
Пересечение сертификатов exchange и lync RRS feed

  • Общие обсуждения

  • При автовходе клиент ругается на 

    т.е. он получает сертификат и похоже входить пытается через сервер Exchange? autodiscover.first.local естественно отправляет на сервер exchange.... 

    P.S. как ни странно после подтверждения всё подключается и фунциклирует! Где чего не так настроил?


    • Изменено NSDonner 9 августа 2012 г. 10:33
    • Изменен тип Yuriy Lenchenkov 6 сентября 2012 г. 12:33 не актуально для топикстартера
    9 августа 2012 г. 10:32

Все ответы

  • Exchange тут ни при чем.  Lync осуществляет проверку подлинности по сертификату, который выдает сам Lync Server. Клиент входит по NTLM или Kerberos только первый раз. 

    Насколько я понимаю, такая ситуация происходит, когда вы под одной и той же учетной записью пользователя Windows когда-то заходили на один Lync Server, получили там сертификат, а затем пытаетесь подключиться на другой сервер Lync с помощью этого клиентского сертификата. Похоже ли на вашу ситуацию?

    Посмотрите в хранилище сертификатов пользователя. там можно удалить лишний сертификат и это предупреждение исчезнет.

    9 августа 2012 г. 11:14
  • нет, не оно, сертификат пользователю выдаётся верный, проверил, кроме него собственно других нет у пользователя. Проблема проявляется на всех доменных машинах где бы не проверял. Если прочитать еще раз варнинг то "линк пытается подключиться к surpk.ru" (изходя из данных выдаваемого сертификата). surpk.ru это внешнее имя моего exchange! Внутренне же имя lync - lync.first.local и сертификат с соответствующим именем есть на сервере, сертификата же surpk.ru - нет.... 

    Вот мне и не ясно каким же макаром и откуда он берет сертификат Exchenge ?? Lync свежеподнятый в соответствии местной видеоинструкции.

    9 августа 2012 г. 11:46
  • похоже проблему решил сам... клиент ругается на сертификат не при подключении к серверу lync, а при попытке подключиться к EWS на котором у меня висел сертификат с внешним именем surpk.ru (эта внешняя зона продублирована на внутреннем DNS с локальными адресами по этому и не было проблем), а использовал клиент для подключения естественно внутреннее имя, вот и нестыковочка выходила. В общем раскидал в привязках IIS на exchange правильные сертификаты по соответствующим интерфейсам и вроде заработало.
    9 августа 2012 г. 12:24
  • А что в сведениях о конфигурации у вас прописано в строке внешний URL адрес EWS?


    If answer is helpful, please mark as answer or hit the green arrow on the left.

    9 августа 2012 г. 12:25
  • да.... и в правду наверное рано обрадовался... теперь при подключении клиент пишет что нет связи с Exchange. Ждём минуту и в конфигурации появляется MAPI - ОК , EWS не развернут.
    • Изменено NSDonner 9 августа 2012 г. 12:39
    9 августа 2012 г. 12:38
  • Как это не развернут? Exchange же есть?

    If answer is helpful, please mark as answer or hit the green arrow on the left.

    9 августа 2012 г. 12:43
  • есть и работает.... либо он быстрее цепляется по MAPI либо что то опять с сертификатами не так.....

    да... косяк... теперь outlook не грузит адресную книгу после смены сертификата.... блин, замкнутый круг.

    хотя стоп, ведь первоначальный сертификат - мультидоменный.... внём сразу 3 dns имя exchange exchange.first.local и surpk.ru  поже надо вернуть всё обратно и решать дальше.
    • Изменено NSDonner 9 августа 2012 г. 12:49
    9 августа 2012 г. 12:44
  • Давайте EWS пропишем, раз exchange есть)
    http://social.technet.microsoft.com/Forums/ru-RU/lync2010ru/thread/68cdadc1-56d2-46b0-9b9e-26db757f6d75


    If answer is helpful, please mark as answer or hit the green arrow on the left.

    9 августа 2012 г. 12:49
  • Давайте EWS пропишем, раз exchange есть)
    http://social.technet.microsoft.com/Forums/ru-RU/lync2010ru/thread/68cdadc1-56d2-46b0-9b9e-26db757f6d75


    If answer is helpful, please mark as answer or hit the green arrow on the left.

    9 августа 2012 г. 12:49
  • м... а где прописывать?

    Вернул всё как было... MAPI - OK EWS - OK  internal EWS ссылается на локальный адрес.

    есть на внутреннем DNS обе зоны

    CNAME autodiscover.surpk.ru = surpk.ru. 

    CNAME autodiscover.first.local = exchange.first.local.

    • Изменено NSDonner 9 августа 2012 г. 13:05
    9 августа 2012 г. 12:59
  • я так понимаю проблема решится если переписать EWS с exchange.first.local на surpk.ru   где это сделать? И вот только не понятно почему же мультидоменный сертификат работает для Exchange а для lync нет.
    9 августа 2012 г. 13:15
  • про поддержку Wildcard обращайтесь в МС :)

    Если хотите править ссылки на EWS, то это делается с помощью Set-WebServicesVirtualDirectory -internaluri или как-то так.

    Ваши клиенты какой e-mail имеют? Lync берет от емэйла доменную часть и ищет А-запись autodiscover.smtpdomain.ru (потом такую же SRV и еще несколько вариаций). уже оттуда он (из XML autodiscover) должен получить ссылку на Ews, которую задали командой выше и подключаться по ней. и разумеется он рассчитывает увидеть там сертификат с таким же именем как задали в командлете.


    9 августа 2012 г. 18:15
  • изменил internalEWS адрес с first.local на surpk.ru - не помогло, всё равно ругается на сертификат.... вот скрин конфигурации....

    10 августа 2012 г. 5:21
  • Строго говоря, тема перетекает в разряд Exchange :)

    Советую поставить Wireshark, почистить кэш ДНС и кэш клиента в профиле пользователя (Appdata/microsoft/communicator) и снять трафик при входе клиента, сделав фильтр DNS. через некотрое время после логона клиент запросит autodiscover.smtpdomain.ru и далее будет видно, пришел ли ему айпишник автодискавер.

    После смотрите на какую ссылку перейдет клиент (surpk.ru или first.local).

    Почему не обновляется инфа в автодискавер - вы сделали iisreset /force на CAS-е?

    10 августа 2012 г. 7:48
  • по данным wireshark он запрашивает srv sipinternaltls потом lync.first.local потом surpk.ru потом exchange.first.local

    всё А записи про autodiscvover нет и речи.  Если поменять сертификат на почтовом сервере на сертификат с внутренним именем то всё ок, но понятно что отваливаются тогда клиенты аутлука которые ждут сертификат с внешним именем... в общем проблема именно в сертификате.... есть идея поменять очередность в wildcard сертификате.... попробую - отпишусь.

    10 августа 2012 г. 8:20
  • в общем этот упоротый линк меня заел.... сменил сертификат, выставил общее имя в нём не surpk.ru а exchange.first.local - один черт ругается мол surpk.ru в сертификате..... говорила мама настрой edge сервер для exchange, нет блин лень....
    • Изменено Yuriy Lenchenkov 17 августа 2012 г. 13:14 не надо материться в постах
    10 августа 2012 г. 8:37
  • NSDonner, вопрос еще актуален?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    30 августа 2012 г. 11:12
  • я смирился, техники ставят галку "всегда доверять" и всё на этом.
    30 августа 2012 г. 15:20