none
Обнаружена ошибка сертификата безопасности ошибка 10 RRS feed

  • Вопрос

  • Добрый день. 

    Было 3 сервера CAS, 2 MBX. Я решил провести оптимизацию и сделать 4 сервера с ролями CAS-MBX. Сейчас поднял первый сервер, настроил все по аналогии с уже имеющимися. В итоге при запуске outlook появляется ошибка "Обнаружена ошибка сертификата безопасности прокси-сервера. Имя сертификата безопасности не действительно или не соответствует имени конечного сайта mbox2.hq.pharm.com. Outlook не может выполнить подключение к прокси серверу".

    Имя сертификата *.pharm.com. На всех CAS серверах установлен он же и раньше проблем не было.

    Подскажите пожалуйста, куда смотреть?

    22 ноября 2018 г. 11:51

Ответы

  • Так уже все ок. На mbox2, который поднимал вчера, еще вчера вечером ошибка пропала. На новом mbox4 ошибка пропала через 2 часа после установки и запуска repadmin /syncall. Тестовая группа из двух юзеров логинится, отправляет/принимает почту, autodiscover работает. Осталось только POP, IMAP проверить и можно запускать остальных юзеров понемногу.

    Как я выше писал в отредактированном комментарии, видимо проблема была в долгом обновлении данных на кд после изменения настроек на серверах exchange...или как-то так.


    • Изменено Валера2 23 ноября 2018 г. 8:27
    • Помечено в качестве ответа Валера2 26 ноября 2018 г. 11:22
    23 ноября 2018 г. 8:21

Все ответы

  • Проблема на доменных клиентах?

    Смотреть надо сюда:

    Get-ClientAccessServer | ft Fqdn,AutoDiscoverServiceInternalUri -AutoSize

    Вероятнее всего параметр AutoDiscoverServiceInternalUri на последнем сервере должен иметь то же значение, что и остальные серверы (если у них там одно и то же вписано).

    На всякий случай скиньте вывод команды сюда, посмотрим.


    • Изменено Egor Vasilev 22 ноября 2018 г. 11:57
    22 ноября 2018 г. 11:56
  • Да, на доменных. Возможно и на внешних, пока жалоб не было.

    Autodiscover уже поставил, на всех CAS, включая новый CAS-MBX, все ссылки одинаковые.

    Fqdn                     AutoDiscoverServiceInternalUri
    ----                     ------------------------------
    cas2.hq.pharm.com  https://mail.pharm.com/Autodiscover/Autodiscover.xml
    cas1.hq.pharm.com  https://mail.pharm.com/Autodiscover/Autodiscover.xml
    mail4.hq.pharm.com https://mail.pharm.com/Autodiscover/Autodiscover.xml
    mbox2.hq.pharm.com https://mail.pharm.com/Autodiscover/Autodiscover.xml

    Вот get-receiveconnector

    Identity                                                                                                 TlsCertificateName
    --------                                                                                                 ------------------
    mbox1\Default MBOX1
    mbox1\Client Proxy MBOX1
    cas2\Default Frontend CAS2                                                                               <I>CN=GeoTrust RSA CA 2018, OU=www.digicert.com, O=DigiCert
    cas2\Outbound Proxy Frontend CAS2
    cas2\Client Frontend CAS2                                                                                <I>CN=GeoTrust RSA CA 2018, OU=www.digicert.com, O=DigiCert
    cas1\Default Frontend CAS1                                                                               <I>CN=GeoTrust RSA CA 2018, OU=www.digicert.com, O=DigiCert
    cas1\Outbound Proxy Frontend CAS1
    cas1\Client Frontend CAS1                                                                                <I>CN=GeoTrust RSA CA 2018, OU=www.digicert.com, O=DigiCert
    MAIL4\Default Frontend MAIL4                                                                             <I>CN=GeoTrust RSA CA 2018, OU=www.digicert.com, O=DigiCert
    MAIL4\Outbound Proxy Frontend MAIL4
    MAIL4\Client Frontend MAIL4                                                                              <I>CN=GeoTrust RSA CA 2018, OU=www.digicert.com, O=DigiCert
    mbox3\Default MBOX3
    mbox3\Client Proxy MBOX3
    mbox2\Default MBOX2
    mbox2\Client Proxy MBOX2
    mbox2\Default Frontend MBOX2                                                                             <I>CN=GeoTrust RSA CA 2018, OU=www.digicert.com, O=DigiCert
    mbox2\Outbound Proxy Frontend MBOX2
    mbox2\Client Frontend MBOX2                                                                              <I>CN=GeoTrust RSA CA 2018, OU=www.digicert.com, O=DigiCert
    

    22 ноября 2018 г. 12:01
  • Когда в аутлуке вылетает ошибка, там можно просмотреть сертификат, а также на самом окне ошибке сверху слева видно имя, по которому идет подключение. Проверьте тот ли сертификат выплевывается, а также посмотрите имя, по которому идет подключение.
    22 ноября 2018 г. 12:21
  • Пока ошибка у меня и у еще одного (как минимум) сотрудника появлялась один раз. У меня ошибка с номером была при запуске почты, а так же один раз у меня (и у сотрудника) во время работы. Окно, с тремя проверками, где либо галка, либо крест. Крест был в последнем пункте, который про соответствие имени сервера сертификату, которым сервер представляется. Верхние две были в порядке. Если сертификат не тот, то крест появляется в первом пункте, в котором написано что сертификат выдан ненадежным источником (если он самоподписанный), а судя по тому окну, которое было, сертификат был от GeoTrust.

    После сообщения об ошибке у сотрудника, я отключил все соединители получения на новом сервере. После этого ошибка появилась уже у меня. 

    Я сразу не додумался сделать скрин, а сейчас повторные запуски и переподключение через трей не приводят к повторному появлению окна. Но не думаю что эта ошибка пропала совсем.


    22 ноября 2018 г. 12:39
  • Возможно нужна еще какая-то настройка, но я нигде не могу найти такой же ситуации как у меня - чтобы сертификат выдавался на  третий уровень и имел вид *.domain.com и внешний адрес почты имел вид mail.domain.com, при этом все внутренние серверы находились на четвером уровне и имели вид *.*.domain.com
    22 ноября 2018 г. 13:07
  • Сейчас включил коннекторы обратно и пару раз перезашел в outlook и еще пару раз переподключился в трее. Пока ошибки не было. Есть подозрение что ошибка появлялась в период с момента запуска сервера и до момента когда новые ссылки вступили в силу.

    22 ноября 2018 г. 18:30
  • Сейчас включил коннекторы обратно и пару раз перезашел в outlook и еще пару раз переподключился в трее. Пока ошибки не было. Есть подозрение что ошибка появлялась в период с момента запуска сервера и до момента когда новые ссылки вступили в силу.

    а вы рестартовали iis? может кэши обновиться не успели
    22 ноября 2018 г. 19:36
  • Да, несколько раз. После обновления сертификата и после обновления uri autodiscover. Но похоже что ошибка появилась где-то между всеми действиями. Сегодня еще помониторю, если проблем не будет, то закрою тему.
    23 ноября 2018 г. 4:55
  • Покажите вывод команды:

    Get-OutlookProvider | ft Identity,CertPrincipalName -AutoSize

    Проблем с вайлдкардом у вас быть не должно, это совершенно нормальный сертификат. Но вот CertPrincipalName возможно изменить придется. Хотя у вас ведь как-то работало до этого

    23 ноября 2018 г. 6:57
  • Проблема осталась актуальной. Перенес себя в базу на новом сервере и теперь эта ошибка появляется при каждом запуске outllook

    Identity CertPrincipalName
    -------- -----------------
    EXCH     msstd:mail.pharm.com
    EXPR     msstd:mail.pharm.com
    WEB

    Есть предположение что смотреть нужно в сторону DNS.

    =UPD=

    Сегодня я развернул еще один сервер и перенес себя туда, а одного коллегу в сервер, который развернул вчера. Вот пока что есть ошибки, связанные с новым сервером, а по старому ни ошибок сертификата, ни ошибок прокси нет.

    Подождем еще немного.

    23 ноября 2018 г. 7:11
  • А разве CertPrincipalName должен быть не msstd:*.pharm.com для вайлдкарда?
    23 ноября 2018 г. 7:43
  • Думаю что в моем случае разницы нет. Все виртуальные каталоги и autodiscover ссылаются на mail.pharm.com. А реальное имя серверов все равно относится к четвертому уровню, а на него вайлкард уже не распространяется.

    =UPD=

    Вот сейчас сделал repadmin /syncall и ошибка пропала и на сервере, который развернул сегодня. В который переместил свой ящик. Похоже что просто долго проходила синхронизация между контроллерами.

    23 ноября 2018 г. 7:48
  • А разве * не заменяет mail? В ошибке был указан конкретно сервер mbox4.hq.pharm.com, на имя mail.pharm.com жалоб со стороны Outlook не было.
    msstd, если я правильно понимаю, относится к ссылке в Outlook Anywhere. У меня на всех серверах так же стоит mail.pharm.com
    23 ноября 2018 г. 7:59
  • Вроде как не заменяет. Но спешите сейчас все менять, надо понять как у вас все работало раньше.

    Скрины ошибок бы получить...

    23 ноября 2018 г. 8:16
  • Так уже все ок. На mbox2, который поднимал вчера, еще вчера вечером ошибка пропала. На новом mbox4 ошибка пропала через 2 часа после установки и запуска repadmin /syncall. Тестовая группа из двух юзеров логинится, отправляет/принимает почту, autodiscover работает. Осталось только POP, IMAP проверить и можно запускать остальных юзеров понемногу.

    Как я выше писал в отредактированном комментарии, видимо проблема была в долгом обновлении данных на кд после изменения настроек на серверах exchange...или как-то так.


    • Изменено Валера2 23 ноября 2018 г. 8:27
    • Помечено в качестве ответа Валера2 26 ноября 2018 г. 11:22
    23 ноября 2018 г. 8:21
  • Это понятно, но аутлук по виртуальным каталогам не цепляется в вашем случае, он лезет на SCP. Потом он получает сертификат, в котором видит строчку *.pharm.com, а в настройках - mail.pharm.com (msstd:mail.pharm.com). Собственно в этом несовпадении и проблема. А на локальные имена эксчей ему пофиг

          Не очень вас понял. Этот msstd:mail.pharm.com видят же только при доступе извне (т.к. The CertPrincipalName parameter specifies the Secure Sockets Layer (SSL) certificate principal name required for connecting to Exchange from an external location.), а внутри уже берут из SCP.

          Уточните, пожалуйста, зачем в данном случае вообще задавать CertPrincipalName? Что это даёт?

    23 ноября 2018 г. 8:30
  • Мне казалось, что проблемы есть вообще у всех юзеров (изнутри или снаружи - не важно). В сообщении действительно перепутал - удалю, чтобы не вводить в заблуждение. Благодарю за внимательность. Тем не менее, какая-то ручная настройка OutlookProvider все же производилась, потому что CertPrincipalName вроде бы пустой по дефолту.
    • Изменено Egor Vasilev 23 ноября 2018 г. 8:40
    23 ноября 2018 г. 8:39
  • Мне казалось, что проблемы есть вообще у всех юзеров (изнутри или снаружи - не важно). В сообщении действительно перепутал - удалю, чтобы не вводить в заблуждение. Благодарю за внимательность. Тем не менее, какая-то ручная настройка OutlookProvider все же производилась, потому что CertPrincipalName вроде бы пустой по дефолту.

          Да вот мне тоже интересен смысл этой настройки. 

          Валерий, может вы поясните? С Exch10 случаем не мигрировали перед этим?

          P.S. Априори он пустой.
    23 ноября 2018 г. 8:45
  • Подрядчики до меня мигрировали с Exch 2007 на 2013. Видимо от 2007 осталось.
    23 ноября 2018 г. 8:53