none
Проблема сертификата Exchange 2010 RRS feed

  • Вопрос

  • Добрый день! Недавно установил и настроил Exchange 2010. Все работает, письма ходят туда, сюда. OWA прекрасно работает, но тут возникла проблема. Периодически выходит сообщение об ошибке, которое ни на что не влияет, кроме лишнего нажатия кнопки ДА.

    Как пример я изменил название домена. В локалке адрес exchange.domane.ru, а для внешки mail.нашсайт.ru

    При просмотре сертификата, который выдал ошибку можно увидеть следующую картину:

    Помогите, а то бесит уже!

    12 марта 2013 г. 7:38

Ответы

  • у вас сертификат не wildcard.

    Subject            : CN=domain.ru, OU=Все, O="ООО ""****""", L=****, S=****, C=RU

    правильно должно быть так:

    Subject            : CN=*.domain.ru, OU=Все, O="ООО ""****""", L=****, S=****, C=RU

    Как это сделать много где написано.

    Первая попавшаяся сслыка на русском от Богомолова Алексея

    http://www.alexxhost.ru/2012/05/wildcard-ssl-exchange-2010.html

    • Помечено в качестве ответа juvantusik 18 марта 2013 г. 6:25
    14 марта 2013 г. 5:49
  • Значит, так.

    Ошибка, которая возникает в первом посте, вызвана тем, что клиент в какой-то момент пытается подключится к серверу exchange.da.ru (IP - 85.10.219.146) - не вашему локальному, а тому, который находится в интернете, и для которого это имя зарегистрировано надлежащим образом. По крайней мере, сертификат, который вызывает ошибку, принадлежит именно этому узлу (проверьте из дома и убедитесь).

    У вас же, насколько я понимаю, сервер exchange.da.ru находится чисто во внутреннем домене AD с именем da.ru, и IP адрес у него другой.

    Если проблема возникает для внутренних клиентов, то корень проблемы - в том, что клиенты по какой-то причине используют для разрешения имен серверы DNS, не знающие о вашем домене AD (т.е., на практике - серверы DNS не на контроллерах домена). Чтобы устранить проблему - меняйте настройки таких клиентов так, чтобы они использовали только серверы DNS на КД.

    Если проблема возникает для внешних клиентов, то надо разбираться в настройках виртуальных директорий - где в ExternalURL не прописан mail.diall.ru и в результате вылазит ссылка на exchange.da.ru.

    Проверяйте их командами

    Get-XXXVirtualDirectory | ft server,externalurl

    где XXX - одно из: Autodiscover, Ecp, OAB, OWA, WebServices (ну и можно еще, для порядка - ActiveSync ).

    PS И уточните, скриншот из какой программы сделан в исходном сообщении - Outlook или браузер (и версию тоже уточните).


    Слава России!

    • Помечено в качестве ответа juvantusik 18 марта 2013 г. 6:26
    14 марта 2013 г. 20:38

Все ответы

  • День добрый.

    Set-OutlookProvider -Identity EXPR -CertPrincipalName msstd:*.domain.ru


    MCITP. Знание - не уменьшает нашей глупости.

    12 марта 2013 г. 7:54
    Модератор
  • Имя сертификата (пусть даже выдан wildcard сертификат) должно соответствовать имени домена:

    т.е. сертификат выписан на имя *.domain.ru если FQDN OWA например https://mail.domain.ru

    12 марта 2013 г. 10:25
  • Вот хорошо написано

    http://www.msexchange.org/articles-tutorials/exchange-server-2010/management-administration/managing-certificates-exchange-server-2010-part2.html

    http://www.msexchange.org/articles-tutorials/exchange-server-2010/management-administration/managing-certificates-exchange-server-2010-part3.htmlособо обратите внимание на Certificate Domains

    12 марта 2013 г. 10:34
  • День добрый.

    Set-OutlookProvider -Identity EXPR -CertPrincipalName msstd:*.domain.ru


    MCITP. Знание - не уменьшает нашей глупости.

    К сожалению не помогло. Периодически появляется.

    13 марта 2013 г. 10:43
  • Имя сертификата (пусть даже выдан wildcard сертификат) должно соответствовать имени домена:

    т.е. сертификат выписан на имя *.domain.ru если FQDN OWA например https://mail.domain.ru


    Да вроде соответствует, но не помогает. По статьям уже все делал =(
    13 марта 2013 г. 10:44
  • Значит у вас CAS не полностью настроен.

    MCITP. Знание - не уменьшает нашей глупости.

    13 марта 2013 г. 10:48
    Модератор
  • У вас же явно ошибка говорит о том, что имя сертификата не соответствует имени узла.

    В этом и только в этом ошибка.

    13 марта 2013 г. 11:44
  • Дайте вывод команд

    Get-ExchangeCertificate | fl

    и

    Get-OwaVirtualDirectory -server имясервераCAS | fl

    (имя домена не обязательно)


    • Изменено Artem Gusev HCG 13 марта 2013 г. 11:56 при чем здесь AS? ;)
    13 марта 2013 г. 11:50
  • Test-OutlookWebServices | FL

    MCITP. Знание - не уменьшает нашей глупости.

    13 марта 2013 г. 13:34
    Модератор
  • Get-ExchangeCertificate | fl выдает:


    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
                         ule, System.Security.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {diall.ru, exchange.da.ru, mail.diall.ru, autodiscover.da.ru, autodiscover.diall.ru}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=da-EXCHANGE-CA, DC=da, DC=ru
    NotAfter           : 04.03.2015 20:02:15
    NotBefore          : 04.03.2013 20:02:15
    PublicKeySize      : 2048
    RootCAType         : Registry
    SerialNumber       : 56D84744000000000003
    Services           : POP, IIS, SMTP
    Status             : Valid
    Subject            : CN=diall.ru, OU=Все, O="ООО ""ДИАЛЛ АЛЬЯНС""", L=Саратов, S=Саратовская область, C=RU
    Thumbprint         : E4D6FBAEEF42D1CE26C583EC89FC0EA4C3FFEAE3

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
                         ule, System.Security.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {Exchange, Exchange.da.ru}
    HasPrivateKey      : True
    IsSelfSigned       : True
    Issuer             : CN=Exchange
    NotAfter           : 01.03.2018 11:42:01
    NotBefore          : 01.03.2013 11:42:01
    PublicKeySize      : 2048
    RootCAType         : None
    SerialNumber       : 1ABF3DC76AF953884F75723DE1276613
    Services           : IMAP, SMTP
    Status             : Valid
    Subject            : CN=Exchange
    Thumbprint         : 7E07E17C78DF1C9F331AC2C1C4EFC5913FC9D0C5

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessR
                         ule, System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAcc
                         essRule}
    CertificateDomains : {Exchange, Exchange.da.ru}
    HasPrivateKey      : True
    IsSelfSigned       : True
    Issuer             : CN=Exchange
    NotAfter           : 03.02.2018 19:33:11
    NotBefore          : 03.02.2013 19:33:11
    PublicKeySize      : 2048
    RootCAType         : None
    SerialNumber       : 62D9BBB3DEA49C99474D88AA31168F1A
    Services           : IMAP, SMTP
    Status             : Valid
    Subject            : CN=Exchange
    Thumbprint         : E4A1740FE8CC6952F549B43108B3B2855A7210F8


    Get-OwaVirtualDirectory -server имясервераCAS | fl выдает:



    RunspaceId                                          : 750d898f-5a90-4683-9b5c-c1174868c499
    DirectFileAccessOnPublicComputersEnabled            : True
    DirectFileAccessOnPrivateComputersEnabled           : True
    WebReadyDocumentViewingOnPublicComputersEnabled     : True
    WebReadyDocumentViewingOnPrivateComputersEnabled    : True
    ForceWebReadyDocumentViewingFirstOnPublicComputers  : False
    ForceWebReadyDocumentViewingFirstOnPrivateComputers : False
    RemoteDocumentsActionForUnknownServers              : Block
    ActionForUnknownFileAndMIMETypes                    : ForceSave
    WebReadyFileTypes                                   : {.xlsx, .pptx, .docx, .xls, .rtf, .ppt, .pps, .pdf, .dot, .doc}
    WebReadyMimeTypes                                   : {application/vnd.openxmlformats-officedocument.presentationml.pre
                                                          sentation, application/vnd.openxmlformats-officedocument.wordproc
                                                          essingml.document, application/vnd.openxmlformats-officedocument.
                                                          spreadsheetml.sheet, application/vnd.ms-powerpoint, application/x
                                                          -mspowerpoint, application/vnd.ms-excel, application/x-msexcel, a
                                                          pplication/msword, application/pdf}
    WebReadyDocumentViewingForAllSupportedTypes         : True
    WebReadyDocumentViewingSupportedMimeTypes           : {application/msword, application/vnd.ms-excel, application/x-msex
                                                          cel, application/vnd.ms-powerpoint, application/x-mspowerpoint, a
                                                          pplication/pdf, application/vnd.openxmlformats-officedocument.wor
                                                          dprocessingml.document, application/vnd.openxmlformats-officedocu
                                                          ment.spreadsheetml.sheet, application/vnd.openxmlformats-officedo
                                                          cument.presentationml.presentation}
    WebReadyDocumentViewingSupportedFileTypes           : {.doc, .dot, .rtf, .xls, .ppt, .pps, .pdf, .docx, .xlsx, .pptx}
    AllowedFileTypes                                    : {.rpmsg, .xlsx, .xlsm, .xlsb, .tiff, .pptx, .pptm, .ppsx, .ppsm,
                                                          .docx, .docm, .zip, .xls, .wmv, .wma, .wav...}
    AllowedMimeTypes                                    : {image/jpeg, image/png, image/gif, image/bmp}
    ForceSaveFileTypes                                  : {.vsmacros, .ps2xml, .ps1xml, .mshxml, .gadget, .psc2, .psc1, .as
                                                          px, .wsh, .wsf, .wsc, .vsw, .vst, .vss, .vbs, .vbe...}
    ForceSaveMimeTypes                                  : {Application/x-shockwave-flash, Application/octet-stream, Applica
                                                          tion/futuresplash, Application/x-director}
    BlockedFileTypes                                    : {.vsmacros, .msh2xml, .msh1xml, .ps2xml, .ps1xml, .mshxml, .gadge
                                                          t, .mhtml, .psc2, .psc1, .msh2, .msh1, .aspx, .xml, .wsh, .wsf...
                                                          }
    BlockedMimeTypes                                    : {application/x-javascript, application/javascript, application/ms
                                                          access, x-internet-signup, text/javascript, application/xml, appl
                                                          ication/prg, application/hta, text/scriplet, text/xml}
    RemoteDocumentsAllowedServers                       : {}
    RemoteDocumentsBlockedServers                       : {}
    RemoteDocumentsInternalDomainSuffixList             : {}
    FolderPathname                                      :
    Url                                                 : {}
    LogonFormat                                         : FullDomain
    ClientAuthCleanupLevel                              : High
    FilterWebBeaconsAndHtmlForms                        : UserFilterChoice
    NotificationInterval                                : 120
    DefaultTheme                                        :
    UserContextTimeout                                  : 60
    ExchwebProxyDestination                             :
    VirtualDirectoryType                                :
    OwaVersion                                          : Exchange2010
    ServerName                                          : EXCHANGE
    InstantMessagingCertificateThumbprint               :
    InstantMessagingServerName                          :
    RedirectToOptimalOWAServer                          : True
    DefaultClientLanguage                               : 0
    LogonAndErrorLanguage                               : 0
    UseGB18030                                          : False
    UseISO885915                                        : False
    OutboundCharset                                     : AutoDetect
    GlobalAddressListEnabled                            : True
    OrganizationEnabled                                 : True
    ExplicitLogonEnabled                                : True
    OWALightEnabled                                     : True
    DelegateAccessEnabled                               : True
    IRMEnabled                                          : True
    CalendarEnabled                                     : True
    ContactsEnabled                                     : True
    TasksEnabled                                        : True
    JournalEnabled                                      : True
    NotesEnabled                                        : True
    RemindersAndNotificationsEnabled                    : True
    PremiumClientEnabled                                : True
    SpellCheckerEnabled                                 : True
    SearchFoldersEnabled                                : True
    SignaturesEnabled                                   : True
    ThemeSelectionEnabled                               : True
    JunkEmailEnabled                                    : True
    UMIntegrationEnabled                                : True
    WSSAccessOnPublicComputersEnabled                   : True
    WSSAccessOnPrivateComputersEnabled                  : True
    ChangePasswordEnabled                               : True
    UNCAccessOnPublicComputersEnabled                   : True
    UNCAccessOnPrivateComputersEnabled                  : True
    ActiveSyncIntegrationEnabled                        : True
    AllAddressListsEnabled                              : True
    RulesEnabled                                        : True
    PublicFoldersEnabled                                : True
    SMimeEnabled                                        : True
    RecoverDeletedItemsEnabled                          : True
    InstantMessagingEnabled                             : True
    TextMessagingEnabled                                : True
    ForceSaveAttachmentFilteringEnabled                 : False
    SilverlightEnabled                                  : True
    CalendarPublishingEnabled                           : True
    OWAMiniEnabled                                      : True
    InstantMessagingType                                : None
    Exchange2003Url                                     :
    FailbackUrl                                         :
    LegacyRedirectType                                  : Silent
    CrossSiteRedirectType                               : Manual
    Name                                                : owa (Default Web Site)
    InternalAuthenticationMethods                       : {Basic, Fba}
    MetabasePath                                        : IIS://Exchange.da.ru/W3SVC/1/ROOT/owa
    BasicAuthentication                                 : True
    WindowsAuthentication                               : False
    DigestAuthentication                                : False
    FormsAuthentication                                 : True
    LiveIdAuthentication                                : False
    DefaultDomain                                       :
    GzipLevel                                           : High
    WebSite                                             : Default Web Site
    DisplayName                                         : owa
    Path                                                : C:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\owa
    ExtendedProtectionTokenChecking                     : None
    ExtendedProtectionFlags                             : {}
    ExtendedProtectionSPNList                           : {}
    Server                                              : EXCHANGE
    InternalUrl                                         : https://exchange.da.ru/owa
    ExternalUrl                                         : https://mail.diall.ru/owa
    ExternalAuthenticationMethods                       : {Fba}
    AdminDisplayName                                    :
    ExchangeVersion                                     : 0.10 (14.0.100.0)
    DistinguishedName                                   : CN=owa (Default Web Site),CN=HTTP,CN=Protocols,CN=EXCHANGE,CN=Ser
                                                          vers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Admini
                                                          strative Groups,CN=DA,CN=Microsoft Exchange,CN=Services,CN=Config
                                                          uration,DC=da,DC=ru
    Identity                                            : EXCHANGE\owa (Default Web Site)
    Guid                                                : f5c7ccb6-f984-4b2e-9064-39e069156fe5
    ObjectCategory                                      : da.ru/Configuration/Schema/ms-Exch-OWA-Virtual-Directory
    ObjectClass                                         : {top, msExchVirtualDirectory, msExchOWAVirtualDirectory}
    WhenChanged                                         : 03.02.2013 20:20:43
    WhenCreated                                         : 03.02.2013 19:36:53
    WhenChangedUTC                                      : 03.02.2013 16:20:43
    WhenCreatedUTC                                      : 03.02.2013 15:36:53
    OrganizationId                                      :
    OriginatingServer                                   : FSERVER.da.ru
    IsValid                                             : True


    13 марта 2013 г. 17:27
  • у вас сертификат не wildcard.

    Subject            : CN=domain.ru, OU=Все, O="ООО ""****""", L=****, S=****, C=RU

    правильно должно быть так:

    Subject            : CN=*.domain.ru, OU=Все, O="ООО ""****""", L=****, S=****, C=RU

    Как это сделать много где написано.

    Первая попавшаяся сслыка на русском от Богомолова Алексея

    http://www.alexxhost.ru/2012/05/wildcard-ssl-exchange-2010.html

    • Помечено в качестве ответа juvantusik 18 марта 2013 г. 6:25
    14 марта 2013 г. 5:49
  • Т.е. получается что сертификат ограничен domain.ru а по факту люди цепляются к имени *.domain.ru и из-за этого ошибка выходит?
    14 марта 2013 г. 6:59
  • Да. У вас сертификат выдан на domain.ru

    пользователи подключаются к mail.domain.ru а сертификат на domain.ru поэтому ошибка.

    Если сертификат будет выдан на mail.domain.ru или *.domain.ru ошибки не будет.

    т.к. у вас разное имя для OWA внутри сети и снаружи - правильно выписывать wildcard сертификат на имя *.domain.ru


    14 марта 2013 г. 7:03
  • Вот как бы исправить старый сертификат не прибегаю к созданию нового =) В той статье я такого не увидел. Но по-моему это единственный более правильный способ, новый сертификат.
    14 марта 2013 г. 7:09
  • Вот как бы исправить старый сертификат не прибегаю к созданию нового =) В той статье я такого не увидел. Но по-моему это единственный более правильный способ, новый сертификат.

    исправить никак. Только выписывать новый сертификат.
    14 марта 2013 г. 7:12
  • Не помогло. Теперь эта ошибка выходит еще чаще. Мне кажется что проблема в несовпадении имен локального и внешнего адресов для почты. Т.е. пользюки находятся в домене с одним названием (da) а сертификат на diall
    14 марта 2013 г. 8:26
  • Если вы хотите применять один сертификат, как внутри организации так и снаружи, вам надо создать Split DNS и настроить внутренние имена CAS и CAS Array.

    MCITP. Знание - не уменьшает нашей глупости.

    14 марта 2013 г. 8:42
    Модератор
  • Вы почту через TMG публикуете?

    Если да, то используйте 2 сертификата. Один на TMG для внешних пользователей, второй на CAS, для внутренних.

    14 марта 2013 г. 9:15
  • Нет, пока не используем. Я тут подумал что для пользователей из внешки достаточно будет заходить на OWA
    14 марта 2013 г. 9:51
  • Выход может быть в использовании Subject Alternative Name:

    http://www.dflt.ru/articles/networks/certificwtiya-v-exchange-2010

    14 марта 2013 г. 10:09
  • SAN использовал. Это был мой первый вариант событий. Но к сожалению это не помогло.

    Единственное что у меня стоит на Exchange, это Forefront Protection for Exchange. Но я не думаю что он на сертификат влияет

    • Изменено juvantusik 14 марта 2013 г. 19:43
    14 марта 2013 г. 13:59
  • Значит, так.

    Ошибка, которая возникает в первом посте, вызвана тем, что клиент в какой-то момент пытается подключится к серверу exchange.da.ru (IP - 85.10.219.146) - не вашему локальному, а тому, который находится в интернете, и для которого это имя зарегистрировано надлежащим образом. По крайней мере, сертификат, который вызывает ошибку, принадлежит именно этому узлу (проверьте из дома и убедитесь).

    У вас же, насколько я понимаю, сервер exchange.da.ru находится чисто во внутреннем домене AD с именем da.ru, и IP адрес у него другой.

    Если проблема возникает для внутренних клиентов, то корень проблемы - в том, что клиенты по какой-то причине используют для разрешения имен серверы DNS, не знающие о вашем домене AD (т.е., на практике - серверы DNS не на контроллерах домена). Чтобы устранить проблему - меняйте настройки таких клиентов так, чтобы они использовали только серверы DNS на КД.

    Если проблема возникает для внешних клиентов, то надо разбираться в настройках виртуальных директорий - где в ExternalURL не прописан mail.diall.ru и в результате вылазит ссылка на exchange.da.ru.

    Проверяйте их командами

    Get-XXXVirtualDirectory | ft server,externalurl

    где XXX - одно из: Autodiscover, Ecp, OAB, OWA, WebServices (ну и можно еще, для порядка - ActiveSync ).

    PS И уточните, скриншот из какой программы сделан в исходном сообщении - Outlook или браузер (и версию тоже уточните).


    Слава России!

    • Помечено в качестве ответа juvantusik 18 марта 2013 г. 6:26
    14 марта 2013 г. 20:38
  • В таком случае, я предполагаю, надо на ДНС серваке создать еще одну ДНС зону для exchange.da.ru?
    15 марта 2013 г. 6:07

  • PS И уточните, скриншот из какой программы сделан в исходном сообщении - Outlook или браузер (и версию тоже уточните).


    Слава России!

    Скрин сделан из локального компа в Outlook 2007
    15 марта 2013 г. 8:29
  • В таком случае, я предполагаю, надо на ДНС серваке создать еще одну ДНС зону для exchange.da.ru?

    Если da.ru - это не имя вашего домена AD, то да, стоит сделать именно так. Если это - имя домена AD, то ничего делать не надо - КД и так будет отвечать, как полномочный сервер, на запросы имен из зоны домена.

    В любом случае, что надо сделать - это проверить настройки серверов DNS в подключениях на клиенте (ipconfig /all в помощь), и убрать оттуда все лишние серверы DNS (типовые ошибки - в качестве серверов DNS указаны серверы DNS провайдера и/или шлюз в интернет)


    Слава России!

    15 марта 2013 г. 9:34
  • ДНС работают в норме. da.ru это имя домена. Но иногда пингуя его пингуется другой (внешний) IP
    16 марта 2013 г. 14:12
  • Теоретически возможен, конечно еще один сценарий - обращение к exchange.da.ru пересылаются на прокси-сервер, который испольует для разрешения имен DNS другой сервер, нежели КД (чтобы избежать этого, следуете включить exchange.da.ru в список исключений в Internet Explorer, для которых прокси-сервер не используется). Но раз у Вас это имя разрешается неправильно и в команде ping, то проблема, похоже, существует именно на клиенте. Поэтому в то, что у Вас "DNS работают в норме", я не верю. Выкладывайте выдачу ipconfig /all с проблемного клиента, чтобы убедиться, что он настроен правильно.

    PS Интересующее нас имя - это именно exchange.da.ru. Все проверки рекомендую выполнять именно для него.


    Слава России!


    • Изменено M.V.V. _ 16 марта 2013 г. 15:14
    16 марта 2013 г. 15:14
  • Все заработало. Забыл ранее отписаться. ДНС на серваке работало нормально без ошибок, но иногда пару компов словно не находили местный ДНС и лезли наружу.

    Теперь второй вопрос. Так как имя моего домена и имя домена для внешки не совпадают, у меня не хочет нормально работать Outlook Anywhere. Если сижу дома и настраиваю Exchange, после нажатия кнопки "проверка имени" выходит ошибка:

    Обнаружена ошибка сертификата безопасности прокси-сервера. Имя сертификата безопасности не действительно или не соответствует имени конечного узла mail.domain1.ru

    Outlook не может выполнить подключение к прокси-серверу. (Код ошибки 10)

    Сертификаты созданы с полем альтернативных имен:

    Autodiscover.domain.ru

    mail.domain.ru

    Autodiscover.domain1.ru

    mail.domain1.ru




    • Изменено juvantusik 29 марта 2013 г. 11:09
    29 марта 2013 г. 11:00