none
Exchange 2013 и сертификаты ( самоподписной и покупной). RRS feed

  • Вопрос

  • Добрый день.

    Имеется следующая ситуация. Есть сервер Exchange 2013 на нем изначально был установлен самоподписной сертификат для клиентов outlook  развернутый с помощью групповых политик на компьютерах пользователей. Купили сертификат Geo Trust Business ID San для нужд работы мобильных устройств и пользователей в интернете (ActiveSync И Owa), установили на сервер Exchange и клиенты outlook на компьютерах пользователей внутренней сети сразу стали выдавать сообщение "Имя сертификата безопасности не допустимо или не соответствует имени сайта" по причине того что в покупном сертификате прописаны только внешние имена субъектов. Вопрос, как сделать так чтобы клиентам outlook внутренней сети выдавался самоподписной сертификат, а клиентам работающим через интернет с мобильных устройств или работающих через Owa выдавался покупной сертификат Geo Trust Business ID San. Сразу сообщу что ISA/TMG в организации нет.

    Заранее спасибо.

Ответы

  • Такая же проблема. 

    http://social.technet.microsoft.com/Forums/ru-RU/665260f9-d71e-4bee-8b7c-3a73bdf97858/-?forum=oldexch


    MCITP, PSLP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    Модератор

Все ответы

  • Если имя домена отличается от публичного имени домена (например, AD - domain.local, а SMTP - domain.ru), то в этом случае публичный сертификат (кстати, он Wildcard или SAN?). Использовать получится не всегда. Как правило в этом случае разворачивается внутренний центр сертификации (на любом сервере домена), выпускаются сертификаты Exchange, а сертификат СА политикой размещается в соответствующее хранилище всех компьютеров домена. Публичный же в этом случае используется для внешнего/мобильного доступа, причем в качестве публикующего сервера не обязательно должны быть ISA/TMG.

    Do not multiply entities beyond what is necessary

  • Да сертификат San. А ссылку на материал можете скинуть?
  • И действительно имена почтового и внутреннего доменов различаются.
  • Вот, получается что у вас публичный сертификат имеет CN, скажем, mail.domain.ru и дополнительные имена, скажем autodiscover.domain.ru, domain.ru, что-то-там. domain.ru. Так ведь? Создание запроса на сертификатразвертывание центра сертификацииприменение сертификата Exchange

    Do not multiply entities beyond what is necessary

  • Да, совершенно верно.
  • Создайте дополнительную зону в DNS , которая будет совпадать с именем внешнего сертификата. Например:

    Ваша внешняя зона contoso.com

    Внутренняя contoso.local 

    Во внутреннем домене создайте доп. зону contoso.com , которая будет разрешаться во внутренние адреса

    • Изменено budreev 8 мая 2014 г. 6:42
  • Добрый день.

    Имеется следующая ситуация. Есть сервер Exchange 2013 на нем изначально был установлен самоподписной сертификат для клиентов outlook  развернутый с помощью групповых политик на компьютерах пользователей. Купили сертификат Geo Trust Business ID San для нужд работы мобильных устройств и пользователей в интернете (ActiveSync И Owa), установили на сервер Exchange и клиенты outlook на компьютерах пользователей внутренней сети сразу стали выдавать сообщение "Имя сертификата безопасности не допустимо или не соответствует имени сайта" по причине того что в покупном сертификате прописаны только внешние имена субъектов. Вопрос, как сделать так чтобы клиентам outlook внутренней сети выдавался самоподписной сертификат, а клиентам работающим через интернет с мобильных устройств или работающих через Owa выдавался покупной сертификат Geo Trust Business ID San. Сразу сообщу что ISA/TMG в организации нет.

    Заранее спасибо.

    Не уверен что вы сможете назначить 2 разных сертификата одновременно на один и тот же сервис - IIS, который используется для подключения через outlook ,  activesync и owa
  • Создайте дополнительную зону в DNS , которая будет совпадать с именем внешнего сертификата. Например:

    Ваша внешняя зона contoso.com

    Внутренняя contoso.local 

    Во внутреннем домене создайте доп. зону contoso.com , которая будет разрешаться во внутренние адреса


    Пробовал, не помогло. при этом и внутренние пути виртуальных каталогов тоже прописывало как внешние.
  • А что же делать тогда?
  • Создайте дополнительную зону в DNS , которая будет совпадать с именем внешнего сертификата. Например:

    Ваша внешняя зона contoso.com

    Внутренняя contoso.local 

    Во внутреннем домене создайте доп. зону contoso.com , которая будет разрешаться во внутренние адреса


    Пробовал, не помогло. при этом и внутренние пути виртуальных каталогов тоже прописывало как внешние.
    Проверьте с помощью тестирования autodiscover в outlook , какой сервер для подключения вам отдается в конфигурации , а так же какие URLы. ПРоверьте их на наличие внутренних имен, которых нет в сертификате


    Правой клавише с зажатым CTRL по значку outlook в трее, тестирование autodiscover



    • Изменено budreev 8 мая 2014 г. 7:09
  • Вот xml рапорт:

    <?xml version="1.0" encoding="utf-8"?>
    <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006">
      <Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
        <User>
          <DisplayName>Системный администратор</DisplayName>
          <LegacyDN>/o=OSC VNIIHOLODMASH-HOLDING/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=e377474b75bc4befaa0611ed0229bb6</LegacyDN>
          <AutoDiscoverSMTPAddress>lenin@vhm.ru</AutoDiscoverSMTPAddress>
          <DeploymentId>17fc4676-2a25-4be6-898e-20c3491aa8b9</DeploymentId>
        </User>
        <Account>
          <AccountType>email</AccountType>
          <Action>settings</Action>
          <MicrosoftOnline>False</MicrosoftOnline>
          <Protocol>
            <Type>EXCH</Type>
            <Server>33a0fd2d-7a71-4d76-b85e-96c845b54c1f@vhm.ru</Server>
            <ServerDN>/o=OSC VNIIHOLODMASH-HOLDING/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=33a0fd2d-7a71-4d76-b85e-96c845b54c1f@vhm.ru</ServerDN>
            <ServerVersion>73C0834F</ServerVersion>
            <MdbDN>/o=OSC VNIIHOLODMASH-HOLDING/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=33a0fd2d-7a71-4d76-b85e-96c845b54c1f@vhm.ru/cn=Microsoft Private MDB</MdbDN>
            <PublicFolderServer>vhm.ru</PublicFolderServer>
            <AD>DC1.vhm.corp</AD>
            <ASUrl>https://mail.vhm.ru/EWS/Exchange.asmx</ASUrl>
            <EwsUrl>https://mail.vhm.ru/EWS/Exchange.asmx</EwsUrl>
            <EmwsUrl>https://mail.vhm.ru/EWS/Exchange.asmx</EmwsUrl>
            <EcpUrl>https://mail.vhm.ru/ecp/</EcpUrl>
            <EcpUrl-um>?rfr=olk&amp;p=customize/voicemail.aspx&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-um>
            <EcpUrl-aggr>?rfr=olk&amp;p=personalsettings/EmailSubscriptions.slab&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-aggr>
            <EcpUrl-mt>PersonalSettings/DeliveryReport.aspx?rfr=olk&amp;exsvurl=1&amp;IsOWA=&lt;IsOWA&gt;&amp;MsgID=&lt;MsgID&gt;&amp;Mbx=&lt;Mbx&gt;&amp;realm=vhm.corp</EcpUrl-mt>
            <EcpUrl-ret>?rfr=olk&amp;p=organize/retentionpolicytags.slab&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-ret>
            <EcpUrl-sms>?rfr=olk&amp;p=sms/textmessaging.slab&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-sms>
            <EcpUrl-publish>customize/calendarpublishing.slab?rfr=olk&amp;exsvurl=1&amp;FldID=&lt;FldID&gt;&amp;realm=vhm.corp</EcpUrl-publish>
            <EcpUrl-photo>PersonalSettings/EditAccount.aspx?rfr=olk&amp;chgPhoto=1&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-photo>
            <EcpUrl-extinstall>Extension/InstalledExtensions.slab?rfr=olk&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-extinstall>
            <OOFUrl>https://mail.vhm.ru/EWS/Exchange.asmx</OOFUrl>
            <UMUrl>https://mail.vhm.ru/EWS/UM2007Legacy.asmx</UMUrl>
            <OABUrl>https://mail.vhm.ru/OAB/df09a318-504b-4f7c-8a29-d2b8f6f143f0/</OABUrl>
            <ServerExclusiveConnect>off</ServerExclusiveConnect>
          </Protocol>
          <Protocol>
            <Type>EXPR</Type>
            <Server>vhm.ru</Server>
            <SSL>On</SSL>
            <AuthPackage>Ntlm</AuthPackage>
            <ASUrl>https://mail.vhm.ru/ews/exchange.asmx</ASUrl>
            <EwsUrl>https://mail.vhm.ru/ews/exchange.asmx</EwsUrl>
            <EmwsUrl>https://mail.vhm.ru/ews/exchange.asmx</EmwsUrl>
            <EcpUrl>https://mail.vhm.ru/ecp/</EcpUrl>
            <EcpUrl-um>?rfr=olk&amp;p=customize/voicemail.aspx&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-um>
            <EcpUrl-aggr>?rfr=olk&amp;p=personalsettings/EmailSubscriptions.slab&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-aggr>
            <EcpUrl-mt>PersonalSettings/DeliveryReport.aspx?rfr=olk&amp;exsvurl=1&amp;IsOWA=&lt;IsOWA&gt;&amp;MsgID=&lt;MsgID&gt;&amp;Mbx=&lt;Mbx&gt;&amp;realm=vhm.corp</EcpUrl-mt>
            <EcpUrl-ret>?rfr=olk&amp;p=organize/retentionpolicytags.slab&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-ret>
            <EcpUrl-sms>?rfr=olk&amp;p=sms/textmessaging.slab&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-sms>
            <EcpUrl-publish>customize/calendarpublishing.slab?rfr=olk&amp;exsvurl=1&amp;FldID=&lt;FldID&gt;&amp;realm=vhm.corp</EcpUrl-publish>
            <EcpUrl-photo>PersonalSettings/EditAccount.aspx?rfr=olk&amp;chgPhoto=1&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-photo>
            <EcpUrl-extinstall>Extension/InstalledExtensions.slab?rfr=olk&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-extinstall>
            <OOFUrl>https://mail.vhm.ru/ews/exchange.asmx</OOFUrl>
            <UMUrl>https://mail.vhm.ru/ews/UM2007Legacy.asmx</UMUrl>
            <OABUrl>https://mail.vhm.ru/OAB/df09a318-504b-4f7c-8a29-d2b8f6f143f0/</OABUrl>
            <ServerExclusiveConnect>on</ServerExclusiveConnect>
            <EwsPartnerUrl>https://mail.vhm.ru/ews/exchange.asmx</EwsPartnerUrl>
            <GroupingInformation>Default-First-Site-Name</GroupingInformation>
          </Protocol>
          <Protocol>
            <Type>WEB</Type>
            <Internal>
              <OWAUrl AuthenticationMethod="Basic, Fba">https://mail.vhm.ru/owa/</OWAUrl>
              <Protocol>
                <Type>EXCH</Type>
                <ASUrl>https://mail.vhm.ru/EWS/Exchange.asmx</ASUrl>
              </Protocol>
            </Internal>
            <External>
              <OWAUrl AuthenticationMethod="Fba">https://mail.vhm.ru/owa/</OWAUrl>
              <Protocol>
                <Type>EXPR</Type>
                <ASUrl>https://mail.vhm.ru/ews/exchange.asmx</ASUrl>
              </Protocol>
            </External>
          </Protocol>
          <Protocol>
            <Type>EXHTTP</Type>
            <Server>pidgin.vhm.corp</Server>
            <SSL>On</SSL>
            <AuthPackage>Ntlm</AuthPackage>
            <ASUrl>https://mail.vhm.ru/EWS/Exchange.asmx</ASUrl>
            <EwsUrl>https://mail.vhm.ru/EWS/Exchange.asmx</EwsUrl>
            <EmwsUrl>https://mail.vhm.ru/EWS/Exchange.asmx</EmwsUrl>
            <EcpUrl>https://mail.vhm.ru/ecp/</EcpUrl>
            <EcpUrl-um>?rfr=olk&amp;p=customize/voicemail.aspx&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-um>
            <EcpUrl-aggr>?rfr=olk&amp;p=personalsettings/EmailSubscriptions.slab&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-aggr>
            <EcpUrl-mt>PersonalSettings/DeliveryReport.aspx?rfr=olk&amp;exsvurl=1&amp;IsOWA=&lt;IsOWA&gt;&amp;MsgID=&lt;MsgID&gt;&amp;Mbx=&lt;Mbx&gt;&amp;realm=vhm.corp</EcpUrl-mt>
            <EcpUrl-ret>?rfr=olk&amp;p=organize/retentionpolicytags.slab&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-ret>
            <EcpUrl-sms>?rfr=olk&amp;p=sms/textmessaging.slab&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-sms>
            <EcpUrl-publish>customize/calendarpublishing.slab?rfr=olk&amp;exsvurl=1&amp;FldID=&lt;FldID&gt;&amp;realm=vhm.corp</EcpUrl-publish>
            <EcpUrl-photo>PersonalSettings/EditAccount.aspx?rfr=olk&amp;chgPhoto=1&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-photo>
            <EcpUrl-extinstall>Extension/InstalledExtensions.slab?rfr=olk&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-extinstall>
            <OOFUrl>https://mail.vhm.ru/EWS/Exchange.asmx</OOFUrl>
            <UMUrl>https://mail.vhm.ru/EWS/UM2007Legacy.asmx</UMUrl>
            <OABUrl>https://mail.vhm.ru/OAB/df09a318-504b-4f7c-8a29-d2b8f6f143f0/</OABUrl>
            <ServerExclusiveConnect>On</ServerExclusiveConnect>
          </Protocol>
          <Protocol>
            <Type>EXHTTP</Type>
            <Server>vhm.ru</Server>
            <SSL>On</SSL>
            <AuthPackage>Ntlm</AuthPackage>
            <ASUrl>https://mail.vhm.ru/ews/exchange.asmx</ASUrl>
            <EwsUrl>https://mail.vhm.ru/ews/exchange.asmx</EwsUrl>
            <EmwsUrl>https://mail.vhm.ru/ews/exchange.asmx</EmwsUrl>
            <EcpUrl>https://mail.vhm.ru/ecp/</EcpUrl>
            <EcpUrl-um>?rfr=olk&amp;p=customize/voicemail.aspx&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-um>
            <EcpUrl-aggr>?rfr=olk&amp;p=personalsettings/EmailSubscriptions.slab&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-aggr>
            <EcpUrl-mt>PersonalSettings/DeliveryReport.aspx?rfr=olk&amp;exsvurl=1&amp;IsOWA=&lt;IsOWA&gt;&amp;MsgID=&lt;MsgID&gt;&amp;Mbx=&lt;Mbx&gt;&amp;realm=vhm.corp</EcpUrl-mt>
            <EcpUrl-ret>?rfr=olk&amp;p=organize/retentionpolicytags.slab&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-ret>
            <EcpUrl-sms>?rfr=olk&amp;p=sms/textmessaging.slab&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-sms>
            <EcpUrl-publish>customize/calendarpublishing.slab?rfr=olk&amp;exsvurl=1&amp;FldID=&lt;FldID&gt;&amp;realm=vhm.corp</EcpUrl-publish>
            <EcpUrl-photo>PersonalSettings/EditAccount.aspx?rfr=olk&amp;chgPhoto=1&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-photo>
            <EcpUrl-extinstall>Extension/InstalledExtensions.slab?rfr=olk&amp;exsvurl=1&amp;realm=vhm.corp</EcpUrl-extinstall>
            <OOFUrl>https://mail.vhm.ru/ews/exchange.asmx</OOFUrl>
            <UMUrl>https://mail.vhm.ru/ews/UM2007Legacy.asmx</UMUrl>
            <OABUrl>https://mail.vhm.ru/OAB/df09a318-504b-4f7c-8a29-d2b8f6f143f0/</OABUrl>
            <ServerExclusiveConnect>On</ServerExclusiveConnect>
          </Protocol>
        </Account>
      </Response>
    </Autodiscover>

  • Пришлите вывод из закладки "Results"
  • Не могу, форум не позволяет, он сообщает что пока моя учетная запись не проверена, изображения я не могу выкладывать.
  • Зайлейте куда нибудь и пришлите ссылку на изображение
  • Вот.

    http://s020.radikal.ru/i718/1405/5c/303d054e08ee.jpg
    http://s020.radikal.ru/i714/1405/00/c339d9bead3d.jpg
    http://s020.radikal.ru/i718/1405/7b/d8095a65a44f.jpg
    http://s006.radikal.ru/i213/1405/12/5a3c5c68df6a.jpg
    http://s015.radikal.ru/i332/1405/9c/344b7647b8f9.jpg

  • Можно еще вывод команды:

    get-outlookanywhere | fl *external*

  • Вот.[PS] C:\Windows\system32>get-outlookanywhere | fl *external*


    ExternalHostname                   : vhm.ru
    ExternalClientAuthenticationMethod : Ntlm
    ExternalClientsRequireSsl          : True
  • get-outlookanywhere | fl *internal* 

    так же пришлите пож-ста 

  • Вот.

    [PS] C:\Windows\system32>get-outlookanywhere | fl *internal*


    InternalHostname                   : pidgin.vhm.corp
    InternalClientAuthenticationMethod : Ntlm
    InternalClientsRequireSsl          : True

  • Клиенты outlook подключаются на inernalHostname , которого нет в сертификате. В вашем случае я бы создал еще одну зону в домене vhm.corp , назвал бы ее vhm.ru(как и ваша внешняя зона). В новой зоне создал бы CNAME запись  mail.vhm.ru  которая указывала бы на почтовый сервер. Командой set-outlookanywhere   установил бы internalHostname mail.vhm.ru. После всех действий , проблема с сертификатом должна исчезнуть 

  • Создал cname запись вот ответ nslookup:

    C:\cmd>nslookup -type=cname mail.vhm.ru
    ╤хЁтхЁ:  dc.vhm.corp
    Address:  192.168.5.ХХ

    mail.vhm.ru     canonical name = pidgin.vhm.corp
    pidgin.vhm.corp internet address = 192.168.5.ХХХ

    И все равно вылазит это сообщение об неправильном сертификате, подскажите что еще можно сделать.

  • get-outlookanywhere | set-outlookanywhere -internalhostname mail.vhm.ru сделали? 
  • [PS] C:\Windows\system32>get-outlookanywhere | set-outlookanywhere -internalhostname mail.vhm.ru
    Для настройки функции "мобильный Outlook" с InternalHostname необходимо задать также параметр InternalClientsRequireSsl
    , чтобы указать, требуется ли SSL.
        + CategoryInfo          : InvalidArgument: (PIDGIN\Rpc (Default Web Site):ADObjectId) [Set-OutlookAnywhere], Argum
       entException
        + FullyQualifiedErrorId : [Server=PIDGIN,RequestId=a204fa6d-db23-4f65-8633-b08a2ff541ec,TimeStamp=08.05.2014 12:58
       :39] [FailureCategory=Cmdlet-ArgumentException] 404FFB45,Microsoft.Exchange.Management.SystemConfigurationTasks.Se
      tRpcHttp
        + PSComputerName        : pidgin.vhm.corp

  • get-outlookanywhere | set-outlookanywhere -internalhostname mail.vhm.ru -internalClientsRequireSSL $true
  • Сделал, но все равно выскакивает сообщение "Имя сертификата недопустимо или не соответствует имени сайта."
  • Пришлите еще раз лог проверки autodiscover
  • Вот, пожалуйста.

    http://s50.radikal.ru/i130/1405/54/11fc4330c074.jpg
    http://s004.radikal.ru/i207/1405/36/2cd22aefb4ce.jpg
    http://s020.radikal.ru/i709/1405/b3/42f44bd56655.jpg
    http://i038.radikal.ru/1405/a9/a4ee4c416173.jpg
    http://s52.radikal.ru/i137/1405/35/aa5462e01ca4.jpg

  • Кто нибудь мне поможет? Пожалуйста.
  • Такая же проблема. 

    http://social.technet.microsoft.com/Forums/ru-RU/665260f9-d71e-4bee-8b7c-3a73bdf97858/-?forum=oldexch


    MCITP, PSLP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    Модератор
  • Проблема решилась созданием дополнительной зоны совпадающей с внешней зоной нашего домена и прописыванием туда А записей сервера с внутренними ip адресами, а также настройкой внутреннего имени сервера таким же как и внешнее командлетом get-outlookanywhere | set-outlookanywhere -internalhostname. Прошу прощения что так поздно отписал.
    25 июня 2014 г. 6:36