none
Can`t access OWA or ECP after replacing microsoft-exchange-server-auth-cert via Set-AuthConfig RRS feed

  • Вопрос

  • Hello!

    We have 2 Exchange 2013 CU16 servers. One for CLA, another for MBX role. Also we use 3rd party signed cert for client connections (IIS). 

    Not far away I noticed event ID 2004 and 2005 in app log, so decided to renewing cert.

    After generating new self-signed cert via

    New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName “cn= Microsoft Exchange Server Auth Certificate” -DomainName “*.mydomain.local”,"*.mydomain.com" -IncludeAcceptedDomains -IncludeAutoDiscover -IncludeServerFQDN -FriendlyName “MSExchAuthCertificate” -Services SMTP

    and applying it via 

    Set-AuthConfig -NewCertificateThumbprint *** –NewCertificateEffectiveDate ***
    Set-AuthConfig –PublishCertificate -ClearPreviousCertificate

    I can`t access OWA or ECP.  After entering creds, OWA redirect me to logon page.

    Cert was deployed to both server (checked via get-exchangeCertificate on both servers).

    If i bind this new selfsigned cert on both servers` IIS, all works fine. With 3rd party cert, can`t access OWA or ECP.

    Any Ideas?

Ответы

Все ответы

  • Привет. Это русский форум, и мы здесь общаемся только на этом языке. Можете задать свой вопрос в англоязычной ветке форума.
  • окей, напишу на русском)

    у нас есть два сервера Exchange 2013 CU16. Куплен вайлдкард серт, всё работает (рнаботало)

    Нашёл в логах винды ошибку 2004 и 2005, про отсутсвие сертификата федерации. Решил поправить.

    Создал новый самоподписанный серт через

    New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName “cn= Microsoft Exchange Server Auth Certificate” -DomainName “*.mydomain.local”,"*.mydomain.com" -IncludeAcceptedDomains -IncludeAutoDiscover -IncludeServerFQDN -FriendlyName “MSExchAuthCertificate” -Services SMTP

    Затем применил его через Set-AuthConfig -NewCertificateThumbprint *** –NewCertificateEffectiveDate ***
    Set-AuthConfig –PublishCertificate -ClearPreviousCertificate

    После этого пропал доступ к OWA и ECP. При вводе кредов меня редиректит на страницу авторизации.

    Сертификат был распространен на оба сервера (проверил через Get-exchangeCertificate на обоих серверах)

    Если на IIS обоих серверов биндить этот самоподписанный серт, доступ к owa появлсяется. Если вернуть биндинги на сторонний подписанный серт, то доступ пропадает.

    Подскажите куда копнуть.

  • Ну вот, можете же, если захотите.

    Биндить его (федеративный) абсолютно не за чем на привязки, он просто должен быть. Вы проверьте, что назначен корректный сертификат (то, что и был ранее а не для федерации) через Enable-ExchangeCertificate на IIS, и что он же, этот сертификат висит в привязках в default site и backend.

  • биндил его ради теста.

    на данный момент на обоих IIS (на CAS и MBX) и на обоих сайтах (Default и BackEnd) на портах 443 и 444 привязка на корректный сертификат.

    Назначал через

    Enable-ExchangeCertificate -Service IIS -server CAS -Thumbprint ***

    Enable-ExchangeCertificate -Service IIS -server MBX -Thumbprint ***

    При этом доступа к OWA и ECP нет.

  • Fiddler запустить и смотреть что отдаёт страница, такие пока идеи.
  • что именно предоставить?
  • Так я у вас есть проблемы с федерацией (и есть ли вообще федерация)? Если нет, то верните старый сертификат на место и живите спокойно :) Ну или сгенерируйте его так:

    New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName “cn= Microsoft Exchange Server Auth Certificate” -DomainName “*.mydomain.local” -FriendlyName “Microsoft Exchange Server Auth Certificate” -Services SMTP

    Тут полное описание. 

    Не надо в него пихать все ваши внешние домены! Он используется для аутентификации серверов Exchange. 

    7 июля 2017 г. 10:58
  • У нас нет федерации. Полез из-за ошибок в логах. и старого сертификата тоже нет(

    Пытался откатиться на прошлый методом перебора (исходя из логики что данный серт должен быть на обоих серверах, сравнил серты с обоих серверов и нашел совпадение отпечатков у двух. Применял их через Set-AuthConfig, результат не дало)

    Так же пробовал генерить сертификат с указанием только локального домена. Не помогло(

    7 июля 2017 г. 11:42
  • больше идей нет?
    18 июля 2017 г. 9:57
  • Вы выполнили все действия, которые есть в инструкции, ссылка на которую выше?

    Так же можно проверить настройки виртуальных каталогов IIS:

    https://technet.microsoft.com/en-us/library/gg247612%28v=exchg.150%29.aspx?f=255&MSPPError=-2147217396

    Проверьте, чтобы для backend сайта (порт 444) использовался самозаверяющий сертификат с именем "Microsoft Exchange" (дефолтно).

    • Помечено в качестве ответа Dmitiry S 19 июля 2017 г. 10:36
    18 июля 2017 г. 10:23