none
Ошибка сертификата безопасности прокси-сервера RRS feed

  • Вопрос

  • Добрый день!

    При подключении на доменную рабочую станцию дополнительных учетных записей почты при загрузке Outlook появляется следующее сообщение. При закрытии всё продолжает корректно работать. Прошу помочь разобраться с проблемой.

    Этому предшествовала установка wildcard сертификата, привязка его ко всем службам.

    Обращение к серверу идет по одному имени внутри и извне, что позволяет соответствующая настройка ДНС (во внутреннем ДНС прописана зона). Настройка производилась по этой статье

    https://blog.bissquit.com/mail-servers/exchange-server/exchange-server-and-split-dns/


    Outlook Anywhere

    ServerName - системное имя сервера

    ExternalHostaneme, Internalhostname - имя сервера в ДНС

    InternalClientsRequireSsl          : False пришлось сделать эту настройку, так как при включении SSL доменные клиенты запрашивают пароль, при вводе его не принимают и не подключаются к серверу.

    SCP

    Name - системное имя сервера

    Fqdn - системное имя+домен AD

    AutoDiscoverServiceCN - системное имя сервера


    У доменных клиентов в сертификате фигурирует внутреннее имя сервера, а не имя, соответствующее сертификату.




    • Изменено dunizia 24 января 2020 г. 11:00
    24 января 2020 г. 7:24

Ответы

  • InternalHostname совпадает с именем в сертификате безопасности.

    В оповещении безопасности указано другое имя.

    Ищите, где ещё у вас это другое имя прописано - в информации AutoDiscover (см. Get-ClientAccessServer | fl, поле AutodiscoverServiceInternalUri) или в одном из InternalURL какой-либо виртуальной директории. Найдете - меняте на подходящее для сертификата (только смотрите, чтобы поменянное имя разрешалась во внутренний IP сервера).

    Слава России!

    30 января 2020 г. 15:58

Все ответы

  • Я понимаю ваше стремление к неразглашению информации, но то, что вы замазали все имена, препятствует пониманию того, что у вас происходит и не дает возможности помочь вам точно указать на ошибку.

    Так что придется вам самостоятельно посмотреть, попадает ли то имя сайта, которое указано в оповещении системы безопасности под шаблон имени сертификата, и не это ли это имя прописано в свойстве InternalHostName объекта настроек Outlook Anywhere?


    Слава России!

    24 января 2020 г. 15:48
  • InternalHostname совпадает с именем в сертификате безопасности.

    В оповещении безопасности указано другое имя.

    25 января 2020 г. 7:30
  • Значит имя не совпадает с сертификатом.

    Смотрите коннекторы, там есть имена для внешних подключений.

    Либо используйте разные сертификаты. Для внешних подключений вилдкартовский, для внутренних сертификат локального ЦС.

    30 января 2020 г. 10:55
  • Значит имя не совпадает с сертификатом.

    Смотрите коннекторы, там есть имена для внешних подключений.

    Либо используйте разные сертификаты. Для внешних подключений вилдкартовский, для внутренних сертификат локального ЦС.

          Расскажите, пожалуйста, как настроить 2 сертификата?
    30 января 2020 г. 11:07
  • Не удалось поменять имя сервера- произошли следующие ошибки:

    Set-ReceiveConnector
    Ошибка
    Ошибка:
    Если атрибут AuthMechanism соединителя получения имеет значение ExchangeServer, то для параметра FQDN соединителя получения необходимо установить одно из следующих значений: имя FQDN транспортного сервера "mail.mydomain.local", имя NetBIOS транспортного сервера "mail" или $null.

    30 января 2020 г. 11:27
  •      Расскажите, пожалуйста, как настроить 2 сертификата?

    На самом деле все не так просто. :)

    Нужно настроить коннекторы с указанием областей, к которым будут относиться коннекторы (например один к локальной сети 192.168.1.0/24), другой ко всем остальным сетям, указать на каких службах эти коннекторы будут работать. В коннекторах прописать нужный FQDN. В эксчэндж загрузить нужные сертификаты с нужными именами. Сертификаты привязать к нужным службам.

    Это очень кратко, так сказать сама суть.

    Для ТС, ознакомтесь со статьей: Configure Wildcard SSL Certificate for POP/IMAP on Exchange 2010 (PowerShell)

    Там хоть написано для 2010, но и для старших версий подойдет, вдруг поможет.

    30 января 2020 г. 13:22
  • Имя wild-card сертификата *.domain.ru (внешнее имя домена), а имя локального домена domain.local куда подключен exchange?
    30 января 2020 г. 13:27
  •      Расскажите, пожалуйста, как настроить 2 сертификата?

    На самом деле все не так просто. :)

    Нужно настроить коннекторы с указанием областей, к которым будут относиться коннекторы (например один к локальной сети 192.168.1.0/24), другой ко всем остальным сетям, указать на каких службах эти коннекторы будут работать. В коннекторах прописать нужный FQDN. В эксчэндж загрузить нужные сертификаты с нужными именами. Сертификаты привязать к нужным службам.

    Это очень кратко, так сказать сама суть.

    Для ТС, ознакомтесь со статьей: Configure Wildcard SSL Certificate for POP/IMAP on Exchange 2010 (PowerShell)

    Там хоть написано для 2010, но и для старших версий подойдет, вдруг поможет.

         А вы на production-системах так настраивали?
    30 января 2020 г. 13:35
  • Не удалось поменять имя сервера- произошли следующие ошибки:

    Set-ReceiveConnector
    Ошибка
    Ошибка:
    Если атрибут AuthMechanism соединителя получения имеет значение ExchangeServer, то для параметра FQDN соединителя получения необходимо установить одно из следующих значений: имя FQDN транспортного сервера "mail.mydomain.local", имя NetBIOS транспортного сервера "mail" или $null.

    Это, как я понимаю, другая проблема, да? Потому как клиентскому доступу коннекторы отношения не имеют - они относятся к компоненту транспорта электронной почты.

    Слава России!

    30 января 2020 г. 15:53
  • InternalHostname совпадает с именем в сертификате безопасности.

    В оповещении безопасности указано другое имя.

    Ищите, где ещё у вас это другое имя прописано - в информации AutoDiscover (см. Get-ClientAccessServer | fl, поле AutodiscoverServiceInternalUri) или в одном из InternalURL какой-либо виртуальной директории. Найдете - меняте на подходящее для сертификата (только смотрите, чтобы поменянное имя разрешалась во внутренний IP сервера).

    Слава России!

    30 января 2020 г. 15:58
  •          А вы на production-системах так настраивали?

    Нет, мне сеть досталась по наследству в которой имя локального домена и внешнего совпадают.

    Поэтому wild-card у меня работает и внутри и снаружи.

    31 января 2020 г. 5:16
  • Это, как я понимаю, другая проблема, да? Потому как клиентскому доступу коннекторы отношения не имеют - они относятся к компоненту транспорта электронной почты.

    Слава России!

    Не факт, коннекторы тоже имена подставляют. ТС слишком мало информации дает...
    31 января 2020 г. 5:16
  • Это, как я понимаю, другая проблема, да? Потому как клиентскому доступу коннекторы отношения не имеют - они относятся к компоненту транспорта электронной почты.


    Слава России!

    Не факт, коннекторы тоже имена подставляют. ТС слишком мало информации дает...
    Коннекторы к ошибке сертификата у ТС и клиентскому подключению Outlook вообще никакого отношения не имеют.
    31 января 2020 г. 6:21