none
Exchange 2013: Слетели сертификаты RRS feed

  • Вопрос

  • Добрый день!

    Почта встала. Есть 2 Exchange 2013. Для одного выпустил сертификат CA. Назначил службам IMAP,POP,IIS,SMTP

    Перестали подключаться ящики в Outlook. Выдает ошибку сертификата прокси-сервера. Если указываю 2-й сервер Exchange, то все равно. Как все сернуть обратно или выпустить правильный сертификат. Их нужно выпускать для обоих?

    Помогите, пожалуйста.

    Спасибо.

    23 апреля 2014 г. 7:55

Все ответы

  • И еще на том, где сертификат менял PS теперь не запускается:

    New-PSSession : [exch2014.pchrb.new.ru] Сбой подключения к удаленному серверу exch2014.pchrb.new.ru. Сообщение об ошибк
    е: [ClientAccessServer=EXCH2014,BackEndServer=exch2014.pchrb.new.ru,RequestId=2cf323a1-ab05-412a-b5a8-b65811511b89,Time
    Stamp=23.04.2014 7:56:44]  Подробности см. в разделе справки "about_Remote_Troubleshooting".
    строка:1 знак:1
    + New-PSSession -ConnectionURI "$connectionUri" -ConfigurationName Microsoft.Excha ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin
       gTransportException
        + FullyQualifiedErrorId : -2144108477,PSSessionOpenFailed

    23 апреля 2014 г. 7:58
  • Создайте запрос  на сертификат, убедитесь что в нем присутствуют все необходимые имена, например:

    mail.contoso.com

    autodiscover.contoso.com

    "имя cas сервера" 

    Сертификат можно выпустить для одного  CAS сервера , затем экспортировать его (обязательно) с приватном ключом и импортивароть на оставшийся cas сервер.  Далее  назначить сервисы на сертификат

    23 апреля 2014 г. 8:19
  • В сертификате должны быть имена всех CAS серверов?
    23 апреля 2014 г. 8:24
  • Выпустил сертификат на одном, где прописал 2 имени 2-го тоже.

    Эспорт-Импорт, теперь ничего не работает. ECP- пустая страница. PS - на обоих с ошибками.

    23 апреля 2014 г. 8:52
  • На IIS после выпуска сертификата, на Back End не привязался. После привязки заработало. PS заработал.

    Но Outlook все время ругается при запуске на сертификат. Что имя недопустимо.

    Можете объяснить, как и где используются сертификаты?



    • Изменено pseer36 23 апреля 2014 г. 13:26
    23 апреля 2014 г. 9:39
  • Каким образом выбираются сертификаты? Можно конкретных пользователей, привязать к определенному CAS, в зависимости где у них ящики?  


    • Изменено pseer36 23 апреля 2014 г. 11:21
    23 апреля 2014 г. 10:44
  • На IIS после выпуска сертификата, на Back End не привязался. После привязки заработало. PS заработал.

    Но Outlook все время ругается при запуске на сертификат. Что имя недопустимо.


    Имя, к которому подключаетесь, в сертификате присутствует? На пользвательских компьютерах установлен сертифкат корневого центра , который выпускал вам сертификат для exchange ? 
    23 апреля 2014 г. 13:14
  • Имя конечно присутствует. Сертификат выпускал доменный СА. Зачем на компьютеры еще сертификаты ставить? Все машины в домене.
    23 апреля 2014 г. 13:30
  • Имя конечно присутствует. Сертификат выпускал доменный СА. Зачем на компьютеры еще сертификаты ставить? Все машины в домене. Сейчас ситуация такая:

    1. Запросил и выпустил сертификат для каждого Exchange.

    2. Ничего не менял в запросе, все по умолчанию.

    3. В IIS на одном сервере привязал его сертификат, на другом его.

    4.Теперь, когда в настройках прокси Outlook ставлю один сервер, все нормально подключается, пароль не спрашивает, не ругается. Когда ставлю 2-й, то при подключении через раз спрашивает пароль.

    Как все таки правильно сделать, раз и навсегда?


    • Изменено pseer36 23 апреля 2014 г. 13:48
    23 апреля 2014 г. 13:35
  •  Пришлите вывод get-outlookanywhere | fl *external*
    23 апреля 2014 г. 14:11
  •  У нас наружу не смотрит. Все внутри.

    С 1-го:

    [PS] C:\Windows\system32>Get-OutlookAnywhere | fl *external*


    ExternalHostname                   :
    ExternalClientAuthenticationMethod : Negotiate
    ExternalClientsRequireSsl          : False

    ExternalHostname                   :
    ExternalClientAuthenticationMethod : Negotiate
    ExternalClientsRequireSsl          : False

    Со 2-го:

    [PS] C:\Windows\system32>Get-OutlookAnywhere | fl *external*
    Выполняется создание нового сеанса для неявного удаленного взаимодействия команды "Get-OutlookAnywhere"...


    ExternalHostname                   :
    ExternalClientAuthenticationMethod : Negotiate
    ExternalClientsRequireSsl          : False

    ExternalHostname                   :
    ExternalClientAuthenticationMethod : Negotiate
    ExternalClientsRequireSsl          : False

    23 апреля 2014 г. 18:32
  • Внутренний сделал на обоих одинаково. Через exchmsk

    [PS] C:\Windows\system32>Get-OutlookAnywhere | fl *internal*


    InternalHostname                   : exchmsk.pchrb.new.ru
    InternalClientAuthenticationMethod : Ntlm
    InternalClientsRequireSsl          : True

    InternalHostname                   : exchmsk.pchrb.new.ru
    InternalClientAuthenticationMethod : Ntlm
    InternalClientsRequireSsl          : True

    [PS] C:\Windows\system32>Get-OutlookAnywhere | fl *internal*


    InternalHostname                   : exchmsk.pchrb.new.ru
    InternalClientAuthenticationMethod : Ntlm
    InternalClientsRequireSsl          : True

    InternalHostname                   : exchmsk.pchrb.new.ru
    InternalClientAuthenticationMethod : Ntlm
    InternalClientsRequireSsl          : True


    • Изменено pseer36 23 апреля 2014 г. 18:47
    23 апреля 2014 г. 18:46
  • 2 дня проработало нормально. Сейчас опять стал пароль спрашивать.
    25 апреля 2014 г. 9:28
  • Причем странно, в настройках подключения прокси-Exchange стояла галка первая с именем сервера, галка использовать только SSL и имя , указанное в сертификате не стояла. Все работало 2 дня. Сегодня перестало. Поставил галка : Использовать SSL и имя , указанное в сертификате-заработало. Очень не понятное поведение.
    25 апреля 2014 г. 9:50