none
Сертификат и Exchange 2016 RRS feed

  • Общие обсуждения

  • Добрый день!
    Проблема странная , каждый год мы перевыпускаем наш wildcard сертификат для Exchange 2016 Version 15.1 ‎(Build 1531.3)‎ но в этот раз мы столкнулись с такой проблемой:

    Когда клиент аутлук подключается не из сети компании ему предлагаю установить прошлогодний wildcard сертификат во всех других случаях проблем не обнаружено.

    Поиск по серийному номеру сертификата на серверах ничего не дает. Как найти источник, почему подставляется старый?

    19 ноября 2018 г. 6:48

Все ответы

  • Источник можно найти в логах подключения, может у вас сертификаты установлены не только на CAS, но и на балансировщиках перед ними? IIS рестартовали после установки нового wildcard?
    19 ноября 2018 г. 7:00
  • Все рестартовали , отдельных Cas серверов нет. 
    19 ноября 2018 г. 7:09
  • Все рестартовали , отдельных Cas серверов нет. 

    Может быть где-то публиковали сертификат? Может быть есть TMG?

    Проанализируйте подробно каким образом движется трафик от внутренних и от внешних юзеров. Для подключений снаружи подключения могут проходить балансировщики, сетевое оборудование, на которое они не попадают при коннекте изнутри локалки

    19 ноября 2018 г. 7:51
  • Нет балансировщиков , единственное есть  GFI MailEssentials на почтовых серверах. Но там не используется wildcard. GFI использует самовыпущеные сертификаты 
    19 ноября 2018 г. 8:18
  • Через https://testconnectivity.microsoft.com/ посмотрите что вернёт.

    Проблема только с одним внешним клиентом или со всеми?

    19 ноября 2018 г. 8:25
  • Нет балансировщиков , единственное есть  GFI MailEssentials на почтовых серверах. Но там не используется wildcard. GFI использует самовыпущеные сертификаты 

    Тогда ещё более банальный вопрос: а вы уверены, что внешние пользователи попадают именно на тот сервер, на котором вы сменили сертификат?

    Проверьте и перепроверьте все пробросы портов, разрешение днс-имен и т.п.

    В любом случае вашу инфраструктуру лучше всех знаете вы.

    19 ноября 2018 г. 8:25
  • Конечно на тот, серверов всего два. Все верно, так как почта работает , просто предупреждает что сертификат просрочен.
    19 ноября 2018 г. 8:42
  • SSL Offload выключен? Проблема у всех внешних клиентов Outlook?
    19 ноября 2018 г. 8:52
  • Включен, да у всех. Я думал про SSL Offloading , но ведь раньше несколько лет все было нормально. Структура сети не менялась.

    Отключил разгрузку SSL , не помогло. Может быть надо перегрузить сервера ?

    Сейчас обнаружили что и мобильные клиенты ругаются на сертификат.



    19 ноября 2018 г. 9:12
  • Через https://testconnectivity.microsoft.com/ посмотрите что вернёт.

     Там все нормально , сертификат его устроил
    19 ноября 2018 г. 11:23
  • Нет больше идей ?
    20 ноября 2018 г. 7:33
  • У ваших внешних юзеров вероятнее всего почта имеет вид username@domain.tld.

    Снаружи выполните команду nslookup domain.tld и покажите её вывод. В этом случае будет понятно куда долбится клиент. Это адреса, которые пробрасывают 443 порт на ваш эксч?

    27 ноября 2018 г. 10:01