none
Проблемы с сертификатом RRS feed

  • Вопрос

  • Мы используем Exchange Server 2010. Кроме основного домена (maindom.com) мы имеем пользователей почтовых ящиков, адреса которых находятся в другом домене (secdom.ru).

    Для доступа используются клиенты Outlook версий 2010 и 2013. Для организации доступа с клиентских компьютеров внутри организации и за ее пределами мы выпустили сертификат от компании Verizon (Symantec), обслуживающий имена mail.maindom.com и autodiscover.maindom.com.

    Для настройки работы службы autodiscover я воспользовался статьей Exchange 2010 Multi-Tenant AutoDiscover Service (http://social.technet.microsoft.com/wiki/contents/articles/6818.exchange-2010-multi-tenant-autodiscover-service.aspx). Из этой статьи я воспользовался методом создания записи SRV в DNS.

    Первоначально меня удивило, что при настройке клиента все равно появляется предупреждение, что имя сертификата безопасности недопустимо или не соответствует имени сайта. После ответа Да, через некоторое время появляется запрос разрешения перенаправления на необходимый сайт. После запуска клиента Outlook больше предупреждений не возникает.

    Однако имеется несколько клиентов, которые продолжают получать сообщения с предупреждением об отсутствии имени autodiscover.secdom.ru в сертификате. Проверил, на клиентах стоят все выпущенные исправления.

    Сталкивался кто-нибудь с такой проблемой, и как заставить клиента больше не выдавать предупреждений?

    5 марта 2015 г. 9:39

Ответы

  • Добрый день!

    Дело в том, что Outlook при автообнаружении проверяет SRV запись в последнюю очередь. До этого по Https он пытается зайти на адрес autodiscover.secdom.ru. Если для нее прописана А или CNAME запись, будет выполнена попытка подключения и, соответственно, ошибка сертификата. В статье этот порядок есть:

    1. Autodiscover posts to https://testorg1.org/Autodiscover/Autodiscover.xml. This fails. 
    2. Autodiscover posts to https://autodiscover.testorg1.org/Autodiscover/Autodiscover.xml. This fails. 
    3. Autodiscover posts to http://autodiscover.testorg1.org/Autodiscover/Autodiscover.xml This fails. 
    4. Autodiscover performs the following redirect check using the looking for SRV record: 
    5. Autodiscover uses DNS SRV lookup for _autodiscover._tcp.testorg1.com, and then "mail.contoso.com" is returned. 
    6. Outlook asks permission from the user to continue with Autodiscover to post to https://mail.contoso.com/autodiscover/autodiscover.xml. 
    7. Autodiscover's POST request is successfully posted to https://mail.contoso.com/autodiscover/autodiscover.xml. 

    Удалите запись  autodiscover.secdom.ru из DNS и попробуйте подключиться снова.

    13 марта 2015 г. 11:16

Все ответы

  • Привет,

    Проблемные клиенты находятся за пределами организаций?


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    6 марта 2015 г. 6:29
    Модератор
  • Проблемные клиенты находятся внутри организации.

    6 марта 2015 г. 7:29
  • Добрый день!

    Дело в том, что Outlook при автообнаружении проверяет SRV запись в последнюю очередь. До этого по Https он пытается зайти на адрес autodiscover.secdom.ru. Если для нее прописана А или CNAME запись, будет выполнена попытка подключения и, соответственно, ошибка сертификата. В статье этот порядок есть:

    1. Autodiscover posts to https://testorg1.org/Autodiscover/Autodiscover.xml. This fails. 
    2. Autodiscover posts to https://autodiscover.testorg1.org/Autodiscover/Autodiscover.xml. This fails. 
    3. Autodiscover posts to http://autodiscover.testorg1.org/Autodiscover/Autodiscover.xml This fails. 
    4. Autodiscover performs the following redirect check using the looking for SRV record: 
    5. Autodiscover uses DNS SRV lookup for _autodiscover._tcp.testorg1.com, and then "mail.contoso.com" is returned. 
    6. Outlook asks permission from the user to continue with Autodiscover to post to https://mail.contoso.com/autodiscover/autodiscover.xml. 
    7. Autodiscover's POST request is successfully posted to https://mail.contoso.com/autodiscover/autodiscover.xml. 

    Удалите запись  autodiscover.secdom.ru из DNS и попробуйте подключиться снова.

    13 марта 2015 г. 11:16