none
outlook启动时连接微软服务器的问题 RRS feed

  • 问题

  • 各位好,我在outlook启动的时候通过抓包查看,发现outlook启动会去连一些微软的服务器进行证书验证,而不是直接连接我颁发的服务器证书,请问这个正常吗?

    或者问下,我在内网环境不能正确获取到正确的证书,该如何处理下?

    • 已编辑 Kay Ma 2019年6月3日 4:57
    2019年6月3日 4:54

答案

  • 您好,

    很抱歉耽误了一些时间。

    我注意到您提到的“经过认证以后的,可以ping通我们这个虚拟地址”。

    证书的使用的流程是,客户端从服务器端获取证书,之后将服务器端获取的证书和自己电脑本地的信任列表进行对比,从而确认证书是否收到信任。 通过图片来看,我们可以了解到,没有验证的时候,Outlook客户端无法连接到服务器,所以无法获取到服务器端的证书,从而尝试使用一张由“https self signed certificate”颁发的自签名证书。从而出现证书不匹配的问题。

    关于这一张证书,我没有搜索到相关的信息,但是,我认为这一个问题是由于客户端无法与服务器进行沟通引起的,您可以尝试修改您的验证系统,使得客户端在没有验证的时候也可以连接到服务器,这样就可以使用服务器端的证书进行验证。

    此致,

    Kyle Xu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    • 已标记为答案 Kay Ma 2019年6月17日 4:58
    2019年6月17日 3:18
    版主

全部回复

  • 您好,

    我们需要您提供一下以下的信息,以进行进一步的排错:

    请问您的Exchange服务器是使用自己内部搭建的CA证书吗?

    您Outlook上具体的证书报错是什么?能否提供一张相关的截图?

    当您访问OWA或者ECP的时候是否有证书报错?

    此致,

    Kyle Xu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年6月3日 7:38
    版主
  • 您好,

    1、使用的是公网证书。

    2、如截图。

    3、访问OWA或ECP没有错误。

    这个是在内网环境,没有办法获取外部互联网信息的情况下出现的,如果可以访问外部互联网信息,就不会出现这本证书。

    2019年6月3日 7:55
  • 您好,

    请问是否是在内网登录Outlook就会有这一个证书弹窗,在公网使用Outlook就不会有该证书弹窗?还是说无论什么网络都会出现这一个证书弹窗?

    请问您使用的是什么版本的Exchange服务器以及Outlook?您可以检查一下以下配置:

    Get-ExchangeCertificate | fl Subject,CertificateDomains,Services
    Get-ClientAccessServer | Select Name,AutoDiscoverServiceInternalUri
    Get-OutlookAnywhere | Select Server,InternalHostName,ExternalHostName
    Get-MAPIVirtualDirectory | Select Server,InternalURL,ExternalURL
    Get-OABVirtualDirectory | Select Server,InternalURL,ExternalURL
    Get-WebServicesVirtualDirectory | Select server,InternalURL,ExternalURL
    Get-OutlookProvider

    您可以把以上命令的截图发送到这一个邮箱中:ibsexc@microsoft.com(如果可以的话,请您把证书弹窗以及查看证书的截图一起发送到这一个邮箱中)

    此致,

    Kyle Xu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年6月3日 9:33
    版主
  • 您好,

    已经邮件发送了。

    2019年6月4日 7:09
  • 您好,

    从您发送的图片中,我发现了以下的问题:

    1. 您如果使用了一张三方证书的话,那么不会出现证书弹窗中的第一个“证书不信任“的错误

    2. 您并没有一张证书上分配了IIS服务。Exchange的虚拟目录都是基于IIS的,所以您将IIS分配到一张证书上

    3. 您各个服务的URL并没有包含是证书中,比如mail, **cas02v-**等。当Outlook访问到这些服务的时候就会出现证书弹窗中的第三个错误。

    所以请统一您各个服务所使用的URL,比如都设置成“mail.domain.com”, 并确保使用的URL被包含在您使用的证书中。

    此致,

    Kyle Xu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年6月4日 9:51
    版主
  • 感谢 答复,

    1、我是用了一张第三方的证书,但是老的自签名这书也没有删除掉。

    2、这个抱歉,由于我没有指定服务器,所以截图 的是邮箱服务器的证书,我查看了客户端访问服务器的证书,是有包含IIS服务的。

    3、URL统一这个问题,我们三方证书也是包含了各个服务器的主机名的,按理说不会有证书错误这个事情。不过我已经按您的建议,进行了统一。

    另外,我在进行证书服务重新分配的时候,提示这个警告,请问是什么原因?

    2019年6月5日 3:05
  • 您好,

    重新调整证书后,并重启各个服务器上IIS服务。如果还是有问题,请您把正确的证书情况,以及现在遇到的报错重新发送到之前的邮箱中。(专门的收集邮箱,所以请保留域名信息,不要遮挡)

    同时,我想和您确认:

    您第一次在论坛中提供的图片显示证书是被信任的,但是您发送给我们的邮件中证书没有被信任,请问哪一个才是您遇到的情况呢?

    您说的内网,是只是连接内部网络还是电脑加了内部的域?

    此致,

    Kyle Xu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年6月10日 8:18
    版主
  • 您好,

    我后面有发送邮件到上述的邮箱,请问您这边有收到吗?

    2019年6月13日 8:34
  • 您好,

    邮件收到了,我会进一步分析,给您提供进一步的排错。

    此致,

    Kyle Xu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2019年6月13日 8:39
    版主
  • 您好,

    很抱歉耽误了一些时间。

    我注意到您提到的“经过认证以后的,可以ping通我们这个虚拟地址”。

    证书的使用的流程是,客户端从服务器端获取证书,之后将服务器端获取的证书和自己电脑本地的信任列表进行对比,从而确认证书是否收到信任。 通过图片来看,我们可以了解到,没有验证的时候,Outlook客户端无法连接到服务器,所以无法获取到服务器端的证书,从而尝试使用一张由“https self signed certificate”颁发的自签名证书。从而出现证书不匹配的问题。

    关于这一张证书,我没有搜索到相关的信息,但是,我认为这一个问题是由于客户端无法与服务器进行沟通引起的,您可以尝试修改您的验证系统,使得客户端在没有验证的时候也可以连接到服务器,这样就可以使用服务器端的证书进行验证。

    此致,

    Kyle Xu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    • 已标记为答案 Kay Ma 2019年6月17日 4:58
    2019年6月17日 3:18
    版主