none
exchange2016,iis设置问题 RRS feed

  • 问题

  • 邮件服务器使用内部ca颁发exchange证书,该证书的crl地址为ca服务器地址,并未对公网开放映射

    1、outlook anywhere 对应iis目录站点是下图箭头所指rpc?还是其他的?

    2、为何在公网使用outlook anywhere访问邮件服务器在crl地址对公网不可达的情况下还是成功?crl并非是强制检验?

    2020年10月9日 9:28

答案

  • 您好,

    抱歉回复得晚了。

    根据这篇维基文章中的描述:Active Directory Certificate Services - AIA , CRL and OCSP

    With the help of AD Sites, client can download CRL from the nearest Domain Controller.

    以及Certificate Revocation Checking in Windows Vista and Windows Server 2008白皮书中的描述:

    AD DS enables publication of CRLs to all domain controllers in the forest

    推测仍然能连接的原因应该在于客户端能从AD服务器(域控服务器)下载到CRL。

    由于对于这方面的具体工作流程及原理不甚了解,所以很抱歉无法为您进一步地解答疑惑。

    此致,

    Kael Yao


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    • 已标记为答案 nelson2004 2020年10月16日 5:49
    2020年10月16日 5:38

全部回复

  • 您好,

    >>1、outlook anywhere 对应iis目录站点是下图箭头所指rpc?还是其他的?

    是的。Outlook Anywhere对应的目录是您截图中的rpc目录。

    >>2、为何在公网使用outlook anywhere访问邮件服务器在crl地址对公网不可达的情况下还是成功?crl并非是强制检验?

    请问您的内部ca使用的是ADCS(Active Directory Certificate Services)服务吗?

    如果是的话,由于是微软自身的证书服务,所以只要Exchange能够访问到内部CA,Outlook就可以通过Outlook Anywhere访问Exchange服务器。

    这方面应该是设计使然。

    如果使用的是第三方证书服务的话,则需要能在公网上完成crl检验。

    此致,

    Kael Yao


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com


    • 已编辑 Kael Yao 2020年10月12日 3:39
    • 已建议为答案 Kael Yao 2020年10月13日 1:04
    2020年10月12日 3:38
  • 感谢您的回答,我还有一个疑问

    iis中rpcwithcert 目录的作用是?按照字面理解为使用证书的rpc连接,该目录对应exchange什么功能?

    2020年10月12日 6:18
  • 您好,

    >>iis中rpcwithcert 目录的作用是?

    非常抱歉,我没有找到任何相关的官方文档对此有详细的说明。

    >>按照字面理解为使用证书的rpc连接,该目录对应exchange什么功能?

    通过我的搜索,推测此目录的作用可能为进行Outlook Anywhere的Smart Card认证。

    此致,

    Kael Yao


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com

    • 已编辑 Kael Yao 2020年10月12日 7:41
    • 已标记为答案 nelson2004 2020年10月13日 1:40
    • 取消答案标记 nelson2004 2020年10月14日 5:46
    2020年10月12日 7:40
  • 您好,关于您之前的回答,

    >>2、为何在公网使用outlook anywhere访问邮件服务器在crl地址对公网不可达的情况下还是成功?crl并非是强制检验?

    请问您的内部ca使用的是ADCS(Active Directory Certificate Services)服务吗?

    如果是的话,由于是微软自身的证书服务,所以只要Exchange能够访问到内部CA,Outlook就可以通过Outlook Anywhere访问Exchange服务器。

    这方面应该是设计使然。

    我在测试中关闭了ca服务器,outlook客户端依旧可以使用anywhere正常连接,照理说exchange与ca已经无法通信了。这是原因?

    2020年10月14日 5:47
  • 您好,

    这应该是Windows会在本地缓存CRL文件的原因。

    如果在本地不能找到缓存文件,才会重新进行检验。

    此致,

    Kael Yao


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com

    2020年10月14日 5:56
  • 你好

    我把ca服务器关闭后,在客户端和exchange server上使用certutil -urlcache * delete 命令清除crl缓存,打开outlook连接anywhere,依旧可以连接



    2020年10月14日 8:57
  • 您好,

    抱歉回复得晚了。

    根据这篇维基文章中的描述:Active Directory Certificate Services - AIA , CRL and OCSP

    With the help of AD Sites, client can download CRL from the nearest Domain Controller.

    以及Certificate Revocation Checking in Windows Vista and Windows Server 2008白皮书中的描述:

    AD DS enables publication of CRLs to all domain controllers in the forest

    推测仍然能连接的原因应该在于客户端能从AD服务器(域控服务器)下载到CRL。

    由于对于这方面的具体工作流程及原理不甚了解,所以很抱歉无法为您进一步地解答疑惑。

    此致,

    Kael Yao


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    • 已标记为答案 nelson2004 2020年10月16日 5:49
    2020年10月16日 5:38