Outlook 2010 關於 Exchange 2007 伺服器上不再存在的舊證書的警告
我們最近對許多 Exchange 虛擬目錄的內部 URL 進行了更改。在此更改之後,我們看到最終使用者從 Outlook 報告錯誤,指出證書已過期,因此無法驗證。
更重要的是,出現在這些錯誤中的證書不再存在於伺服器上。它是使用 Exchange 命令行管理程序中的 Remove-ExchangeCertificate Cmdlet 刪除的。我還驗證了它不再存在於 cert:\LocalMachine\My 的證書儲存中,在任何 IIS 配置中也不可見。此外,瀏覽到 OWA 會返回正確的證書。我不明白伺服器如何可能不再提供此證書。
這個證書還有其他地方可以隱藏嗎?Outlook可能涉及某種記憶體?任何見解將不勝感激。
我似乎通過從 IIS 配置中刪除舊的、已停止的網站解決了這個問題。
為了詳細說明,我將稍微擴展一下配置:
- 有問題的伺服器有兩個 IP 地址。我們暫時稱它們為 192.168.100.200 和 192.168.100.201。
- 伺服器上的主要網站被命名為“預設網站”,這通常是這種情況。
- 配置中還有一個名為“OWA”的第二個網站。
- “預設網站”站點的 SSL 綁定是:type=https, Host Name= $ null, IP Address=*, Binding Information= $ 空值。
- 前面提到的綁定配置為使用目前的 SSL 證書。
第二個名為“OWA”的站點未使用並已停止,但它綁定到 192.168.100.201(這比“預設網站”站點的 SSL 綁定更具體)。它配置了使用該
Get-ExchangeCertificate命令時不可見的舊證書。當使用者通過 192.168.100.201 訪問 Web 資源時,IIS 不知何故仍在提供在停止的“OWA”網站中配置的舊證書,而不是在“預設網站”網站中配置的證書。從 IIS 配置中刪除“OWA”網站似乎已經解決了這個問題。我仍然有一些擔憂,因為我讀過的所有內容都表明 IIS 不可能提供證書儲存中不存在的證書。情況似乎並非如此,需要進一步研究。此外,我計劃圍繞 IIS 中的這種(錯誤)配置進行一些測試。在我看來,停止的網站不應該對另一個網站提供的證書產生任何影響。
我的第一個想法是這個證書來自其他地方。我過去曾看到它來自代理。然而,我要做的第一件事是自動發現測試。
按住 CTRL 的同時右鍵點擊系統托盤中的 Outlook 圖示。選擇測試電子郵件自動配置。
取消選擇第二個和第三個選項並執行測試。
查看它嘗試過的 URL 的日誌。確保它們解析為伺服器的內部 IP 地址。然後檢查結果並確認其他 URL 也在那裡解析。
如果他們錯了,那就糾正他們。http://semb.ee/hostnames2007
西蒙。