新證書安裝後的 Outlook SSL 錯誤
最近用新的萬用字元證書替換了我們 Exchange 2010 機器上的 SSL 證書。分配服務,將所有 URL 重新配置為相同的外部和內部訪問(以前的證書是帶有 .local 域名的 SAN 證書,由於它們不再可用,我們不得不更改它),設置拆分 DNS,以便內部和外部客戶端全部使用相同的 DNS 名稱進行訪問。
一切都按預期工作,除了 Outlook 客戶端收到不匹配的證書錯誤…似乎伺服器正在向客戶端呈現 server.domain.local FQDN,並且 SSL 為 *.domain.com 它不匹配…
我已經按照我發現的所有指南/文章確保所有 URL 都設置正確並且都指向相同的外部 DNS 名稱。內部自動發現也可以工作並通過(我們沒有將其設置為在外部自動發現,但任何地方的 Outlook 都可以在手動配置時正常執行,這已經過測試)
這個問題讓我感到困惑的是,新創建的配置文件/帳戶沒有這個問題,所以它似乎更像是 Outlook 配置文件問題而不是伺服器問題。我可以打開 Outlook 並使用我以前配置的配置文件,但我收到 SSL 不匹配錯誤。如果我創建一個新的 Outlook 配置文件並在其中設置我的帳戶,則根本沒有 SSL 錯誤。
不確定是否有人遇到過這個問題,但任何建議/幫助將不勝感激……雖然重建 Outlook 配置文件確實解決了這個問題,但 25 - 30 個使用者並不完全是我想做的事情….這不是應該做的事情….提前感謝您的任何回复/幫助。
黏土
編輯 -
我的問題與引用的 Outlook 安全警報問題不太相似……但更喜歡這個 - 設置客戶端訪問伺服器等後的 Outlook/Exchange 證書錯誤……屬性……這個似乎與我的問題幾乎相同…… . 遺憾的是它沒有答案
我在遷移到 Exchange 2013 時遇到了同樣的問題,需要替換 Exchange 2010 上的 SSL 證書並配置 OA 以通過 Exchange 2013 啟用代理。避免桌面上彈出證書的解決方案是導入 Outlook 2013 GPO 模板並為自動發現啟用 GPO排除LastKnownGoodUrl。
Outlook 2013 的新功能是在啟動時儲存最後已知的良好 url 和處理連接的順序是罪魁禍首:)
根據您在上面所做的評論,我想為您提供一個清晰的圖片,說明您需要驗證什麼才能使環境正常工作。我將涵蓋所有方面,所以你可能已經有了一些工作。1. 確保您在 Exchange 伺服器上安裝了“RPC over HTTP”並正常執行(例如,在伺服器啟動時可以看到相應的事件日誌。
由於您已將 SSL 證書替換為萬用字元,因此您需要決定如何在內部網路中引用 Exchange 伺服器,為了舉例,我們將 fqdn 和 mail 設為 mail.domain.com為 netbios 名稱。
執行以下 CMD-let 以查找並設置虛擬目錄透視圖的正確資訊:
Exchange 控制面板: Get-ecpVirtualDirectory -Server 郵件 | 設置-ecpVirtualDirectory -InternalURL https://mail.domain.com/ecp -ExternalURL https://mail.domain.com/ecp
Get-ECPVirtualDirectory - 伺服器郵件 | 內部 URL、外部 URL
Outlook Web App: Get-OwaVirtualDirectory -Server 郵件 | 設置-OwaVirtualDirectory -InternalURL https://mail.domain.com/owa -ExternalURL https://mail.domain.com/owa
Get-OWAVirtualDirectory -Server 郵件 | Fl 內部網址,外部網址
EWS(Exchange Web 服務): Get-WebservicesVirtualDirectory -Server 郵件 | 設置-WebservicesVirtualDirectory -InternalURL https://mail.domain.com/EWS/Exchange.asmx -ExternalURL https://mail.domain.com/EWS/Exchange.asmx
Get-WebservicesVirtualDirectory -Server mail |Fl internalURL,ExternalURL
自動發現: Set-ClientAccessServer 郵件-AutodiscoverServiceInternalUri https://mail.domain.com/Autodiscover/Autodiscover.xml
Get-ClientAccessServer 郵件 | FL AutodiscoverServiceInternalUri
ActiveSync: Get-ActiveSyncVirtualDirectory -Server 郵件 | Set-ActiveSyncVirtualDirectory -InternalURL https://mail.domain.com/Microsoft-Server-ActiveSync -ExternalURL https://mail.domain.com/Microsoft-Server-ActiveSync
Get-ActiveSyncVirtualDirectory - 伺服器郵件 | 內部 URL、外部 URL
離線通訊錄: Get-OABVirtualDirectory -Server mail | 設置-OABVirtualDirectory -InternalUrl https://mail.domain.com/OAB -ExternalURL https://mail.domain.com/OAB
Get-OABVirtualDirectory - 伺服器郵件 | 內部 URL、外部 URL
OutlookAnywhere: Set-OutlookAnywhere -Identity mail\Rpc(預設網站)“-InternalHostname mail.domain.com -ExternalHostName mail.domain.com -InternalClientAuthenticationMethod ntlm -InternalClientsRequireSsl: $ True -ExternalClientAuthenticationMethod Basic -ExternalClientsRequireSsl: $ 真的
Get-OutlookAnywhere - 身份郵件\rpc(預設網站)" |fl InternalHostName,InternalClientAuthenticationMethod,InternalClientsRequiressl, ExternalHostName,ExternalClientAuthenticationMethod,ExternalClientsRequiressl
在上面的腳本之後執行
iisreset /restart,記住將 mail 替換為伺服器的實際 netbios 名稱,並將 mail.domain.com 替換為 Exchange 伺服器的實際 fqdn。關於 Outlook 提供程序,請參見此處:http: //blogs.technet.com/b/exchange/archive/2008/09/29/3406352.aspx
如果您有任何問題,請告訴我。