在更新到 Exchange 2007 sp2 之后(是的,我知道已经很晚了),我在登录 Outlook 时遇到了问题。我看到以下消息...
替代文本 http://www.freeimagehosting.net/uploads/1960a40166.jpg
我在 Web 访问方面也遇到过类似的问题,由于我熟悉 IIS,所以这个问题很容易解决。但是我注意到服务器包含 autodiscover.mycompamy.com、exchange.mycompamy.com 等的多个密钥,升级到 SP2 后似乎不知道如何处理这个问题。
由于我有一个通配符 SSL,我认为删除所有其他证书是明智的,但是为了在打开 Outlook 时停止唠叨 - 我该怎么做?
答案1
从 EMS 运行 get-exchangecertificate 这将向您显示您的所有证书及其使用位置。在服务下,I 代表 IIS,应应用于您的通配符证书。如果不是,请复制通配符证书的指纹并运行以下命令:
启用交换证书-指纹<paste thumbprint here>-服务 IIS
然后再次尝试连接。
答案2
这看起来更像是 IIS/Exchange 上的配置错误,而不是 SP2 导致的实际问题;也许它只是将某些设置重置为默认值,从而导致这种行为。
您的屏幕截图显示,使用主机名“autodiscover.ad.unc.edu”调用自动发现服务;如果您单击那里的“查看证书”按钮,您可以查看实际使用了哪个证书,并查看它是否与调用的 URL 匹配。
此外,“autodiscover.ad.unc.edu”对我来说看起来像一个内部域(主域的子域,专门用于 AD);如果这是您实际应该使用的名称(是吗?),那么您的通配符证书可能不足以满足此要求,因为众所周知,许多浏览器无法正确处理二级子域(*.*.domain.com)的通配符证书。
答案3
显然,您的地址栏中的域名与网站上证书的通用名称或主题备用名称 (SAN) 字段不匹配。
例如http://www.ssltools.com/certificate_lookup/autodiscover.ad.unc.edu节目
通用名称:outlook.unc.edu
主题备用名称:outlook.unc.edu、autodiscover.ad.unc.edu、ad.unc.edu、outlook.ad.unc.edu、manning.outlook.unc.edu、franklin.outlook.unc.edu
发行人名称:DigiCert High Assurance CA-3
序列号:09:85:58:8e:02:1e:74:05:88:7b:11:cc:3e:0a:f6:0c
SHA1 指纹:F3:D6:8E:EC:2D:C7:0D:B1:DD:C8:EA:67:69:9B:C0:A9:03:62:73:FB
密钥长度:2048 位
签名算法:sha1WithRSAEncryption
安全重新协商:不支持
它显示您的证书是 UCC,如果我在浏览器地址窗口中输入 autodiscover.ad.unc.edu,它将正确显示。显然,由于您的某些 SAN 条目上有超过 1 级的子域,因此通配符不起作用。