最近用新的通配符证书替换了我们 Exchange 2010 盒上的 SSL 证书。分配服务,重新配置所有用于外部和内部访问的 URL,使之相同(以前的证书是带有 .local 域名的 SAN 证书,由于它们不再可用,我们不得不更改这一点),设置拆分 DNS,以便内部和外部客户端都使用相同的 DNS 名称进行访问。
一切都按预期工作,除了 Outlook 客户端收到不匹配的证书错误...看来服务器正在向客户端呈现 server.domain.local FQDN,并且 SSL 为 *.domain.com 但不匹配...
我已遵循我找到的所有指南/文章,确保所有 URL 都正确设置,并且都指向相同的外部 DNS 名称。内部自动发现也有效并通过(我们没有将其设置为外部自动发现,但 Outlook anywhere 在手动配置时确实可以正常运行,这已经过测试)
让我感到困惑的是,新创建的配置文件/帐户没有这个问题,所以这似乎更多的是 Outlook 配置文件问题,而不是服务器问题。我可以打开 Outlook 并使用我之前配置的配置文件,但会出现 SSL 不匹配错误。如果我创建一个新的 Outlook 配置文件并在其中设置我的帐户,则根本不会出现 SSL 错误。
不确定是否有人遇到过这种情况,但任何建议/帮助都将不胜感激...虽然重建 Outlook 配置文件确实解决了该问题,但对于 25-30 个用户来说,这并不是我想要做的事情....这不是应该做的事情....提前感谢任何回复/帮助。
黏土
编辑 -
我的问题与引用的 Outlook 安全警报问题不太相似......但更相似像这样 - 设置客户端访问服务器等后,Outlook/Exchange 证书出现错误…属性...这个问题似乎和我的问题几乎一模一样...可惜的是它没有答案
答案1
我在迁移到 Exchange 2013 时遇到了同样的问题,需要替换 Exchange 2010 上的 SSL 证书并配置 OA 以启用通过 Exchange 2013 的代理。避免桌面上出现证书弹出窗口的解决方案是导入 Outlook 2013 GPO 模板并启用 GPO 以使自动发现排除最后已知的良好Url。
Outlook 2013 的新功能在启动时存储最后已知的良好 URL 和处理连接顺序是罪魁祸首:)
答案2
根据您上面的评论,我想向您清楚地说明您需要验证哪些内容才能使环境正常运行。我将介绍所有方面,因此您可能已经启用了某些功能。1. 确保您已在 Exchange 服务器上安装了“RPC over HTTP”并正常运行(例如,在服务器启动时可以看到相应的事件日志)。
由于您已将 SSL 证书替换为通配符证书,因此您需要决定如何在内部网络内引用 Exchange 服务器,为了举例说明,我们将 mail.domain.com 作为 fqdn,将 mail 作为 netbios 名称。
运行以下 CMD 命令来查找并设置虚拟目录视角的正确信息:
交易所控制面板: Get-ecpVirtualDirectory -服务器邮件 | Set-ecpVirtualDirectory -InternalURLhttps://mail.domain.com/ecp-外部 URLhttps://mail.domain.com/ecp
Get-ECPVirtualDirectory -服务器邮件 | Fl InternalURL,ExternalURL
Outlook Web 应用程序: Get-OwaVirtualDirectory -服务器邮件 | Set-OwaVirtualDirectory -InternalURLhttps://mail.domain.com/owa-外部 URLhttps://mail.domain.com/owa
Get-OWAVirtualDirectory -服务器邮件 | Fl internalUrl,ExternalURL
EWS(Exchange Web 服务): Get-WebservicesVirtualDirectory -服务器邮件 | Set-WebservicesVirtualDirectory -InternalURLhttps://mail.domain.com/EWS/Exchange.asmx-外部 URLhttps://mail.domain.com/EWS/Exchange.asmx
Get-WebservicesVirtualDirectory -服务器邮件|Fl 内部URL,外部URL
自动发现: 设置 ClientAccessServer 邮件-AutodiscoverServiceInternalUrihttps://mail.domain.com/Autodiscover/Autodiscover.xml
获取 ClientAccessServer 邮件 | Fl AutodiscoverServiceInternalUri
活动同步: Get-ActiveSyncVirtualDirectory -服务器邮件 | Set-ActiveSyncVirtualDirectory -InternalURLhttps://mail.domain.com/Microsoft-Server-ActiveSync-外部 URLhttps://mail.domain.com/Microsoft-Server-ActiveSync
Get-ActiveSyncVirtualDirectory -服务器邮件 | Fl InternalURL,ExternalURL
脱机通讯簿: Get-OABVirtualDirectory -服务器邮件 | Set-OABVirtualDirectory -InternalUrlhttps://mail.domain.com/OAB-外部 URLhttps://mail.domain.com/OAB
Get-OABVirtualDirectory -服务器邮件 | Fl InternalURL,ExternalURL
OutlookAnywhere: Set-OutlookAnywhere -Identity mail\Rpc (默认网站)" -InternalHostname mail.domain.com -ExternalHostName mail.domain.com -InternalClientAuthenticationMethod ntlm -InternalClientsRequireSsl:$True -ExternalClientAuthenticationMethod Basic -ExternalClientsRequireSsl:$True
Get-OutlookAnywhere -Identity mail\rpc (默认网站)" |fl InternalHostName,InternalClientAuthenticationMethod,InternalClientsRequiressl, ExternalHostName,ExternalClientAuthenticationMethod,ExternalClientsRequiressl
执行iisreset /restart上述脚本后,记得将 mail 替换为服务器的实际 netbios 名称,将 mail.domain.com 替换为 Exchange 服务器的实际 fqdn。
关于 Outlook 提供程序,请参见此处: http://blogs.technet.com/b/exchange/archive/2008/09/29/3406352.aspx
如果您有任何疑问,请告诉我。
答案3
从我们的 Exchange 证书中删除本地域后,我们遇到了同样的问题,并按照相同的故障排除路径进行了故障排除,Clay。
我们通过注册表关闭了几台受影响 PC 的“最后一次正确”缓存功能,从而发现 Outlook 2013 中的“最后一次正确”缓存是罪魁祸首。
然后我们意识到根本原因是我们在 DNS 中留下了旧的“本地”记录。Outlook 2013 正在寻找旧自动发现的缓存,并且由于它尽管与证书不匹配但仍然存在,因此它永远不会去获取新地址。
我知道这已经过时了但我认为它可能会帮助别人。
答案4
因此,在我们为 mail.company.com 的本地 Exchange 服务器安装 SSL 证书后,我遇到了完全相同的问题。
LAN 上的所有 Outlook 客户端都开始收到“安全证书上的名称无效或与站点名称不匹配”,然后是“允许此网站配置[电子邮件保护]服务器设置?https://autodiscover.company.com/autodiscover/autodiscover.xml“ 迅速的。
我运行了 DigiCert Exchange 实用程序,生成了一个脚本,检查了它,使用“Get-”检索并备份了所有现有配置,然后在 Exchange 命令行管理程序中执行了该脚本:
Set-ClientAccessServer -Identity "LocalServer" -AutodiscoverServiceInternalUri "https://mail.company.com/Autodiscover/Autodiscover.xml"
Set-OABVirtualDirectory -Identity "LocalServer\OAB (Default Web Site)" -InternalUrl "http://mail.company.com/OAB"
Set-WebServicesVirtualDirectory -Identity "LocalServer\EWS (Default Web Site)" -InternalUrl "https://mail.company.com/EWS/Exchange.asmx"
Set-ActiveSyncVirtualDirectory -Identity "LocalServer\Microsoft-Server-ActiveSync (Default Web Site)" -InternalUrl "https://mail.company.com/Microsoft-Server-ActiveSync"
Set-OWAVirtualDirectory -Identity "LocalServer\owa (Default Web Site)" -InternalUrl "https://mail.company.com/owa"
Set-ECPVirtualDirectory -Identity "LocalServer\ecp (Default Web Site)" -InternalUrl "https://mail.company.com/ecp"
这并没有解决 ipconfig /flushdns、gpupdate /force 和重启后客户端上出现的警告提示,因此我又仔细检查了其他一些项目:
mail.company.com 已在 SSL 证书中注册 - 好的。
本地 DNS 服务器别名条目 mail.company.com 到 LocalServer.company.com - 好的
发现重复的本地 DNS 服务器主机 LocalServer.company.com 与 192.168.1.11 和 192.168.1.60 — 删除了不正确的第二个条目。
发现本地 DNS 服务器别名 autodiscover.company.com 为 LocalServer.company.com - 删除此条目,ipconfig /flushdns 并关闭并打开客户端上的 Outlook,一切似乎都正常!
Microsoft 知识库文章https://support.microsoft.com/en-gb/kb/940726并且 DigiCert Exchange 工具也提到了这一点,我随后发现另一个设置很可能可以正确解决自动发现提示:
Set-AutodiscoverVirtualDirectory -Identity "LocalServer\Autodiscover (Default Web Site)" -InternalUrl "https://mail.company.com/autodiscover/autodiscover.xml"
Set-AutodiscoverVirtualDirectory -Identity "LocalServer\Autodiscover (Default Web Site)" -ExternalUrl "https://mail.company.com/autodiscover/autodiscover.xml"
这两个条目在我的 Exchange 服务器上都是空白的,因此将测试填充它们并再次反馈。
编辑:因此,我输入了 mail.company.com/autodiscover/autodiscover.xml 的 InternalUrl,然后当我通过 CTRL + 右键单击 Outlook 托盘图标、测试电子邮件自动配置...、测试、记录、向下滚动并找到自动发现行来检查 Outlook 客户端时,它在那里有新地址并且状态为成功!
我看到另一篇文章,他们将 autodiscover.company.com 添加到 SSL 证书中作为解决方案,这也可以解决这种情况下的问题,然而在我的情况下,这是一种浪费的资源,因为我们的 SSL 证书有限。
一切正常,现在只需找出来自外部的连接,并通过防火墙进行路由:)