我们有 Windows 2012R2 和 Exchange 2013,我们有公共 SSL 证书,供外部和内部用户使用。我们决定不续订证书,而是与我们的域控制器 CA 签署一份新证书。我按照这篇文章配置了 split-dns (https://practical365.com/exchange-server/avoiding-exchange-2013-server-names-ssl-certificates/) 所以我按照文章中的方法进行了配置,从我们的域控制器 CA 请求并签署了新的 Web 服务器证书,在 IIS 中将新证书应用于“默认网页”,一切正常,但第二天出现了不同的错误:从尝试连接 owa 时出现错误 500 到无法使用管理员帐户登录 ecp(它只是将您重定向到损坏的 owa),现在有些用户无法通过 owa 发送邮件或通过 outlook 接收邮件。我只是不知道在哪里可以找到。需要明确的是,我们有些人可以访问 Exchange 服务器,但他们的计算机不在域中,因此他们不信任我们的新证书。
答案1
在 IIS 中绑定新证书后,您是否在 Exchange 服务器的命令提示符中以管理员身份运行 iisreset 以使之生效?
如果问题仍然存在,请打开 IIS 并检查应用程序池,查看 MSExchangeOWAAppPool 和 MSExchangeECPAppPool 是否在 .NET Framework v2.0 上运行,并回收虚拟目录进行测试。以下是有关 500 错误的类似帖子,请参考:无法访问 OWA 或 ECP。- “出现问题”或“500 意外错误”
此外,运行以下命令来删除并重新创建 owa/ecp 虚拟目录。
删除方法:Remove-OwaVirtualDirectory -Identity "exchange 服务器名称\owa (默认网站)"
重新创建:New-OwaVirtualDirectory –WebSiteName
此外,检查 IIS 日志文件以查找与 Exchange 2013 客户端访问服务器上的 MSExchange 相关的任何错误,找到文件夹“c:\inetpub\logs\logfiles\W3SVC1”。
答案2
这种方法不起作用的唯一原因是非域用户没有 CA 证书,因此他们无法启动 TLS 会话