Nosso servidor Exchange está em execução há algum tempo com um certificado assinado internamente. Hoje comprei um certificado SSL confiável (wilcard) e instalei no servidor.
O certificado é emitido para * .example.no e não fornece exceções de segurança quando eu acessar a interface da Web em https://mail.example.no/owa
do navegador da Web.
Agora, quando abro o Outlook, recebo este erro de validação de certificado. Experimentei todas as soluções padrão fornecidas, o que envolveu principalmente a configuração do URL externo como o URL interno.
-
FQDN interno :
mx.example.local
-
FQDN externo :
mail.example.no
-
Mensagem de erro : há um problema com o certificado de segurança do servidor proxy. O nome no certificado de segurança é inválido ou não corresponde ao nome do site de destino mx.example.local. O Outlook não consegue se conectar ao servidor proxy. (Código de erro 10)
O que eu fiz :
Set-WebServicesVirtualDirectory –Identity ‘mx\EWS (Default Web Site)’ –ExternalUrl https://mail.example.no/ews/exchange.asmx
Set-WebServicesVirtualDirectory -Identity "mx\EWS (Default Web Site)" –InternalUrl https://mail.example.no/EWS/Exchange.asmx
Set-OABVirtualDirectory -Identity “mx\OAB (Default Web Site)” -InternalURL https://mail.example.no/OAB
Set-ActiveSyncVirtualDirectory -Identity “mx\Microsoft-Server-ActiveSync (Default Web Site)” -InternalURL https://mail.example.no/Microsoft-Server-Activesync
Set-ClientAccessServer -Identity mx -AutodiscoverServiceInternalUri https://mail.example.no/autodiscover/autodiscover.xml
O resultado :
[PS] C:\>Get-WebServicesVirtualDirectory | Select InternalUrl, BasicAuthentication, ExternalUrl, Identity | Format-List
InternalUrl : https://mail.example.no/ews/exchange.asmx
BasicAuthentication : True
ExternalUrl : https://mail.example.no/ews/exchange.asmx
Identity : mx\EWS (Default Web Site)
[PS] C:\>Get-OabVirtualDirectory | Select InternalUrl, ExternalUrl, Identity | Format-List
InternalUrl : https://mail.example.no/oab
ExternalUrl : https://mail.example.no/OAB
Identity : mx\OAB (Default Web Site)
[PS] C:\>Get-ActiveSyncVirtualDirectory | Select InternalUrl, ExternalUrl, Identity | Format-List
InternalUrl : https://mail.example.no/Microsoft-Server-ActiveSync
ExternalUrl : https://mail.example.no/Microsoft-Server-ActiveSync
Identity : mx\Microsoft-Server-ActiveSync (Default Web Site)
[PS] C:\>Get-ClientAccessServer | Select Fqdn, AutoDiscoverServiceInternalUri, Identity | Format-List
Fqdn : mx.example.local
AutoDiscoverServiceInternalUri : https://mail.example.no/autodiscover/autodiscover.xml
Identity : mx
Depois disso, eu tenho
- Reciclou o pool de aplicativos IIS MSExchangeAutoDiscoverAppPool (que não fez a mensagem desaparecer, portanto, eu ...)
- Reiniciou todo o servidor de e-mail (que não fez com que a mensagem desaparecesse para que eu ...)
- Entrou no Painel de Controle - > Mail - > Contas de e-mail e escolheu Reparar na minha conta (desde que eu estou fazendo este post você pode ter adivinhado que isso não teve efeito também)
- DNS descarregado do computador cliente (no caso de o URL de descoberta automática ter sido ignorado)
- Consertamos a conta de e-mail mais uma vez
- Tentou editar a conta e colocar o FQDN público, mail.example.no, como endereço do servidor
-
EDITAR : tentou excluir e recriar a conta. Excluiu todo o perfil de email, pastas% AppData% \ Local \ Outlook e% AppData% \ Local \ Outlook. Ainda não há sucesso.
Agora estou ficando sem ideias ... todos os sites que visitei na web sugerem que eu faça o que acabei de fazer e espera-se que o resultado seja exatamente o meu resultado ...
UPDATE : um dos meus usuários não pode nem fazer login com o Outloook na estação de trabalho. A conta está OK (o correio no telefone celular e o cliente da Web funcionam), mas o Outlook continua repetindo o prompt da senha e não sairá do modo Offline.
UPDATE : fez uma verificação SSL no site Digicert para ver se o certificado está instalado OK. O servidor passou em todas as verificações, a única coisa da qual fui avisado foi o uso do protocolo SSL 3.0: Protocolo de Suporte TLS 1.1, TLS 1.0, SSL 3.0. O SSL 3.0 é uma versão de protocolo desatualizada com vulnerabilidades conhecidas.
ATUALIZAÇÃO 150709 :
Disclaimer: Nenhum endereço IP interno real foi prejudicado fazendo esta atualização
- Eu configurei uma nova Zona de Pesquisa Direta no DNS,
mail.example.no
com um registro em branco (A) apontando para 192.168.1.1, o endereço IP hipotético do servidor de correio
- Na Zona de Pesquisa Inversa para 192.168.1.in-adds.arpa, tenho o registro e (PTR) chamado 192.168.1.1 apontando para mail.example.no
- Download DigiCert® Internal Name Tool para Microsoft Exchange
- Executou a ferramenta, mas os endereços estavam corretos, mas o OWAVirtualDirectory ECPVirtualDirectory ainda estava se referindo a mx.example.local, então eu os alterei para mail.example.no
A saída
nslookup parece promissora:
D:\>ipconfig /flushdns
Windows IP Configuration
Successfully flushed the DNS Resolver Cache.
D:\>nslookup mail.example.no
Server: dc1.example.local
Address: 192.168.1.2
Name: mail.example.no
Address: 192.168.1.1
D:\>nslookup 192.168.1.1
Server: dc.example.local
Address: 192.168.1.2
Name: mail.example.no
Address: 192.168.1.1
O Outlook não ...
Teste pequeno:
- Fui às configurações da conta - > Mais configurações - > Conexão - > Configurações de proxy do Exchange.
- Alterou o URL de conexão para
https://mail.example.no
- Alterou o nome principal permitido para
msstd:*.example.no
- Outlook reiniciado. O erro do certificado não aparece agora, mas percebo que não estou conectado ...
- Configurações da conta mais uma vez, desta vez escolhi Reparo automático
- Outlook reiniciado
- Agora, se eu voltar às configurações do Exchange Proxy, a URL interna retornou ...