web-dev-qa-db-ja.com

新しい証明書のインストール後のOutlookSSLエラー

最近、Exchange2010ボックスのSSL証明書を新しいワイルドカード証明書に置き換えました。サービスを割り当て、外部アクセスと内部アクセスのすべてのURLを同一になるように再構成しました(以前の証明書はSAN .localドメイン名の証明書であり、使用できなくなったため、これを変更する必要があります))、分割DNSを設定して、内部クライアントと外部クライアントがすべて同じDNS名を使用してアクセスするようにします。

Outlookクライアントが不一致証明書エラーを受信することを除いて、すべてが期待どおりに機能します...サーバーがserver.domain.local FQDNをクライアントに提示しており、SSLが* .domain.comであるため一致しないようです。 .。。

すべてのURLが正しく設定され、すべてが同じ外部DNS名を指していることを確認するために、見つけたすべてのガイド/記事に従いました。内部での自動検出も機能し、合格します(外部で自動検出するように設定されていませんが、Outlookは手動で構成した場合、どこでも正常に機能します。これはテスト済みです)

この問題で困惑しているのは、新しく作成されたプロファイル/アカウントにはこの問題がないため、サーバーの問題ではなく、Outlookプロファイルの問題のようです。 Outlookを開いて、以前に構成したプロファイルを使用すると、SSL不一致エラーが発生します。新しいOutlookプロファイルを作成し、その中にアカウントを設定しても、SSLエラーはまったく発生しません。

これまでに誰かがこれに遭遇したかどうかはわかりませんが、アドバイス/ヘルプをいただければ幸いです... Outlookプロファイルを再構築しても問題は解決します。 ....それはしなければならないことではありません....応答/支援を事前に感謝します。

粘土

編集-

私の問題は、参照されているOutlookセキュリティアラートの質問とはまったく異なります...しかしもっとそうです これのように-clientaccessserverなどを設定した後のOutlook/Exchange証明書エラー...プロパティ ...これは私の問題とほとんど同じようです...残念ながらそれは答えがありません

1
Clay Powell

Exchange 2013への移行中に同じ問題に遭遇しました。Exchange2010のSSL証明書を置き換え、Exchange 2013を介したプロキシを有効にするようにOAを構成する必要があります。デスクトップでの証明書のポップアップを回避するソリューションは、Outlook 2013をインポートすることでしたGPOテンプレートを有効にし、GPO AutodiscoverでExcludeLastKnownGoodUrlを有効にします。

起動時に最後に認識された良好なURLと処理接続の順序を保存するOutlook2013の新機能が原因です:)

1

上記のコメントに基づいて、環境を適切に機能させるために検証する必要があることを明確に説明します。私はすべての側面をカバーするつもりです、それであなたがおそらくすでに働いているいくつかのこと。 1.Exchangeサーバーに「RPCoverHTTP」がインストールされ、適切に動作していることを確認します(たとえば、サーバーの起動時に対応するイベントログが表示されます。

SSL証明書をワイルドカード証明書に置き換えたので、内部ネットワーク内のExchangeサーバーをどのように参照するかを決定する必要があります。例として、fqdnとmail用にmail.domain.comにします。 netbios名。

次のCMDレットを実行して、仮想ディレクトリパースペクティブに関する正しい情報を見つけて設定します。

Exchangeコントロールパネル:Get-ecpVirtualDirectory -Server mail | Set-ecpVirtualDirectory -InternalURL https://mail.domain.com/ecp -ExternalURL https://mail.domain.com/ecp

Get-ECPVirtualDirectory-サーバーメール| Fl InternalURL、ExternalURL

Outlook Web App:Get-OwaVirtualDirectory -Server mail | Set-OwaVirtualDirectory -InternalURL https://mail.domain.com/owa -ExternalURL https://mail.domain.com/owa

Get-OWAVirtualDirectory-サーバーメール| Fl internalUrl、ExternalURL

EWS(Exchange Webサービス):Get-WebservicesVirtualDirectory -Server mail | Set-WebservicesVirtualDirectory -InternalURL https://mail.domain.com/EWS/Exchange.asmx -ExternalURL https://mail.domain.com/EWS/Exchange.asmx ==

Get-WebservicesVirtualDirectory -Server mail | Fl internalURL、ExternalURL

Autodiscover:Set-ClientAccessServer mail -AutodiscoverServiceInternalUri https://mail.domain.com/Autodiscover/Autodiscover.xml

Get-ClientAccessServerメール| Fl AutodiscoverServiceInternalUri

ActiveSync:Get-ActiveSyncVirtualDirectory -Server mail | Set-ActiveSyncVirtualDirectory -InternalURL https://mail.domain.com/Microsoft-Server-ActiveSync -ExternalURL https://mail.domain.com/Microsoft-Server-ActiveSync =

Get-ActiveSyncVirtualDirectory-サーバーメール| Fl InternalURL、ExternalURL

オフラインアドレス帳:Get-OABVirtualDirectory -Server mail | Set-OABVirtualDirectory -InternalUrl https://mail.domain.com/OAB -ExternalURL https://mail.domain.com/OAB

Get-OABVirtualDirectory-サーバーメール| Fl InternalURL、ExternalURL

OutlookAnywhere:Set-OutlookAnywhere -Identity mail\Rpc(デフォルトのWebサイト) "-InternalHostname mail.domain.com -ExternalHostName mail.domain.com -InternalClientAuthenticationMethod ntlm -InternalClientsRequireSsl:$ True -ExternalClientAuthenticationMethod Basic -ExternalClientsRequireSsl:$ True

Get-OutlookAnywhere -Identity mail\rpc(Default Web Site) "| fl InternalHostName、InternalClientAuthenticationMethod、InternalClientsRequiressl、ExternalHostName、ExternalClientAuthenticationMethod、ExternalClientsRequiressl

上記のスクリプトの後にiisreset /restartを実行します。mailはサーバーの実際のnetbios名に、mail.domain.comはExchangeサーバーの実際のfqdnに置き換えてください。

Outlookプロバイダーに関しては、こちらをご覧ください: http://blogs.technet.com/b/exchange/archive/2008/09/29/3406352.aspx

ご不明な点がありましたらお知らせください。

2
Vick Vega

Exchange証明書からローカルドメインを削除した後も同じ問題が発生し、同じトラブルシューティングパスであるClayを使用しました。

影響を受けたいくつかのPCのレジストリを介してこの機能をオフにしたことにより、Outlook2013の「最後に確認された正常な」キャッシュが原因であることがわかりました。

その後、根本的な原因は古い「ローカル」レコードをDNSに残したことが原因であることがわかりました。 Outlook 2013は、古い自動検出をキャッシュしようとしていましたが、証明書と一致していなくても存在していたため、新しいアドレスを取得するために出かけることはありませんでした。

私はこれが古いことを知っていますが、それは他の誰かを助けるかもしれないと思いました。

1
Leah

私はあなたが説明しているのとまったく同じ問題を抱えていました。

解決策は、影響を受けるプロファイルでキャッシュモードを無効にすることでした。 Outlookを開き、Outlookを閉じます。キャッシュモードを再度有効にすると、問題はなくなりました。

私はこれが他の人の時間を節約することを望みます:)

0
Jeff W.

したがって、SSL証明書をmail.company.comのローカルExchangeサーバーにインストールした後も、まったく同じ問題が発生しました。

LAN上のすべてのOutlookクライアントは、「セキュリティ証明書の名前が無効であるか、サイトの名前と一致しない」の受信を開始し、「このWebサイトが[email protected]サーバー設定を構成することを許可しますか? https: //autodiscover.company.com/autodiscover/autodiscover.xml "プロンプト。

DigiCert Exchangeユーティリティを実行し、スクリプトを生成してチェックし、「Get-」を使用して既存のすべての構成を取得してバックアップし、Exchange管理シェルでスクリプトを実行しました。

Set-ClientAccessServer -Identity "LocalServer" -AutodiscoverServiceInternalUri "https://mail.company.com/Autodiscover/Autodiscover.xml"

Set-OABVirtualDirectory -Identity "LocalServer\OAB (Default Web Site)" -InternalUrl "http://mail.company.com/OAB"

Set-WebServicesVirtualDirectory -Identity "LocalServer\EWS (Default Web Site)" -InternalUrl "https://mail.company.com/EWS/Exchange.asmx"

Set-ActiveSyncVirtualDirectory -Identity "LocalServer\Microsoft-Server-ActiveSync (Default Web Site)" -InternalUrl "https://mail.company.com/Microsoft-Server-ActiveSync"

Set-OWAVirtualDirectory -Identity "LocalServer\owa (Default Web Site)" -InternalUrl "https://mail.company.com/owa"

Set-ECPVirtualDirectory -Identity "LocalServer\ecp (Default Web Site)" -InternalUrl "https://mail.company.com/ecp"

これは、ipconfig/flushdns、gpupdate/force、および再起動後のクライアントの警告プロンプトを解決しなかったため、他のいくつかの項目を再確認しました。

mail.company.comはSSL証明書に登録されました-承知しました。

ローカルDNSサーバーエイリアスエントリmail.company.comからLocalServer.company.com-わかりました

192.168.1.11および192.168.1.60への重複するローカルDNSサーバーHostLocalServer.company.comが見つかりました-誤った2番目のエントリを削除しました。

ローカルDNSサーバーのエイリアスautodiscover.company.comからLocalServer.company.comが見つかりました-このエントリipconfig/flushdnsを削除し、クライアントでOutlookを閉じて開きます。すべてが機能しているようです。

Microsoft KBの記事 https://support.Microsoft.com/en-gb/kb/940726 、およびDigiCert Exchangeツールがとらえどころのないものは、私が後で発見した別の設定であり、おそらくAutoDiscoverプロンプトに正しく対処しました:

Set-AutodiscoverVirtualDirectory -Identity "LocalServer\Autodiscover (Default Web Site)" -InternalUrl "https://mail.company.com/autodiscover/autodiscover.xml"

Set-AutodiscoverVirtualDirectory -Identity "LocalServer\Autodiscover (Default Web Site)" -ExternalUrl "https://mail.company.com/autodiscover/autodiscover.xml"

これらのエントリは両方とも私のExchangeサーバーでは空白なので、それらの入力をテストして再度フィードバックします。

編集:それで、mail.company.com/autodiscover/autodiscover.xmlのInternalUrlに入力し、Ctrlキーを押しながらOutlookクライアントをチェックしたときに、Outlookトレイアイコンを右クリックして、電子メールの自動構成のテスト...、テスト、ログに記録し、下にスクロールして、Autodiscoverの行を見つけます。そこに新しいアドレスがあり、成功ステータスがあります。

解決策としてautodiscover.company.comをSSL証明書に追加した別の記事を見ました。これもこのシナリオの問題を解決しますが、SSL証明書が限られているため、これは私の状況では無駄なリソースです。

すべてが機能し、外部からの接続を見つけ出し、ファイアウォール経由でルーティングします:)

0
Edward