После обновления до Exchange 2007 sp2 (да, я знаю, что с большим опозданием) у меня возникли проблемы при входе в Outlook. Я вижу следующее сообщение...
альтернативный текст http://www.freeimagehosting.net/uploads/1960a40166.jpg
У меня также были похожие проблемы с веб-доступом, и поскольку я дома с IIS, это было легко решено. Однако я заметил, что сервер содержит несколько ключей для autodiscover.mycompamy.com, exchange.mycompamy.com и т. д., и, похоже, обновленный SP2 не знал, как с этим справиться.
Поскольку у меня есть wildcard ssl, я думаю, было бы разумно удалить все остальные сертификаты, однако чтобы прекратить это ворчание при открытии Outlook — что я могу сделать?
решение1
Из EMS запустите get-exchangecertificate. Это покажет вам все ваши сертификаты и где они используются. В разделе services, I — для IIS и должно применяться к вашему wildcard сертификату. Если это не так, скопируйте отпечаток для вашего wildcard сертификата и выполните эту команду:
включить-обмен сертификатом - отпечаток большого пальца <paste thumbprint here>- службы IIS
Затем попробуйте подключиться еще раз.
решение2
Это больше похоже на неправильную настройку IIS/Exchange, чем на реальную проблему, вызванную SP2; возможно, он просто сбросил некоторые настройки до значений по умолчанию, что и вызвало такое поведение.
На вашем снимке экрана видно, что служба автообнаружения была вызвана с использованием имени хоста «autodiscover.ad.unc.edu»; если вы нажмете кнопку «Просмотреть сертификат», то сможете увидеть, какой сертификат фактически использовался, и соответствует ли он вызываемому URL-адресу.
Кроме того, «autodiscover.ad.unc.edu» мне кажется внутренним доменом (поддоменом вашего основного домена, специально для использования в AD); если это то имя, которое вам действительно следует использовать (не так ли?), то вашего wildcard-сертификата может быть недостаточно для этого, поскольку известно, что многие браузеры некорректно обрабатывают wildcard-сертификаты для поддоменов второго уровня (*.*.domain.com).
решение3
Очевидно, домен в вашей адресной строке не соответствует общему имени или полю альтернативного имени субъекта (SAN) сертификата на сайте.
Напримерhttp://www.ssltools.com/certificate_lookup/autodiscover.ad.unc.eduпоказывает
Общее имя: outlook.unc.edu
Альтернативные названия тем: outlook.unc.edu, autodiscover.ad.unc.edu, ad.unc.edu, outlook.ad.unc.edu, manning.outlook.unc.edu, franklin.outlook.unc.edu
Название эмитента: DigiCert High Assurance CA-3
Серийный номер: 09:85:58:8e:02:1e:74:05:88:7b:11:cc:3e:0a:f6:0c
Отпечаток SHA1: F3:D6:8E:EC:2D:C7:0D:B1:DD:C8:EA:67:69:9B:C0:A9:03:62:73:FB
Длина ключа: 2048 бит
Алгоритм подписи: sha1WithRSAEncryption
Безопасное повторное согласование: не поддерживается
Он показывает, что ваш сертификат — UCC, и будет отображаться правильно, если я введу autodiscover.ad.unc.edu в адресных окнах браузера. Очевидно, что поскольку в некоторых ваших записях SAN есть более 1 уровня поддоменов, подстановочные знаки не будут работать.