имя сертификата безопасности недействительно или не соответствует имени сайта

Наш сервер Exchange уже некоторое время работает с внутренне подписанным сертификатом. Сегодня я купил доверенный сертификат SSL (wilcard) и установил его на сервере.

Сертификат выдан *.example.no и не создает никаких исключений безопасности при доступе к веб-интерфейсу https://mail.example.no/owaиз веб-браузера.

Теперь, когда я открываю Outlook, я получаю эту ошибку проверки сертификата. Я перепробовал все стандартные решения, которые в основном включали установку внешнего URL в качестве внутреннего URL.

• Внутреннее полное доменное имя:mx.example.local
• Внешнее полное доменное имя:mail.example.no
• Сообщение об ошибке: Проблема с сертификатом безопасности прокси-сервера. Имя в сертификате безопасности недействительно или не совпадает с именем целевого сайта mx.example.local. Outlook не может подключиться к прокси-серверу. (Код ошибки 10)

Что я сделал:

Set-WebServicesVirtualDirectory –Identity ‘mx\EWS (Default Web Site)’ –ExternalUrl https://mail.example.no/ews/exchange.asmx

Set-WebServicesVirtualDirectory -Identity "mx\EWS (Default Web Site)" –InternalUrl https://mail.example.no/EWS/Exchange.asmx

Set-OABVirtualDirectory -Identity “mx\OAB (Default Web Site)” -InternalURL https://mail.example.no/OAB

Set-ActiveSyncVirtualDirectory -Identity “mx\Microsoft-Server-ActiveSync (Default Web Site)” -InternalURL https://mail.example.no/Microsoft-Server-Activesync

Set-ClientAccessServer -Identity mx -AutodiscoverServiceInternalUri https://mail.example.no/autodiscover/autodiscover.xml

Результат:

[PS] C:\>Get-WebServicesVirtualDirectory | Select InternalUrl, BasicAuthentication, ExternalUrl, Identity | Format-List

InternalUrl         : https://mail.example.no/ews/exchange.asmx
BasicAuthentication : True
ExternalUrl         : https://mail.example.no/ews/exchange.asmx
Identity            : mx\EWS (Default Web Site)

[PS] C:\>Get-OabVirtualDirectory | Select InternalUrl, ExternalUrl, Identity | Format-List

InternalUrl : https://mail.example.no/oab
ExternalUrl : https://mail.example.no/OAB
Identity    : mx\OAB (Default Web Site)

[PS] C:\>Get-ActiveSyncVirtualDirectory | Select InternalUrl, ExternalUrl, Identity | Format-List

InternalUrl : https://mail.example.no/Microsoft-Server-ActiveSync
ExternalUrl : https://mail.example.no/Microsoft-Server-ActiveSync
Identity    : mx\Microsoft-Server-ActiveSync (Default Web Site)

[PS] C:\>Get-ClientAccessServer | Select Fqdn, AutoDiscoverServiceInternalUri, Identity | Format-List

Fqdn                           : mx.example.local
AutoDiscoverServiceInternalUri : https://mail.example.no/autodiscover/autodiscover.xml
Identity                       : mx

После этого у меня есть

• Переработал пул приложений IIS MSExchangeAutoDiscoverAppPool (это не помогло устранить сообщение, поэтому я ...)
• Перезапустил весь почтовый сервер (это тоже не помогло устранить сообщение, так что я...)
• Зашел в Панель управления -> Почта -> Учетные записи электронной почты и выбрал «Восстановить учетную запись» (поскольку я пишу этот пост, вы могли догадаться, что это тоже не дало результата).
• Очищен DNS клиентского компьютера (в случае, если URL-адрес автообнаружения был проигнорирован)
• Снова восстановил учетную запись электронной почты.
• Попытался отредактировать учетную запись и указать публичное полное доменное имя mail.example.no в качестве адреса сервера.
• РЕДАКТИРОВАТЬ: Пытался удалить и заново создать учетную запись. Удалил весь почтовый профиль, папки %AppData%\Local\Outlook и %AppData%\Local\Outlook. Все равно безуспешно.

У меня сейчас заканчиваются идеи... каждый сайт в Интернете, который я посетил, предлагает мне сделать то, что я только что сделал, и результат должен быть таким же, как мой результат...

ОБНОВЛЯТЬ: Один из моих пользователей не может даже войти в Outlook со своей рабочей станции. С учетной записью все в порядке (почта на мобильном телефоне и веб-клиент работают), но Outlook продолжает повторять запрос пароля и не выходит из автономного режима.

ОБНОВЛЯТЬ: Проверил SSL на сайте Digicert, чтобы убедиться, что сертификат установлен правильно. Сервер прошел все проверки, единственное, о чем меня предупредили, это использование протокола SSL 3.0: Поддержка протоколов TLS 1.1, TLS 1.0, SSL 3.0. SSL 3.0 — устаревшая версия протокола с известными уязвимостями.

ОБНОВЛЕНИЕ 150709:

Отказ от ответственности: при выполнении этого обновления ни один реальный внутренний IP-адрес не пострадал.

• Я создал новую зону прямого просмотра в DNS mail.example.noс одной пустой записью (A), указывающей на 192.168.1.1, гипотетический IP-адрес почтового сервера.
• В зоне обратного просмотра для 192.168.1.in-adds.arpa у меня есть запись e (PTR) с именем 192.168.1.1, указывающая на mail.example.no
• СкачаноИнструмент внутреннего имени DigiCert® для Microsoft Exchange
• Запустил инструмент, адреса были в основном правильными, но OWAVirtualDirectory ECPVirtualDirectory все еще ссылались на mx.example.local, поэтому я изменил их на mail.example.no

nslookupВывод выглядит многообещающим:

D:\>ipconfig /flushdns

Windows IP Configuration

Successfully flushed the DNS Resolver Cache.

D:\>nslookup mail.example.no
Server:  dc1.example.local
Address:  192.168.1.2

Name:    mail.example.no
Address:  192.168.1.1


D:\>nslookup 192.168.1.1
Server:  dc.example.local
Address:  192.168.1.2

Name:    mail.example.no
Address:  192.168.1.1

Outlook не.....

Небольшой тест:

1. Перешел в Настройки учетной записи -> Дополнительные настройки -> Подключение -> Настройки прокси-сервера Exchange.
2. Изменен URL-адрес подключения наhttps://mail.example.no
3. Изменено разрешенное имя принципала наmsstd:*.example.no
4. Перезапустил Outlook. Ошибка сертификата теперь не появляется, но я замечаю, что не подключен...
5. Еще раз настройки учетной записи, на этот раз я выбрал автоматическое восстановление
6. Перезапуск Outlook
7. Теперь, если я вернусь к настройкам прокси-сервера Exchange, внутренний URL-адрес вернется...