更新到 Exchange 2007 sp2 後(是的,我知道已經很晚了),我在登入 Outlook 時遇到了問題。我看到下面的訊息...
替代文字 http://www.freeimagehosting.net/uploads/1960a40166.jpg
我在 Web 存取方面也遇到了類似的問題,由於我在家中使用 IIS,所以這個問題很容易解決。不過我確實注意到伺服器包含一些 autodiscover.mycompamy.com、exchange.mycompamy.com 等的金鑰,而且升級後的 SP2 似乎不知道如何處理這個問題。
由於我有通配符 ssl,我認為刪除所有其他憑證是謹慎的做法,但是為了在開啟 Outlook 時停止煩人 - 我該怎麼辦?
答案1
從 EMS 執行 get-exchangecertificate 這將顯示您的所有憑證以及它們的使用位置。在服務下,I 用於 IIS,應應用於您的通配符憑證。如果不是,請複製通配符憑證的指紋並執行下列命令:
啟用交換憑證-指紋<paste thumbprint here>-服務 IIS
然後再次嘗試連線。
答案2
這看起來更像是 IIS/Exchange 上的錯誤配置,而不是 SP2 引起的實際問題;也許它只是將某些設定重設為預設值,導致此行為。
您的螢幕截圖顯示,使用主機名稱「autodiscover.ad.unc.edu」呼叫了自動發現服務;如果您點擊那裡的「檢視證書」按鈕,您可以查看實際使用的證書,並查看它是否與所呼叫的 URL 相符。
另外,「autodiscover.ad.unc.edu」對我來說看起來像是一個內部網域(您的主網域的子網域,專門用於 AD 使用);如果這是您實際應該使用的名稱(是嗎?),那麼您的通配符憑證可能不足以滿足此目的,因為已知許多瀏覽器無法正確處理二級子網域(*.*.domain.com)的通配符證書)。
答案3
顯然,網址列中的網域名稱與網站上憑證的通用名稱或主題備用名稱 (SAN) 欄位不符。
例如http://www.ssltools.com/certificate_lookup/autodiscover.ad.unc.edu節目
通用名稱:outlook.unc.edu
主題備用名稱:outlook.unc.edu、autodiscover.ad.unc.edu、ad.unc.edu、outlook.ad.unc.edu、manning.outlook.unc.edu、franklin.outlook.unc.edu
發行人名稱:DigiCert 高保證 CA-3
序號:09:85:58:8e:02:1e:74:05:88:7b:11:cc:3e:0a:f6:0c
SHA1 指紋:F3:D6:8E:EC:2D:C7:0D:B1:DD:C8:EA:67:69:9B:C0:A9:03:62:73:FB
密鑰長度:2048 位
簽章演算法:sha1WithRSAEncryption
安全重新協商:不支持
它顯示您的憑證是 UCC,如果我在瀏覽器位址視窗中鍵入 autodiscover.ad.unc.edu,它將正確顯示。顯然,由於某些 SAN 條目上有超過 1 級的子網域,因此通配符將無法運作。