iT邦幫忙

0

Exchange憑證相關問題

請教先進:
現有環境:
1.DC1 win2008 r2 x64
2.mebber server win2008 r2 x64/exchange 2010 sp1

安裝完exchange2010後, 在xp 設定outlook 2010會出現憑證警告的訊息
選擇"是"之後, 可以正常使用outlook. 但偶爾會再出現憑證警告的訊息

之後
1.Exchange用UI介面安裝多功能憑證,
2.DC 設定IIS新增ssl
3.Exchange UI新增憑證
4.Exchange向DC註冊憑證,
4.Excahgne 指派服務
這樣子在內網沒有在client安裝多功能憑證檔時,
xp / win7 的outlook2010 , 使用自動設定的方式,
outlook 2010 皆可正常使用, 也不會出現憑證警告的訊息.
(此時outlook 2010的設定,是自動設定成anywhere的方式)

但在外網的電腦,
使用平版androd 4, win7/outlook 皆無法設定成功.
Q1.平版顯示: 無法連線至伺服器
Q2.win7顯示:動作無法完成,無法連線至Microsoft Exchange,Outlook必須在線上或連線,才能完成此動作.
Q3.此時 webmail 可以正常使用https://mail.xxx/owa,(但也有出現憑證警告訊息)

請先進們協助.

看更多先前的討論...收起先前的討論...
小成 iT邦高手 10 級 ‧ 2012-08-01 22:09:24 檢舉
你有將企業根憑證派送下去嗎...?
外面的電腦把企業根憑證裝上去應該就可以了吧?
jerry686 iT邦新手 5 級 ‧ 2012-08-01 22:28:31 檢舉
jerry686提到:
to: esyc
不好意思,我對企業根憑證的派送不清楚,
可否請您再協助, 多說明一下細節. 感恩~
小成 iT邦高手 10 級 ‧ 2012-08-02 12:36:07 檢舉
http://technet.microsoft.com/zh-tw/library/cc738131.aspx
小成 iT邦高手 10 級 ‧ 2012-08-02 12:38:36 檢舉
另外關於憑證警告的部份,你可以點開警告,上面會寫原因,去了解原因並修正就可以了
不過如果有裝根憑證,應該就是跟前面大師講的那個情況了,不是過期就是FQDN不符

2 個回答

5
raytracy
iT邦大神 1 級 ‧ 2012-08-02 01:47:13
最佳解答

Root CA 沒有安裝到外網的電腦去....

在網域內的電腦, 會經由 DC 的 GPO 自動派送 Root CA, 所以會自動安裝. 外網的電腦沒有 GPO 可以派送, 必須自己手動安裝 Root CA.

請先從當初申請憑證的 DC 手動下載《CA根憑證》, 安裝到外網的電腦上去就可以了.

jerry686 iT邦新手 5 級 ‧ 2012-08-02 07:11:50 檢舉

有照著如下的連結,匯出根憑證,win7+outlook2010 已可正常使用.
http://www.dotblogs.com.tw/justingong/archive/2011/05/06/24387.aspx

1.但ASUS TF101平版仍然是找不到伺服器
此平版,在裝新網域B之前, 是設定網域A(win2003+exchange2007)是正常且不用先匯入憑證.
2.Web OWA第一個畫面,仍然會有憑證的警告訊息.

請您多幫忙.感恩~

raytracy iT邦大神 1 級 ‧ 2012-08-02 10:42:51 檢舉

jerry686提到:
ASUS TF101

TF101 是 Android 的系統, 不需要匯入根憑證就可以使用, 建議你砍掉 TF101 上面的 Exchange 帳號, 重新建一個試試看.

OWA 有警告, 是因為你發出來的憑證 CN 名稱, 跟 OWA 所使用的 FQDN 不相符所致. 所以有兩種選擇: 1.重新發一張憑證, CN設定成跟 OWA 的 FQDN 相同; 2.憑證不動, 請 OWA 用戶改用符合憑證的 FQDN 當成進入點.

下面是兩者不相符的例子:
憑證CN = mail.contoso.com, OWA FQDN = www.contoso.com
憑證CN = webmail.contoso.com, OWA FQDN = exchange.contoso.com

但這樣的話就可以相符:
憑證CN = mail.contoso.com, OWA FQDN = mail.contoso.com
憑證CN = webmail.contoso.com, OWA FQDN = webmail.contoso.com

jerry686 iT邦新手 5 級 ‧ 2012-08-02 16:08:02 檢舉

感謝幫忙~
現在的問題為,
Android用自己的帳號(一開始建立的帳號),皆一直無法正常設定完成.
同一時間,用新的帳號bbb,居然可以.
而馬上再換回自的帳號aaa和一開始的問題一樣.(確認過一樣的設定值,帳密也沒錯)

測試的快昏了,後來將自己的帳號aaa刪除後, 再建立一個新的aaa,也和之前一樣的admin權限
新aaa帳號android可以正常使用了.

不知道是為什麼.

0
setsuna
iT邦新手 5 級 ‧ 2017-10-30 11:07:48

雖然這已經是2012年的文章了,我還是想借串問一下問題。

我在Exchange2010安裝第三方SSL憑證後(如:AAA.A1A1.com.tw),造成內部網域(BBB.B1B1.com.tw)使用者Outlook開啟時會出現安全性警告。

我依微軟文件修改內部 Autodiscover、EWS、OAB 位置後已可正常使用。
但過程中發現一些問題,希望有高手能幫忙解答。

  1. 未加入AD網域的Outlook用戶端(2003,2007,2010,2013,2016)都不會跳出安全性警告,但加入AD後只剩2003不會跳出安全性警告。
  2. Outlook用戶端從Exchange2010收到的SSL憑證是存放在哪裡? 我在Outlook裡找不到存放路徑。

希望各位有空時能幫我釋疑,感謝。

raytracy iT邦大神 1 級 ‧ 2017-10-30 11:26:17 檢舉
  1. 未加網域的電腦, Outlook 連線可能會走 rpc over http 的協定, 加了 AD 之後, 會改走 MAPI 協定, 這兩者路徑不同, 所核對的 FQDN 名稱也不同. 因為你是用第三方憑證, 當初購買時, 應該沒有在 SAN 裡面加入內部的 bbb 網域, 所以會有這個問題.

  2. Outlook 不會將 Exchange 憑證儲存在本機的磁碟內, 他只是線上取得, 核對過 FQDN 無誤之後, 就放在記憶體內供 SSL 連線時進行加解密用. Outlook 結束之後, 記憶體釋放, 憑證就消失了.

setsuna iT邦新手 5 級 ‧ 2017-10-30 15:24:12 檢舉

感謝raytracy的回答。

當初申請憑證時只允許單一網域,無法加入其他網域別名,才會造成這種狀況。

我一直以為是加密的關係,搜尋了很久一直都找不到相關資料能解釋這問題,原來是因為協定的問題。

真的很感謝您的解答。

我要發表回答

立即登入回答