各位前輩好:
小弟目前遇到問題是Exchange 2016與2019。有使用2個以上不同網域(例如:A1.com.tw;B2.com;C3.com)的郵件信箱在outlook 2016與outlook 2019第二與第三個郵件都會出現!
想請問各位前輩,小弟應該要修正的方向是?
1.IIS裡的Default web site裡面繫結https裡的主機名稱?
2.各重做一個憑證(B2.com;C3.com)
因為目前只有在開啟outlook會出現警告,按是就可以繼續收發郵件。webmail正常。主要郵件也不會出現警告訊息。怕修改憑證等,所有使用者都要重新安裝憑證,會比較麻煩。
懇請各位前輩指導一下小弟。感激不盡。
已邀請的邦友 {{ invite_list.length }}/5
我剛看了你的憑證, 裡面只有三組給:
actmax.com.tw
專用的 DNS 別名
並沒有畫面上用來連線的:
autodiscover.tripod-tech-tp.com
這組別名. (當然也沒有其他域名可用的別名)
由於憑證上的名稱與 Outlook 發起的連線對象不匹配, 所以當然會回報錯誤.
你必須將所有要連線的別名, 全部都寫進這張憑證裡去; 根據你描述, 總共有三組域名會用到這套 Exchange Server, 你必須把這三組各自的三個主體別名 (3x3=總共 9 個) 都寫在這張憑證內.
我猜測這張憑證當初是透過 Exchange ECP 介面製作出 CSR 申請的, 在這種狀況下, 你產生 CSR 的時候, 不能只讓 Web 介面自動填入 DNS name, 因為 ECP 介面的自動填入, 只會抓取主域名, 而忽略掉其他的域名. 你可以在產生 CSR 的過程中, 將所需要的 9 個別名, 以人工手動方式, 全部都填寫進入欄位內, 拿這樣產出來的 CSR 去向 Root CA 申請, 就可以得到有完整 9 組 DNS name 的正確憑證.
感謝雷大指教。真的如您所說"這張憑證當初是透過 Exchange ECP 介面製作出 CSR 申請的"。
請問雷大,我是否重做一張憑證就可以了?還是可以直接修改憑證(加入完整 9 組 DNS name 的別名)。
因為憑證只能指定一個,而且我所有的users都要重新安裝新的憑證才可以正常收發信。
那這樣,爾後只要新增一個網域名稱我都要重做憑證並全部使用者重新安裝新的憑證才可以正常收發信,對嗎?
以上,感謝您了。
憑證不能修改, 只能重作
多回答一些:
我看到你的憑證簽發者是: actmax-MAIL-CA, 請問這是你 AD 裡面的 Enterprsie Root CA 嗎?
如果是的話, 你不需要每次更新憑證, 都跑去重新安裝用戶端的憑證啊; 只需要從 Domain Controller 下載一次 Root CA 的憑證, 把它透過 GPO 派送到每一台電腦去自動安裝 (當然你要手動一台一台裝也是可以, 但我沒那個閒工夫)....
當每一台電腦裏面都安裝好 Root CA 之後, 以後由這個 CA 簽發出來的所有憑證, 都不需要另外個別去安裝, 他自動就會根據 Root CA 來驗證身分; 所以你不論換多少次憑證, 只要確保它是由 actmax-MAIL-CA 這台主機簽出來, 所有安裝過 actmax-MAIL-CA 這張憑證的用戶端電腦, 都可以主動認得她簽發的憑證, 不用一個一個去安裝....
iThome鐵人賽
看影片追技術