Windows SBS 2011 Exchange Tanúsítvány csere után Outlook probléma

Microsoft Windows

Sziasztok!

Kérlek segítsetek a következő probléma kihámozásában:
Lejárt a tanúsítványunk, igényeltünk a Netlakattól (UCC - benne domainünk.hu és *.domainünk.hu és még több más - mx rekordunk a mail.domainünk.hu-ra mutat), meg is kaptuk, beimportáltam (mmc-be), hozzáadtam exchange-be, iis-be.
Az owa és egyéb saját oldalak szépen fel is szedték az új tanúsítványt. Zöld a lakat, hiba nincs.
A probléma, hogy az outlook külső hálózatból nem megy, tanúsítványhibára panaszkodik:

Probléma merült fel a proxykiszolgáló biztonsági tanúsítványával kapcsolatban. A biztonsági tanúsítvány neve érvénytelen, vagy nem felel meg a célhely (mail.domainünk.hu) nevének.
Az Outlook nem tud kapcsolódni a proxy kiszolgóhoz. Hibakód:0

Local hálón minden rendbe.
A https://testconnectivity.microsoft.com -on ellenőriztem és ezt a hibát látom:
Analyzing the certificate chains for compatibility problems with versions of Windows.
Potential compatibility problems were identified with some versions of Windows.
Additional Details:
The Microsoft Connectivity Analyzer can only validate the certificate chain using the Root Certificate Update functionality from Windows Update. Your certificate may not be trusted on Windows if the "Update Root Certificates" feature isn't enabled.

Azt olvastam valahol, hogy ez nem gond ... De valamiért mégse megy az outlook. Ja, és érdekes módon a telefonok kapják a mailt (droid, ios).

Előre is köszönöm mindenkinek a segítséget.

  • 1528 megtekintés

( n.balazs v | 2017. 05. 30., k – 18:05 )

Kívülről hogy érik el az Exchange-t? Hol terminálódik az SSL?
Nézd meg kívülről, hogy milyen tanúsítvány látszik. Openssl-lel:
openssl s_client -connect xyz.hu:443 -showcerts
Majd a kiírt tanúsítványokat ellenőrizned kellene.

Szia,

Az outlook-ba az exchange fiók kiszolgálója belsődomain.local címmel van felvéve. Gondoltam már erre is, hogy a külső exchange címmel kellene hivatkozni. Kitöröltem a fiókot, külső hálózatból próbáltam hozzáadni a külső címünkkel (mail.domainün.hu), de nem tudtam beautentikálni. A hitelesítés basic, de nem fogadta el semmilyen módon a felhasználómat. (usernév, domain\usernév)
Kívülről az új tanúsítvány látszik. A fenti parancsot beírva két tanúsítványt látok. Kétszer látom a begin certificate-et, mindkettő ugyanaz és ezt importáltam be, tehát elvileg ez rendben van.

"Az outlook-ba az exchange fiók kiszolgálója belsődomain.local címmel van felvéve. "
Belső domain nevet felejtsd el. Nem részletezem, miért, csak hidd ezt el. Na pl. a cégneved dom.hu akkor mail.dom.hu legyen a pub IP címre mutató rekord publik DNS szervereden, belső DNS szerveren pedig az exchangenek egy második, belső IP címére mutasson - OR a tűzfalon még a belső lábról irányítsd vissza a kifele menő kéréseket erre a 2nd belső IP-re. Outlooknak innentől mind1 lesz hogy kint van vagy bent, menni fog. Autodiscover rekordok legyenek rendben, már ha érted egyáltalán, mire gondolok! ;)

ÓÓÓ, ha érteném, itt se lennék :D
A cégnevem dom.hu, publikus dns szerveren van adminisztrálva. Van egy mail.dom.hu, szintén publikus dns szerveren.
A mail.dom.hu és az autodiscover.dom.hu külső hálóból pingelve a külső ip címünket adja vissza, belső hálóból a belső ip címet.
Szóval gyakorlatilag így van. Így is volt, így örököltem meg :)

Köszi a segítséget. Az eddigieket is és a google súgót is.
Server Config / Hub transport / receive connectors
Na itt nekem van több bejegyzés is:
Default SBS
- FQDN to HELO or EHLO: sbs.local
Windows SBS Internet Receive SBS
- FQDN to HELO or EHLO: mail.dom.hu

De szerintem nem itt van a hiba. Azt hogy tudnám kinyomozni, hogy milyen certet kap az outlook, ami miatt azt mondja hogy tanúsítvány hiba? Ezt a logolást hol tudom beállítani? És hova fog logolni?
Bocs, de hülye vagyok ehhez :(

Azon a részen úgy tűnik átsiklottál, hogy két IP címre van szükséged az exchange szervereden. Egyik interfészen figyeljen (IIS-ben!) az a cert, ami a mail.dom.hu-ra szól és erre az IP-re oldja fel a publikus domain nevet a belső DNS. A másikra (valódi belső IP cím) mehet a domainból érkező önaláírt cert. Erre a címre mutasson a belső DNS-ben a exchange.sbs.local vagy akármi is ez. Ha ez rendben van, akkor utána jöhetnek az Exchange-ben a konnektorokhoz hozzárendelt certek, oda bátran állítsd be a külső certet szinte mindenhova. De csak szinte. ;) Az EHLO string nem számít, tök mind1.
Bájdövéj, az autodiscover.dom.hu csak egy A rekord, neked több _SRV rekordra is szükséged lesz hogy az Outlookok rendesen feltaláljanak. Ezek egyébként valószínűleg rendben is vannak, de nem árt utánaolvasnod, hogy is működik. ;)

( fastline | 2017. 05. 30., k – 21:07 )

Üdv!

A Connectivity analyzer szerint előfordulhat, hogy nincs a gépen a CA-tok mint megbízható CA, mert nem volt benne gyárilag az összes jelenleg futó Windows verzióban. Kliensen a gép accountjának tanúsítvány tárolójában ellenőrizni kell, hogy szerepel-e a CA-tok mint legfelső megbízható.

Ha igen és még mindig sír, akkor nézd meg, hogy a https://mail.domainunk.hu/owa milyen tanúsítványt mutat, na és ebben kell megnézni, hogy a certben, benne van-e az egész cert lánc a rootCA-ig. Ha csak saját maga szerepel a láncban, akkor kell egy olyan tanúsítvány, amiben a teljes lánc benne van.

Ha ez sem akkor átnézni, minden access connectort, hogy milyen host nevet használ kommunikáció során. Az SBS szereti a rövid host nevét beerőltetni mindenhova, ez nem egyező név hibát eredményez. Ezeket kell átírni mail.domainunk.hu-ra

Szia

Ha jól értem, akkor a tanúsítvány lánccal lehet a probléma. mmc-be személyesként importáltam a kapott tanúsítványt. Meg is jelent a Megbízható legfelső szintű hitelesítésszolgáltatók között a tanúsítvány láncom legfelső eleme.
Eddig meg sem néztem, de Főtanúsítvány a gépemen is jelen van mint megbízható legfelső szintű.

Az owa külső hálóból nézve jó tanúsítványt mutat. A tanúsítvány lánca a következő:

Netlock Arany (class Gold) Főnanúsítvány
Netlock express (class C) tanúsítványkiadó
domainunk.hu

Ez nem lehet gond? Mármint hogy domainünk.hu van, de a levelezés mail.domainünk.hu-ról megy. Igaz UCC a cert, a san mezőbe benne van a *.domainünk.hu is.

A harmadik bekezdésedhez kérnék egy kis segítséget. Hol tudom megnézni az access connectort? Log fájlba?