Добрый день. Используем Lets Encrypt сертификат для Exchange 2013 . Работало до определенного времени. Теперь стало выдавать ошибку при запуске outlook обнаружена ошибка сертификата безопасности прокси сервера. Outlook при этом работает корректно и ошибка не влияет на работу. веб-интерфейс также доступен и на сертификат не ругается. ошибка ниже на скрине. Пробовал по этой инструкции делать https://dzen.ru/a/Z4fMPpfXR3_OGMjQ Но после установки внутреннего имени вида mail.domen.com , перестает авторизироваться outlook вообще, пока не вернешь обратно внутреннее имя Сам сертификат в порядке, веб-интерфейс открывается без ошибок сертификата
Если входить снаружи (не из офиса) по outlook anywhare, то вышеуказанной ошибки не возникает. Ошибка имеет место быть только внутри локальной сети
Убедитесь что изнутри сети mail.domen.com резолвится во внутренний ИП, а если во внешний то убедитесь что маршрутизация работает. об этом написано в статье на которую вы ссылаетесь: "The internal A record needs to resolve to the internal IP of the CAS server or load balancer virtual IP if you are load balancing multiple CAS servers."
на скрине я вижу что вы пингуете не внешнее имя на которое переписали а что то локальное оканчивающиеся на ".local", вы же для внутреннего подключения прописали внешнее имя, вот его и пингуйте.
если меняю InternalHostname на внешнее, то outlook запрашивает авторизацию и даже если вводить вида domen\login и пароль, то авторизация не проходит. В общем никак нельзя авторизироваться. меняю обратно на внутреннее имя и авторизация работает
Хотелось бы чтобы вы сделали состояние когда у вас проблема. Просмотр состояния подключения outlook :
Зажмите CTRL и правой кнопкой нажмите на иконку Outlook в трее Выберите "Connection Status" Здесь вы увидите текущие соединения и их состояние
Или можно так:
Test Email AutoConfiguration в Outlook:
1. Держите нажатой клавишу CTRL на клавиатуре
2. Кликните правой кнопкой мыши на значок Outlook в системном трее (там где часы)
3. В появившемся меню выберите "Test Email AutoConfiguration"
4. В открывшемся окне: - Введите email адрес - Введите пароль - Снимите галочку с "Use Guessmart" - Оставьте галочку на "Use AutoDiscover"
5. Нажмите кнопку "Test"
После этого вы увидите три вкладки с результатами: - Results - общий результат проверки - XML - полная конфигурация в XML формате - Log - подробный лог процесса автонастройки
В XML вы сможете увидеть все настройки подключения, включая: - URL серверов - Используемые порты - Настройки прокси - Параметры безопасности
Это очень полезный инструмент для диагностики проблем с подключением Outlook к Exchange.
К сожалению не могу не за что уцепиться как будто бы все хорошо и должно работать, давайте вернемся в самое начало: 1. пробросы с внешнего ИП на тот же локальный ИП который прингуется по локальному имени ? 2. если на отдельно взятом пк в хост прописать локальный ИП для внешнего имени проблема воспроизведется ? 3. что то есть в логах на самом ексчедже ?
1. используется Kerio и проброс на тот же локальный айпи, который и пингуется (скрины выше). вот скрин правила на керио 2. да, проблема воспроизводится, потому итак везде прописано чтобы резолвился в локальный айпи. прописывать его в хост или он резолвится с днс сервера значения не имеет 3. в логах эксчендж ничего криминального не нашел
Подозреваю, что может проблема из-за керио. может керио каким-то образом подменяет сертификат . вроде бы началась проблема после нештатной перезагрузки керио, но это не точно
Это хорошо что проблема воспроизводится, подменяйте хостс на одном пк и проводите с ним эксперементы, не ломая всю сеть: 1. если в хост прописать ип локальный. и зайти на owa / ecp они откроются ? 2. Сколько у вас DC в оснастке домен контролерс и сколько из них реально живо ?
1. Да, все ок, открываются без проблем 2.два DC, живы, синхронизируются
ошибка с сертификатом выскакивает у всех только внутри локальной сети. Если подключаться снаружи через протокол anywhare клиентом outlook, то ошибку не бьет
Вы же все это делаете на ПК (подопотным) у которого прописан в хост локальный ИП и у которого проблемы ? делать это нужно в момент эмитации сбоя а не когда все работает.