Почему outlook отваливается от Exchange?

Question

[Алексей]

Ребят, всем привет. Вопрос на миллион: имеем Exchange 2016, клиенты сидят на Outlook. У некоторых цепляется автообнаружением без всяких проблем, а у другой половины почему-то требует учётку Майкрософт. даже если залогиниться под учёткой, то вылезает ошибка подключения к эксч. Самое интересное, что проблема то появляется, то исчезает в течение двух дней. В чём может быть причина и как это дело поправить?

Comments

[MaxKozlov]

для начала на иконке проблемного аутлука можно с ctrl+ПКМ нажать и там будет проверка автоподключения

[Алексей]

MaxKozlov,

[MaxKozlov]

Алексей, у вас явно autodiscover не может нормально работать.
по кодам ошибок смотрели ? какие из указанных путей действительны ?
Если что-то не существует, то и ссылок туда быть не должно.

проверить dns, проверить доступность соответствующих путей с проблемных машин.
проверить настройки autodiscover в exch.

[Роман Безруков]

Алексей, в дополнение к советам MaxKozlov :

Get-AutodiscoverVirtualDirectory | fl identity, server, *auth*,*url*

P.S. проблемные клиенты, случайно, не с собственными ноутами шарахаются?

[Дмитрий Шумов]

[Алексей]

Роман Безруков,


Нет, рабочими доменными ПК. Данный "прикол" появился сразу после выпуска сертификата

[Роман Безруков]

Алексей,

сразу после выпуска сертификата

а что прописано в сертификате (интересует поле SAN) и к каким сервисам Exchange он привязан?...и речь, если я правильно помню, про серт от LE?

P.S. буквально дней 10 назад без проблем обновил клиентам сервера Exchange до последних CU вкупе с сертификатами LE...

[Алексей]

Роман Безруков, Привязан к IIS, IMAP, SMTP
Где посмотреть то, что прописано в сертификате? :|

[Роман Безруков]

Алексей,
Get-ExchangeCertificate YourCertThumbprint | select CertificateDomains

[Алексей]

Роман Безруков, Заметил кое-что: на проблемных пк серт выдан mx.domainname.ru, а на рабочих клиентах он выдан для owa.domainname.ru

[MaxKozlov]

SAN в сертификате вроде как в "DnsNameList" и оно должно совпадать с тем что выдаёт об autodiscover команда от Роман Безруков

[Алексей]

MaxKozlov, Роман Безруков, Господа, если я правильно всё понял, то было выпущено два сертификата (16.10 и 18.10). Те, кто подхватывают старый серт не попадают на эксч, а те, кто новый соответственно, попадают. Как мне проверить свою теорию и насколько она имеет право на жизнь?

Почему я так предположил? На одном клиенте (рабочем) сертификат прилетает owa.domain.ru, который действителен с 18.10, а на другой клиент (не рабочий) прилетает mx.domain.ru. который действителен с 16.10.

[Роман Безруков]

Алексей, удалить на сервере Exchange серт от 16.10 и выполнить iisreset /restart (возможно, еще потребуется перезапустить Microsoft Exchange Transport), после чего проверять работу

[Алексей]

Роман Безруков, но проблемного серта нет в списке сертификатов....

[Роман Безруков]

Алексей, нет где? на сервере Exchange в консоли certlm.msc в Personal (а еще может быть в доверенных корневых и/или доверенных промежуточных) или в выводе Get-ExchangeCertificate?
OWA/ECP какие серты показывают?

[Алексей]

Роман Безруков, В консоли нет. В выводе команды его тоже нет.
Ова показывает нормальный серт, а екп показывает нерабочий сертификат

[MaxKozlov]

иногда бывает что конфиг, который выдаёт exch по get-exchangecertificate не совпадает с тем что написано в web.config
У меня бывало именно что старый сертификат "залип" в iis, хотя exch был уверен что всё уже заменилось

в таких случаях с помощью enable-exchangecertificate нужный сертификат можно переприсвоить сервисам.
и, на крайняк, в оснастке iis можно выбрать. другой, а потом обратно нужный

[Роман Безруков]

Алексей, серверов Exchange сколько? в IIS ничего лишнего не наворочено?
на всех серверах Exchange принудительно выполните:
Enable-ExchangeCertificate -Thumbprint <отпечаток работающего серта> -Services SMTP,IIS -Force
iisreset /restart
restart-service "Microsoft Exchange Transport"

[Алексей]

Роман Безруков, MaxKozlov, Полагаю, я нашёл корень всех зол. Вот тот самый злополучный серт.

Но т.к. в почтовых делах я дуб дубом, а человек отвечающий за это тот еще..., в общем теперь на меня это повесили :)
Куда тут смотреть и что делать не подскажете, люди добрые?

[Роман Безруков]

Алексей,
подчеркнутое красным - удалить
подчеркнутое синим - выполнить действия, описанные в моем предыдущем комментарии

[Алексей]

Роман Безруков, Роман, или я тупой (что наиболее вероятно) или лыжи не едут. Выполняю описанную Вами команду, но не может быть всё так просто...
‎

Заранее прошу прощения за тупость :(

[MaxKozlov]

Алексей, thumbprint - это строка. соответственно в "", а не <> и без пробелов
Роман <> отмечал местоположение обязательного параметра :)

[Алексей]

Роман Безруков, MaxKozlov, к сожалению, не помогло :(

[MaxKozlov]

Алексей, "не помогло" - это означает что клиенты продолжают видеть неверный сертификат ?

[Роман Безруков]

Алексей, да не может быть...IIS и Exchange Transport после перепривязки сертификата перезапущены?

[Алексей]

MaxKozlov, Именно

Роман Безруков

[Роман Безруков]

Алексей, покажите ещё вывод Get-OutlookProvider

[Алексей]

Роман Безруков, Держи

[MaxKozlov]

Алексей, Попробуйте таки ещё через оснастку иис сертификат вручную выбрать. сначала другой, обязательно применить. потом тот что надо

[Алексей]

MaxKozlov, завтра попробую. Никогда с иисом не работал, не подскажете где это делается?

[MaxKozlov]

Алексей, сам на память говорю :)
в его оснастке ищете сайт эксчейнджа. там их два- бэк и фронт. И в биндинге портов сайта смотрите сертификат

[Роман Безруков]

Алексей, все сертификаты имеют закрытые ключи? через GPO никакие лишние сертификаты не распространяются?

[Роман Безруков]

MaxKozlov, Back End висит на 444 порту и закрывается самоподписанным сертом с именем "Microsoft Exchange", выданным конкретным сервером - тут достаточно просто проверить привязки, даже ничего не меняя
а вот на Front End (он же Default Web Site) - там да, нужно потыкать в сертификаты

[Алексей]

Роман Безруков, MaxKozlov, пока до этого руки не дошли, но вот что странно: клиентам помогает получить нормальный серт в cmd ipconfig /flushdns

[MaxKozlov]

Алексей, то есть если сбросить DNS кеш, ваши клиенты начинают видеть правильный сертификат ??
что-то мне кажется вам стоит внимательно посмотреть на свой DNS :)

[Алексей]

MaxKozlov, так, а на что стоит обратить внимание? :)

[Алексей]

Роман Безруков, Не расскажите поподробней как это сделать? Никогда с этим "зверем" не сталкивался..

[Алексей]

Роман Безруков,

Оно?

[Роман Безруков]

Алексей, оно...второй скрин не интересен - там, скорее всего, все по умолчанию...
а вот первый скрин - весьма забавный...

[Роман Безруков]

Алексей, и да - попробуйте разорить контору на курсы Ильи Рудя

[Алексей]

Роман Безруков, Везде нормальный сертификат

[Алексей]

Роман Безруков,

[Роман Безруков]

Алексей, эм...это юмор такой? или я чего не понимаю?
1. сайт kb-modul.ru можно смело выносить
2. во внешнем DNS создается А-запись mail.kb-modul.ru (с IP-адресом от МХ-записи)
3. во внешнем DNS создается MX-запись, указывающая на mail.kb-modul.ru
4. во внешнем DNS создается CNAME-запись autodiscover.kb-modul.ru, указывающая на mail.kb-modul.ru
Подробности тут
5. во внутреннем DNS создается зона прямого просмотра autodiscover.kb-modul.ru. Внутри зоны - А-запись с пустым именем и IP-адресом сервера Exchange
6. ExternalURL и InternalURL во всех виртуальных каталогах Exchange приводятся к виду https://mail.kb-modul.ru/xxx, где xxx = owa/ecp/oab/mapi/...и т.д. (смотрим в первоисточник как должно быть)
7. Перегружаем Exchange и проверяем взлет (сертификаты-то уже настроены)
Подробности тут
ну и первоисточник

Answer 1

[Максим Гришин]

Оутлук с какой-то версии "иногда" пытается ломиться в Azure в поисках тенанта, и иногда ему кажется, что он там что-то нашел. Это правится политиками, детали тут https://docs.microsoft.com/en-us/outlook/troublesh... я настраивал ExcludeExplicitO365Endpoint на уровне домена и что-то ещё, но вторая настройка может быть связана с DNS autodiscovery, советую проверить настройки везде, включая публичный домен, и посмотреть, что там отдается. Но политика лазанья в O365 заведомо помогла избавиться от подобного поведения.

Comments

[Алексей]

Максим Гришин Насколько я знаю, Ваша проблема и решение актуальны только для Office 365 (могу ошибаться). В моем случае ошибки посыпались аккурат после перевыпуском сертификата LE... Что не так может быть с настройками DNS? Куда именно смотреть? Заранее благодарю

[Максим Гришин]

Алексей, ну у меня on-premises Exchange 2013CU20-22 (забыл версию) и клиентские оутлуки при настроенном внутри autodiscover ломились в офис-365. При этом авторизация в офисе была через доменные УЗ. Так что не всё так гладко. Мне попадался документ с MSDN с описанием полного процесса поиска сервера оутлуком, и там 4м стоял этап потенциального поиска в облаке, который нет-нет да и выдавал трудноотлавливаемые ошибки. Поставил политику - всё, никаких больше проблем с подключением к почте.

Что может быть не так с DNS? Например, рассинхрон, пропадание записей autodiscover/SRV на одном из узлов, просто неверные данные для автонастройки изнутри или извне. А если проблемой был серт letsencrypt, проверяйте прокси/CAS'ы, чтобы сертификат везде был назначен и доступен