Exchange 2016 и сертификат. Откуда?

Question

Дмитрий Шумов @dshumov

Олдскул - Фигурнов форева

Exchange 2016 и сертификат. Откуда?

Коллеги, приветствую!
Помогите понять некую несообразность. Есть Exchange 2016, работает, сертификаты при мне уже два раза менялись. Но иногда, рандомно, при подключении Outlook, начинает ругаться на сертификат, который был когда-то 2 года назад. В IIS, в самом Exchange, стоят правильные, свежие сертификаты. Старые ни где не фигурирует.
Вопрос, откуда вылазит старый сертификат, если его давно нет?

Вопрос задан более двух лет назад
443 просмотра

9 комментариев

Подписаться 1 Средний 9 комментариев

Роман Безруков @NortheR73

в локальных хранилищах (user/local machine) сертификатов нигде не застрял случайно?

Написано более двух лет назад
MaxKozlov @MaxKozlov

Если вылезает - значит где-то таки есть :)
для начала стоит посмотреть в локальном хранилище всех exch серверов и прокси, если таковое присутствует.
а, точнее даже, посмотреть куда настроен autodiscovery, куда показывает dns по этому адресу и вот там и посмотреть
а то может где-то в dns осталась ссылка на сервер, который уже давно не exch, но с iis

Написано более двух лет назад
Дмитрий Шумов @dshumov Автор вопроса

Роман Безруков, Все локальные хранилища обоих Exchange серверов, пересмотрены и не по одному разу ( ни где нет такого.....
MaxKozlov, Exchange сервер, куда настроен autodiscovery, так же просмотрен на предмет "протухшего и несуществующего" сертификата - тоже мимо. Серверов, которые не Exchange - таких тоже нет (
Есть еще какие-то идеи как проверить? Может команды PS есть какие-то?

Написано более двух лет назад
Роман Безруков @NortheR73

Дмитрий Шумов, пока только Get-ExchangeCertificate и Get-OutlookProvider

Написано более двух лет назад
Дмитрий Шумов @dshumov Автор вопроса

Get-ExchangeCertificate - выдает нормальные сертификаты. Левых среди них нет....

Написано более двух лет назад
MaxKozlov @MaxKozlov

Дмитрий Шумов, Можно поискать его по сервисам. вдруг кто-то умудрился его туда запихнуть

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Services
А там по id (thumbprint)

и в оснастке iis убедиться, что никто на него не указывает. хотя за пару лет наверное сервер таки перезагружали

dns у вас всегда одну запись про autodiscover выдаёт ?

Снаружи exch доступен? через что? tmg, другой какой reverse proxy ?

Написано более двух лет назад
Дмитрий Шумов @dshumov Автор вопроса

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Services
А там по id (thumbprint)
- пусто, нет такого отпечатка...

dns у вас всегда одну запись про autodiscover выдаёт ?
да, выдает одну запись

Снаружи exch доступен? через что? tmg, другой какой reverse proxy ?
- да, доступен, через PalAlto как то сетевики выпускают. У них спрашивал, там тоже не фигурирует этот серт.
Единственно, где нашел этот серт на DC там (зачем то?) поднят iis и сайт-редирект с http на https. И все...

Написано более двух лет назад
MaxKozlov @MaxKozlov

Дмитрий Шумов, А вот это как раз скорее всего и причина - autodiscover, в том числе, проверяет и адрес domain.tld кроме autodiscover.domain.tld
а domail.tld - это адреса dc

https://<SMTP-address-domain>/autodiscover/autodiscover.xml
http s://autodiscover.<smtp-address-domain>/autodiscover/autodiscover.xml

https://learn.microsoft.com/en-us/exchange/archite...

Написано более двух лет назад
Дмитрий Шумов @dshumov Автор вопроса

MaxKozlov, ок, спасибо. Удалил - понаблюдаем...

Написано более двух лет назад

Помогут разобраться в теме Все курсы

Нетология

Python-разработчик с нуля

6 месяцев

Далее
Skillfactory

DevOps-инженер

6 месяцев

Далее
SF Education

Бэкенд-разработчик на Python

3 месяца

Далее

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Microsoft Exchange

Средний
Почему возникает ошибка подключения нескольких почтовых ящиков Exchange?
- 4 подписчика
- 09 нояб.
- 163 просмотра
1

ответ
Цифровые сертификаты

+1 ещё

Средний
Почему не получается выдать сертификаты cert manager?
- 1 подписчик
- 06 нояб.
- 77 просмотров
2

ответа
Microsoft Exchange

+1 ещё

Сложный
Почему логин в Outlook перекидывает на страницу логина Microsoft?
- 2 подписчика
- 22 окт.
- 218 просмотров
1

ответ
Microsoft Exchange

Средний
На нескольких клиентах outlook не срабатывает autodiscover, почему?
- 2 подписчика
- 20 окт.
- 150 просмотров
1

ответ
Цифровые сертификаты

+2 ещё

Простой
Как создать запрос на выпуск сертификата с шифрованием ГОСТ для Минцифры?
- 2 подписчика
- 19 окт.
- 196 просмотров
1

ответ
Цифровые сертификаты

+2 ещё

Средний
Почему не выдается сертификат в mailcow?
- 1 подписчик
- 06 окт.
- 116 просмотров
2

ответа
Microsoft Exchange

+1 ещё

Простой
Можно ли настроить через центр администрирования server?
- 2 подписчика
- 29 сент.
- 75 просмотров
1

ответ
Microsoft Exchange

Средний
Почему Exchange перенаправляет на сайт Microsoft?
- 2 подписчика
- 27 сент.
- 146 просмотров
1

ответ
Gmail

+1 ещё

Средний
Как в почте Gmail на Android решить проблему «Методы аутентификации не поддерживаются сервером»?
- 2 подписчика
- 25 сент.
- 185 просмотров
2

ответа
Nginx

+1 ещё

Простой
Использование двух ssl на одном домене?
- 4 подписчика
- 25 сент.
- 536 просмотров
2

ответа
Показать ещё Загружается…

Веб дизайнер (удаленный формат)

MYFORCE

от 100 000 до 250 000 ₽

Разработчик на Java в Диск

Яндекс • Москва

от 300 000 до 450 000 ₽

QA инженер

RedLab • Ташкент

До 150 000 ₽

в локальных хранилищах (user/local machine) сертификатов нигде не застрял случайно?
Если вылезает - значит где-то таки есть :)
для начала стоит посмотреть в локальном хранилище всех exch серверов и прокси, если таковое присутствует.
а, точнее даже, посмотреть куда настроен autodiscovery, куда показывает dns по этому адресу и вот там и посмотреть
а то может где-то в dns осталась ссылка на сервер, который уже давно не exch, но с iis
Роман Безруков, Все локальные хранилища обоих Exchange серверов, пересмотрены и не по одному разу ( ни где нет такого.....
MaxKozlov, Exchange сервер, куда настроен autodiscovery, так же просмотрен на предмет "протухшего и несуществующего" сертификата - тоже мимо. Серверов, которые не Exchange - таких тоже нет (
Есть еще какие-то идеи как проверить? Может команды PS есть какие-то?
Дмитрий Шумов, пока только Get-ExchangeCertificate и Get-OutlookProvider
Get-ExchangeCertificate - выдает нормальные сертификаты. Левых среди них нет....
Дмитрий Шумов, Можно поискать его по сервисам. вдруг кто-то умудрился его туда запихнуть

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Services
А там по id (thumbprint)

и в оснастке iis убедиться, что никто на него не указывает. хотя за пару лет наверное сервер таки перезагружали

dns у вас всегда одну запись про autodiscover выдаёт ?

Снаружи exch доступен? через что? tmg, другой какой reverse proxy ?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Services
А там по id (thumbprint)
- пусто, нет такого отпечатка...

dns у вас всегда одну запись про autodiscover выдаёт ?
да, выдает одну запись

Снаружи exch доступен? через что? tmg, другой какой reverse proxy ?
- да, доступен, через PalAlto как то сетевики выпускают. У них спрашивал, там тоже не фигурирует этот серт.
Единственно, где нашел этот серт на DC там (зачем то?) поднят iis и сайт-редирект с http на https. И все...
Дмитрий Шумов, А вот это как раз скорее всего и причина - autodiscover, в том числе, проверяет и адрес domain.tld кроме autodiscover.domain.tld
а domail.tld - это адреса dc

https://<SMTP-address-domain>/autodiscover/autodiscover.xml
http s://autodiscover.<smtp-address-domain>/autodiscover/autodiscover.xml

https://learn.microsoft.com/en-us/exchange/archite...
MaxKozlov, ок, спасибо. Удалил - понаблюдаем...

Exchange 2016 и сертификат. Откуда?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт