Outlook-Sicherheitswarnung - Der Name im Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Site überein

14

SBS 2008 mit Exchange 2007 und IIS6.0

CompanyA hat zwei weitere Unternehmen, die unter einem Dach operieren. Für die Verwaltung von E-Mails stehen pro Benutzer 3 Exchange-Konten zur Verfügung. Alle Benutzer verwenden ihr CompanyA-Konto, um sich bei der Domain anzumelden.

E-Mail funktioniert intern und über OWA. Das Problem tritt beim Einrichten von Outlook für Remotebenutzer auf, die Zugriff auf E-Mails von Unternehmen B und Unternehmen C benötigen. Outlook zeigt den Zertifikatfehler an.

Das SSL-Zertifizierungs-SAN hat die folgenden DNS-Namen:

  • webmail.companyA.com
  • www.webmail.companyA.com
  • CORP-SBS
  • CORP-SBS.local
  • autdiscover.companyA.com

Die Benutzer, die remote auf die E-Mail-Adresse von companyC zugreifen, haben mir mitgeteilt, dass dies bisher noch nie passiert ist. Dies begann damit, dass der CEO die DNS-Anbieter selbst wechselte und dabei die ursprünglichen DNS-Einstellungen verloren gingen. Er erwähnte, dass ein SRV-Datensatz erstellt wurde, der dieses Problem behebt, aber das war es auch schon.

Suchen Sie nach Anleitungen, wie Sie dies richtig angehen können.

Mike66350216
quelle

Antworten:

25

Dieses Problem wird höchstwahrscheinlich durch den AutoErmittlungsdienst von Outlook verursacht , der Teil der Outlook Anywhere- Funktionalität ist. Die automatische Erkennung stellt dem Outlook-Client des Endbenutzers verschiedene Informationen zu den verschiedenen von Exchange angebotenen Diensten zur Verfügung und wo diese gefunden werden können. Dies wird für eine Vielzahl von Zwecken verwendet:

  • Automatische Konfiguration von Outlook-Profilen bei der ersten Ausführung von Outlook, bei der ein Exchange-Konto nur unter Verwendung der E-Mail-Adresse und des Kennworts des Benutzers konfiguriert werden kann, da die anderen Informationen automatisch gesucht und abgerufen werden.

  • Dynamischer Speicherort von webbasierten Diensten, auf die der Outlook-Client zugreift, einschließlich Abwesenheitsassistent, Unified Messaging-Funktionalität, Speicherort der Exchange-Systemsteuerung (ECP) usw.

Dies ist die proprietäre Implementierung von RFC 6186 von Microsoft . Leider haben sie die Empfehlungen dieses RFC im Design von Outlook Anywhere nicht wirklich befolgt, aber das ist möglicherweise zu erwarten, da Exchange- und RPC-über-HTTPS-Funktionen kein traditioneller IMAP / SMTP-Server sind.


Wie funktioniert die automatische Erkennung (für externe * Benutzer)?

Die automatische Erkennung kommuniziert mit einem Webdienst auf einem Clientzugriffsserver (in diesem Fall befinden sich alle Rollen auf dem SBS-Server) unter dem Pfad /Autodiscover/Autodiscover.xml, der von seiner Standardwebsite aus verwurzelt ist. Um den vollqualifizierten Domänennamen des Servers zu ermitteln, mit dem kommuniziert werden soll, wird der Benutzerteil der E-Mail-Adresse entfernt und die Domäne (dh @ companyB.com) verlassen. Es wird versucht, über die folgenden URLs mit Autodiscover zu kommunizieren:

  • https://companyB.com/Autodiscover/Autodiscover.xml
  • https://autodiscover.companyB.com/Autodiscover/Autodiscover.xml

Wenn dies fehlschlägt, wird versucht, eine nicht sichere Verbindung herzustellen, indem SSL deaktiviert und versucht wird, über Port 80 (HTTP) zu kommunizieren. Dies erfolgt normalerweise, nachdem der Benutzer aufgefordert wurde, zu bestätigen, dass dies eine akzeptable Aktion ist (meiner Meinung nach eine fehlerhafte Option, da ahnungslose Benutzer dies tun werden) In der Regel wird dies genehmigt, und es besteht das Risiko, dass Anmeldeinformationen über Nur-Text gesendet werden. Ahnungslose Systemadministratoren, die keine gesicherte Kommunikation von Anmeldeinformationen und geschäftskritischen Daten benötigen, sind ein Risiko für die Geschäftskontinuität.

Abschließend wird eine Folgeüberprüfung mithilfe eines Dienstdatensatzes (SRV) im DNS durchgeführt, der an einem bekannten Ort außerhalb des companyB.comNamespaces vorhanden ist und Outlook an die richtige URL umleiten kann, unter der der Server empfangsbereit ist.


Was kann schon schief gehen?

Hierbei kann eines von mehreren Problemen auftreten:

Keine DNS-Einträge

In der Regel wird der Stamm der Domäne ( companyB.com) möglicherweise nicht in einen Hosteintrag im DNS aufgelöst. Eine falsche DNS-Konfiguration (oder eine bewusste Entscheidung, den Outlook Anywhere-Dienst nicht verfügbar zu machen) kann bedeuten, dass der autodiscover.companyB.comDatensatz ebenfalls nicht vorhanden ist.

In diesen Fällen gibt es keine größeren Probleme. Outlook kommuniziert einfach weiterhin mit Exchange mit der zuletzt bekannten Konfiguration und ist möglicherweise in Bezug auf bestimmte webbasierte Funktionen, für die es URLs über die automatische Erkennung abrufen muss (z. B. Abwesenheitsassistent), beeinträchtigt. Eine Problemumgehung besteht darin, Outlook Web Access für den Zugriff auf solche Funktionen zu verwenden.

Die automatische Konfiguration von Exchange-Konten in neuen Outlook-Profilen ist ebenfalls nicht automatisiert und erfordert eine manuelle Konfiguration der RPC-über-HTTPS-Einstellungen. Dies führt jedoch nicht zu dem von Ihnen beschriebenen Problem.

Fehlerhafte SSL-Zertifikate

Es ist durchaus möglich, dass die URL, die Outlook verwendet, um zu versuchen, eine Verbindung mit dem Exchange Server herzustellen, zu einem Host aufgelöst wird, der möglicherweise ein Clientzugriffsserver ist oder nicht. Wenn Outlook über Port 443 mit diesem Server kommunizieren kann, werden natürlich Zertifikate ausgetauscht, um einen sicheren Kanal zwischen Outlook und dem Remoteserver einzurichten. Wenn die URL, mit der Outlook zu sprechen glaubt, nicht in diesem Zertifikat aufgeführt ist - sei es als gebräuchlicher Name oder alternativer Antragstellername (SAN) -, wird Outlook aufgerufen, um das Dialogfeld anzuzeigen, das Sie in Ihrem ersten Beitrag beschrieben haben.

Dies kann verschiedene Gründe haben, je nachdem, wie DNS konfiguriert ist und wie die oben beschriebenen URLs von Outlook überprüft werden:

  • Wenn die https://companyB.com/... URL Entschlüsse an einen Host - Datensatz, und den Web - Server an dieser Adresse lauscht auf Port 443, und es hat ein SSL - Zertifikat , das tut nicht Liste companyB.comin dem gemeinsamen Namen oder Subject Alternative Namen, dann wird das Problem auftreten. Es spielt keine Rolle, ob der Host ein Exchange Server ist oder nicht. Möglicherweise handelt es sich um einen Webserver, auf dem eine Unternehmens-Website gehostet wird, die nicht ordnungsgemäß konfiguriert ist. Corrige entweder:

    • Deaktivieren des Host - Datensatz an der Wurzel der companyB.comZone (bedürftigen Besucher der Website oder andere Dienste zu treten www.companyB.com, oder gleichwertig; oder
    • Deaktivieren Sie den Zugriff auf den Computer companyB.comüber Port 443, wodurch Outlook die companyB.comURL ablehnt, bevor Zertifikate ausgetauscht und weitergeleitet werden. oder
    • Korrigieren Sie das Zertifikat unter, companyB.comum sicherzustellen, dass companyB.comes in diesem Zertifikat aufgeführt ist und dass der Versuch, es https://companyB.comin einem Standardbrowser aufzurufen, nicht fehlschlägt.

    Das oben Gesagte gilt unabhängig davon, ob es companyB.comauf den Exchange Server aufgelöst wird. Wenn Outlook mit ihm kommunizieren kann, stellt es später fest, dass der /Autodiscover/Autodiscover.xmlPfad einen HTTP 404-Fehler ergibt (nicht vorhanden), und fährt fort.

  • Wenn die https://autodiscover.companyB.com/URL ... in den Exchange-Server (oder einen anderen Server) aufgelöst wird, autodiscover.companyB.comjedoch nicht als allgemeiner Name oder alternativer Antragstellername aufgeführt ist, tritt dieses Verhalten auf. Es kann durch die Festsetzung der Bescheinigung , wie oben festgelegt werden, oder wie Sie richtig angeben, können Sie einen verwenden SRV - Eintrag Outlook auf eine URL zu umleiten , die sich auf dem Zertifikat aufgeführt und die Outlook kann kommunizieren.

Ihre wahrscheinliche Lösung für dieses Problem

In diesem Fall besteht die typische Lösung darin, Letzteres zu tun. Erstellen Sie SRV-Einträge im neuen DNS-Anbieter, um sicherzustellen, dass Outlook umgeleitet wird. Dies autodiscover.companyA.comfunktioniert (abgesehen von anderen Problemen), da es im Zertifikat als SAN aufgeführt ist. Damit dies funktioniert, müssen Sie:

  • Konfigurieren Sie einen _autodiscover._tcp.companyB.comSRV-Datensatz gemäß der Dokumentation .
  • Löschen Sie den autodiscover.companyB.comHost-Datensatz, falls vorhanden, um zu verhindern, dass Outlook dies löst und versucht, die automatische Erkennung auf diese Weise zu erreichen.
  • Beheben Sie auch alle Probleme mit dem HTTPS-Zugriff https://companyB.comwie oben beschrieben, da Outlook die von der E-Mail-Adresse des Benutzers abgeleiteten URLs auflistet, bevor Sie auf die SRV-Datensatzmethode zurückgreifen.

* Wie funktioniert die automatische Erkennung (für interne, domänenverbundene Clients)?

Ich füge dies nur der Vollständigkeit halber hinzu, da dies ein weiterer häufiger Grund für das Auftreten dieser Zertifikat-Eingabeaufforderungen ist.

Auf einem Client mit Domänenbeitritt werden die oben genannten Techniken nicht verwendet, wenn er lokal in der Exchange-Umgebung (dh im internen LAN) ist. Stattdessen kommuniziert Outlook direkt mit einem Dienstverbindungspunkt in Active Directory (in den Exchange-Clientzugriffseinstellungen aufgeführt), der die URL enthält, unter der Outlook den AutoErmittlungsdienst finden kann.

Unter diesen Umständen kommt es häufig zu Zertifikatswarnungen, weil:

  • Die für diesen Zweck konfigurierte Standard-URL bezieht sich auf die interne URL von Exchange, die sich häufig von der öffentlichen URL unterscheidet.
  • In SSL-Zertifikaten wird möglicherweise nicht die interne URL aufgeführt. Derzeit ist dies bei Ihnen der Fall, dies kann jedoch in Zukunft zu einem Problem für Active Directory-Domänen werden, die .localähnliche nicht-globale gTLD-Domänennamensuffixe verwenden, da eine Entscheidung der ICANN die Ausstellung von SSL-Zertifikaten für solche Domänen nach 2016 untersagt.
  • Die interne Adresse wird möglicherweise nicht in den richtigen Server aufgelöst.

In diesem Fall wird das Problem behoben, indem die aufgezeichnete URL so korrigiert wird, dass sie auf die richtige externe Adresse verweist (im Zertifikat aufgeführt), indem das Set-ClientAccessServerCmdlet mit dem -AutodiscoverServiceInternalUriSchalter ausgeführt wird. Parteien, die dies tun, konfigurieren in der Regel auch Split-Horizon-DNS , entweder weil sie dies aufgrund ihrer Netzwerkkonfiguration und / oder aus Gründen der Auflösungskontinuität bei einem Upstream-Resolver / Verbindungsausfall tun müssen.

Kosmischer Ossifrage
quelle
2
Hervorragendes Schreiben! Obwohl ich der Meinung bin, dass es sich im letzten Abschnitt eher um einen Service Connection Point (SCP) als um einen Service Locator Point (SLP) handeln sollte.
BlueCompute
@BlueCompute Ja, Sie haben recht, ich hatte in letzter Zeit zu lange meinen Kopf im Land des System Centers! (SLPs existierten früher in SCCM 2007 und dienten dem SCP für einen Remote-bezogenen Zweck.)
Behoben
Danke für das gründliche Schreiben! Ich habe gerade bemerkt, dass autodiscover.companyA.com ein A-Eintrag und kein CNAME-Eintrag ist. Wird sich dies auf die ordnungsgemäße Funktion des SRV-Datensatzes für companyB.com auswirken?
Mike66350216
1
Die öffentliche Unterstützung für SRV-Einträge fehlt auch bei DNS-Anbietern noch etwas. Klingt so, als hättest du es erledigt!
Cosmic Ossifrage
3
Ich möchte nur darauf hinweisen, dass Ihr wunderbarer Artikel + der folgende Link mein Problem gelöst hat. superuser.com/questions/770308/… . Ich wollte diese Notiz nur für jeden hier lassen, der mit mir im selben Boot saß.
James Watt
3

Sie müssen einen SRV-Datensatz in den Domänen B und C erstellen, der mit einem der Namen im Zertifikat übereinstimmt (autodiscover.companyA.com). Dadurch wird Outlook mitgeteilt, dass dieser Name die automatische Erkennung für die Domänen B und C behandelt.

Lesen Sie hier die SRV-Einträge im DNS-Abschnitt:

https://jaapwesselius.com/2011/08/28/autodiscover-redirect-srv-record/

Joeqwerty
quelle
1
Die Verbindung ist unterbrochen ...
Ich sage "Reinstate Monica
@ Twisty Der Link wurde behoben.
Alexander Gonchiy