修改OWA验证方式及分配证书服务

大家好,由于最近在做一个项目,所以有几天没有跟大家一起分享关于Exchange的内容了,今天就来给大家讲一个之前与到的故障问题及解决办法,希望能够帮助到大家今后的TroubleShooting。

首先,我先还原一下当时的一个场景。有一家公司,目前使用的是Exchange 2013的邮件系统,并且使用的是TMG2010在做邮件发布。最近该公司购买了通配符证书,想再TMG上更改通配符证书,但是无论如何更改与配置,Exchange的发布一直有问题。查阅了很多资料,发现很多达人说是TMG和通配符证书存在一定的兼容性问题,在有些应用的发布上有BUG。当然了,这个问题不是今天我们主要讨论的问题点,anyway这个问题是今后必须要解决的,到时候我也会写博客与大家一起分享。

下面就着重说说今天的主题:修改OWA验证方式及分配证书服务

当时我们为了做一些相关的测试,也通过一些KB的指导,我们准备将公司的证书,从现有的私有证书替换为通配符证书,并修改OWA的验证方式(默认:ECP的验证方式与OWA一样),希望通过“基本身份验证”的方式,直接通过弹出窗口的形式进行验证,尝试OWA和ECP的登录操作。因为目前该企业使用的是“基于表单的身份验证”,且已经制定了“登录域”,这样配置的好处就是用户在登录OWA\ECP的时候,只需要属于域账号和密码就可以直接进行身份验证,就省去了输入域名的烦恼,这个相信大家应该都知道吧,就不用多说了。

问题重现:

接下来我们就模拟问题发生的状况,首先替换公网通配符证书

选择服务,来将Exchange的各项服务分配到这个通配符证书上

根据企业现有的Exchange环境和角色,勾选服务。

注:我们这里勾选了 IIS,这个就是问题点。

然后切换到OWA的身份验证方式对话框,选择“使用一个或多个标准身份验证方法”中的“基本身份验证”

此时系统会提示叫通过 IISreset /noforce重启IIS,再进行尝试。

注:如果不想发生下面的错误,免得自己给自己找麻烦,这里千万不要关闭已经打开了的ECP!!!!

上面红色的字体已经提示了大家,不要关闭已经打开了的ECP,悲剧的是,我已经关闭了…….

为什么不能关闭ECP呢?我们 接下来看看症状:

在重启了IIS后,我首先在外网重新打开ECP界面,

Duang!!!!! 不仅自动给我跳转到了一个OWA/?BO=1的界面,还给我报错!!

然后切换到内网进行ECP尝试登陆

再次 Duang!!!! 界面可以显示,不过始终提示账号密码不正确!!

此时OWA界面也是如此,且outlook也已和Exchange Server断开了链接。

真是晴天霹雳啊 ! RollBack吧,ECP又打不开!没办法,只有想到了命令行。

首先我们来分析一下,外网和内网用户IE显示的内容不一样。

先看外网:很明显,外网的报错信息很有可能是和公网通配符证书在TMG做发布的时候出现了问题,导致直接无法访问到有效的页面(当然了,这个问题我还没解决,如果看到这篇文章的达人们能知道,也请指教,谢谢!)

再看内网:内网报错提示账号密码错误,这个问题基本上就是和IIS的验证方式上出现了问题。

那么接下来我们各个击破,尝试解决这个问题。

解决办法:

1. 首先我们必须先替换回原有证书

使用管理员权限登录到Exchange Server,并打开EMS

输入 Get-ExchangeCertificate 来查看现在Exchange服务器内所有的证书,争取找到原有的证书,并记下前面的证书指纹

如果证书过多,找不到的话,还可以使用 Get-ExchangeCertificate |FL 来进行详细查找,着重通过下图标注出的“证书名”、“分配服务”来进行区分,并记下“证书指纹”

找到原有证书后,再使用以下命令来分配服务给证书

Enable-ExchangeCertificate -Thumbprint 9E1D0173FA5F35081DFEFBF25D1409ED542XXXXX -Services POP,IMAP,SMTP,IIS

更多命令请参考 https://technet.microsoft.com/zh-CN/library/aa997231(v=exchg.150).aspx

此时,我们可以欣喜的看到,外网用户的outlook客户端已经能够成功连接上Exchange了

证书问题替换回来了,我们再来尝试解决IIS的验证方式。

此时,在外网和内网同时访问ECP,发现能够正常打开界面了,但是验证方式变成了弹出式窗口的验证方式,且输入账号密码后,依然无法正常进行验证登录

首先想在服务器的IIS验证方式上做修改,打开IIS,找到默认站点下面的OWA的“身份验证”(ECP是follow OWA的验证方式的,所以只需要修改OWA)

启用“基本身份验证”,并“编辑”默认域名,这样也可以达到不输入域名直接登录OWA\ECP的功能

这样设置之后,再次尝试,不幸的是,还是依旧弹出身份验证框,并最终失败

最后只有尝试命令行的形式来解决问题

此时,我们再看看我们原有设置的截图

通过下图我们可以看到,我们要降OWA的身份验证方式修改回“基于表单的身份验证”

接下来使用下述命令来查看OWA虚拟目录的相关设置

Get-OWAVirtualDirectory -identity "jh-hq-mail01\owa (default web site)" |FL

详细命令请参考 https://technet.microsoft.com/zh-cn/library/aa998588(v=exchg.150).aspx

找到FormsAuthentication这个属性,对应的就是“基于表单身份验证”这个项,

使用下述命令,将其值修改为True

set-OwaVirtualDirectory -Identity "jh-hq-mail01\owa (default web site)" -FormsAuthentication $true

我们再来通过Get-OWAVirtualDirectory -identity "jh-hq-mail01\owa (default web site)" |FL命令检查

发现FormsAuthentication已经被修改为了True

此时我们再重启IIS,之后再进行测试,问题得到了最终解决,能够成功登陆OWA和ECP

时间: 2024-08-02 19:03:59

修改OWA验证方式及分配证书服务的相关文章

事无巨细-全方位跟踪配置Exchange ActvieSync使用证书验证方式

前两段话为费话,请节约时间的人绕行. 工作中需要用到Exchange ActiveSync证书认证的方式,问了同事们没有一个会做,公司的ActiveSync也只是用到了Basic authentication, 而且都是由国外的同事维护的.没办法只好自己来了,可是不料在国内网站上只找到一些很少的片断,不全面也不系统,对于我这样的小白来说,看了之后只会越来越糊涂.在微软的官网上倒是很全面,但是被分成了多个主题,每个功能和配置点都有很多种情况,对于自己想要做的却很难挑出针对性的内容,微软的这种帮助文

Exchange 2016 通配符证书默认无法分配POP3服务

如题,这个是在给客户部署生产环境的时候遇到的一个情况,自己查了资料,也打了电话给微软售前进行咨询,废话不多说,直接上解决方案 服务器上POP3设置如下: 通配符证书默认无法分配POP服务需要通过命令为POP3/IMAP设置证书:Set-popsettings -x509CertificateName mail.contoso.com 设置POP3/IMAP内外网访问地址Set-PopSettings -ExternalConnectionSettings "mail.contoso.com:99

配置sshd服务的安全密钥验证方式

sshd服务有两种登陆验证方式:口令验证--用账户和密码来验证登陆:密钥验证--分为公钥和私钥,客户端通过私钥连接服务器,服务器通过公钥来匹配客户端的私钥,匹配成功则允许登陆.实验环境:服务器:192.168.2.211 Centos 7客户端:192.168.2.208 Centos 7生成密钥对有两种方法:(1)客户端生成密钥对,然后通过ssh-copy-id <服务器IP>命令将公钥上传到服务器上.(2)服务端生成密钥对,然后将私钥拷贝到客户端机器上.第1步:在服务端主机中生成"

部署LyncServer2013之六 申请并分配证书和启动服务

部署LyncServer2013之六 申请并分配证书和启动服务 1. 申请并分配证书 2. 先选择默认证书,并单击右侧的"请求", 3. 选择"立即将请求发送至联机证书颁发机构", 4. 自动检测到证书颁发机构, 5. 在证书颁发机构账户界面,保持默认, 6. 在指定替代证书模板界面,保持默认, 7. 在名称和安全设置界面,输入证书的友好名称,并勾选"将证书的私钥标记为可导出", 8. 输入组织信息, 9. 输入地理位置信息, 10. 在使用者名

使用腾讯证书服务为Centos7+Apache申请颁发证书

说到证书我们大家都知道,证书可以提高数据加密传输,但是提到证书服务的供应商,相对比较多可以根据自己的需求来定,今天我们使用腾讯的云服务平台中的证书服务来为Centos7下的Apache服务申请及分配证书,现在的第三方证书服务都现在都简化了,无需提供csr文件即可生成证书及私钥文件,所以我们无需申请相关的csr证书申请文件了,还需要注意此次过程中,我们需要有自己有公网域名,因为在申请证书的时候需要验证.具体见下: 腾讯云服务地址:https://console.qcloud.com/ 我们首先需要

证书解析(二):windows 2012 r2证书服务安装与高级配置

本着应用隔离的原则,建议把证书服务部署在一台独立的windows server 2012 r2虚拟机之中.证书服务器可以不用考虑高可用,因证书服务宕掉后,除了不能继续颁发证书和不能访问证书吊销信息,并不影响证书的其他验证. 证书服务的安装 证书服务的安装很简单,运行服务器管理器,添加角色与功能,选择"Active Directory证书服务", 在角色服务中选择"证书颁发机构"与"证书颁发机构WEB注册" (不是证书注册web服务)两项,证书颁发

证书服务应用

环境:一台域控制器server 2008,一台客户端 目的:加密数据 步骤: 1. 在域控制器上的"管理工具"中打开"服务器管理器",选择"角色",点击"添加角色". 2. 在"选择服务器角色"窗口中,选择"Active Directory证书服务",然后点击"下一步".如图所示: 3. 在"证书服务简介"窗口中,直接点击"下一步&quo

Windows AD证书服务系列---证书的使用范围(3)

将证书用于内容加密 虽然数字签名可以验证作者的身份以及确保文档内容的一致性,但是它不能用来保护内容本身,如果某人拦截了数字签名信息,这个人是可以读取文档信息的,但是他假如想修改内容的话,数据签名是可以检测到文档并非原作者所修改的,这个概念已经通过上一章的实验验证过了. 如果你想保护文档的内容不被非法用户读取,你就必须将文档进行加密,Windows操作系统能够支持基于文件的加密,这种技术被称为文件加密系统(EFS Encrypting File System),Outlook的邮件也是可以被加密的

Security基础(三):OpenSSL及证书服务、邮件TLS/SSL加密通信

一.OpenSSL及证书服务 目标: 本案例要求熟悉OpenSSL工具的基本使用,完成以下任务操作: 使用OpenSSL加密/解密文件 搭建企业自有的CA服务器,为颁发数字证书提供基础环境 方案: 使用两台RHEL7虚拟机,其中svr7作为CA数字证书服务器,而pc207作为测试用客户机. 步骤: 步骤一:使用OpenSSL加密/解密文件 1)加密文件 创建一个明文的文本文件f1.txt,使用openssl进行加密,选用des3加密算法,输出的加密文件为f1.txt.enc . [[email