Ticket: E2K7 - Outlook 「安全性憑證名稱錯誤或與網站名稱不符」

-

 

您啟動 Microsoft Office Outlook 2007 並連接到執行 Microsoft Exchange Server 2007 或 Microsoft Exchange Server 2010 之伺服器的信箱。在此情況下,您收到下列安全性警告:

安全性憑證名稱錯誤或與網站名稱不符。

注意 此情況只適用於從內部區域網路連接到 Exchange 的 Outlook 用戶端,不適用於使用 Outlook Anywhere 連接到 Exchange 的遠端 Outlook 用戶端。

 

當下列情況成立時,就會發生這個問題:

  • 您使用了不同的憑證來取代預設之自我簽署的 Exchange Server 2007 或 Exchange Server 2010 憑證。
    注意 安裝 Exchange Server 2007 或 Exchange Server 2010 時,Exchange Server 2007 或 Exchange Server 2010 中的安裝程式會建立預設的自我簽署憑證。
  • 替代憑證上的一般名稱與儲存在下列物件中之 URL 的完整網域名稱 (FQDN) 不符:
    • Autodiscover 服務的「服務連接點」物件
    • Exchange 2007 Web Service (EWS) 的 InternalUrl 屬性
    • 「離線通訊錄」Web 服務的 InternalUrl 屬性
    • Exchange 整合通訊 (UM) Web 服務的 InternalUrl 屬性
預設情況下,儲存在這些物件中的 URL 會參考伺服器上的 NetBIOS 名稱。例如,會儲存類似下列的 URL:
https://NetBIOS_name.contoso.com/autodiscover/autodiscover.xml

這可能與替代憑證的 FQDN 使用的主機名稱不同。例如,替代憑證可能有類似下列的 FQDN:

mail.contoso.com

這個問題會造成名稱不符的錯誤。因此,當您嘗試連接到 Outlook 2007 的信箱時就會收到安全性警告訊息。

如果要解決這個問題,請修改適當 Exchange 2007 元件的 URL。如果要執行這項操作,請依照下列步驟執行:

  1. 啟動 Exchange Management Shell。
  2. 修改「服務連接點」中的 Autodiscover URL。「服務連接點」儲存在 Active Directory 目錄服務中。如果要修改這個 URL,請輸入下列指令,然後按下 ENTER:

    Set-ClientAccessServer -Identity CAS_Server_Name -AutodiscoverServiceInternalUri https://mail.contoso.com/autodiscover/autodiscover.xml

  3. 修改 EWS 的 [InternalUrl] 屬性。如果要執行這項操作,請輸入下列命令,然後按下 ENTER:

    Set-WebServicesVirtualDirectory -Identity "CAS_Server_Name\EWS (Default Web Site)" -InternalUrl https://mail.contoso.com/ews/exchange.asmx

  4. 修改用於散佈 Web 離線通訊錄的 [InternalUrl] 屬性。如果要執行這項操作,請輸入下列命令,然後按下 ENTER:

    Set-OABVirtualDirectory -Identity "CAS_Server_name\oab (Default Web Site)" -InternalUrl https://mail.contoso.com/oab

  5. 修改 UM Web 服務的 [InternalUrl] 屬性。如果要執行這項操作,請輸入下列命令,然後按下 ENTER:

    Set-UMVirtualDirectory -Identity "CAS_Server_Name\unifiedmessaging (Default Web Site)" -InternalUrl https://mail.contoso.com/unifiedmessaging/service.asmx

    注意     只有在 Exchange 2007 環境中才需要這個命令,在 Exchange 2010 環境中已經沒有這個指令,取而代之的是 WebServices URL。

  6. 開啟 IIS Manager。
  7. 展開本機電腦,然後展開 [應用程式集區]
  8. 用滑鼠右鍵按一下 [MSExchangeAutodiscoverAppPool],然後按一下 [回收]
重要 這些步驟假設主機記錄存在於 DNS 中,以將您指定的 FQDN 對應到 CAS 伺服器的 IP 位址。例如,試想下列狀況:
  • Exchange 元件原始的內部 URL 指向伺服器的內部 FQDN。例如,這些 URL 中的其中一個指向:

    https://ServerName.contoso.com/ews/exchange.asmx

  • 憑證中指定的 FQDN 指向外部存取的伺服器主機名稱。例如,憑證指定一個 FQDN,例如「mail.contoso.com.」
在此情況下,您必須為郵件主機名稱新增一筆對應到 CAS 伺服器之內部存取 IP 位址的主機記錄,讓內部用戶端可以存取該伺服器。

 

Autodiscover 服務的 URL 儲存在「服務連接點」物件中。預設情況下,這個 URL 會參考安裝 Autodiscover 時出現之 CAS 的內部 FQDN。 例如,設定下列 URL: https://servername.contoso.local/autodiscover/autodiscover.xml

在這個範例中,FQDN 參考了內部命名空間。一般來說,這個命名空間與外部可存取的命名空間 (例如 mail.contoso.com) 不同。
如果內部命名空間與外部命名空間不同,且當您無法使用支援「主體別名」的憑證時,請使用 Exchange Management Shell 中的 Set-ClientAccessServer 工作來修改 URL。在此情況下,您必須修改 URL 以指向 Autodiscover 的新位置。例如,使用下列指令指向 Autodiscover 的新位置:

Set-ClientAccessServer –AutodiscoverServiceInternalUri https://mail.contoso.com/autodiscover/autodiscover.xml

Blog Extended Reading

More Information & Reference
1. 當您啟動 Outlook 2007 然後連接到執行 Exchange Server 2007 或 Exchange Server 2010 之伺服器的信箱時,收到安全性警告:「安全性憑證名稱錯誤或與網站名稱不符」

image

Comments

Post a Comment

Popular posts from this blog

E15 CU3–Update Failed–AD replicated Exceeded the tombstone lifetime.

-
Image
  Exchange 2013 CU3 The naming context is in the process of being removed or is not replicated http://technet.microsoft.com/en-us/library/replication-error-8452-the-naming-context-is-in-the-process-of-being-removed-or-is-not-replicated-from-the-specified-server(v=ws.10).aspx   C:\> REPADMIN /SHOWREPS Root\RDC01 DSA Options: IS_GC Site Options: (none) DSA object GUID: f1694974-47c4-4555-a214-db3c86854aeb DSA invocationID: f1694974-47c4-4555-a214-db3c86854aeb ==== INBOUND NEIGHBORS ====================================== CN=Schema,CN=Configuration,DC=lab7,DC=root     TW\AD02 via RPC         DSA object GUID: bfcc1053-e1da-46fd-8b9d-179c7992...
Read more

202301 - Exchange onpreme - PowerShell Serialization Payload Signing

-
Image
Released: January 2023 Exchange Server Security Updates https://techcommunity.microsoft.com/t5/exchange-team-blog/released-january-2023-exchange-server-security-updates/ba-p/3711808 https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/SerializedDataSigningCheck/ 1.  Update KB5022143 (Exchange SU) 2. Run latest HealthCherker 3.  PowerShell Serialization Payload Signing https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/SerializedDataSigningCheck/ Certificate signing of PowerShell serialization payload in Exchange Server https://support.microsoft.com/en-us/topic/certificate-signing-of-powershell-serialization-payload-in-exchange-server-90fbf219-b0dd-4b2c-8a68-9d73b3309eb1 4.  MonitorExchangeAuthCertificate    https://microsoft.github.io/CSS-Exchange/Admin/MonitorExchangeAuthCertificate/ 5.                 New-SettingOverride -Name "EnableSigningVerification" -Component Data -Secti...
Read more

Ticket: RemoteAPP certificate revocation check error

-
Image
  . certutil -f –urlfetch -verify <your_certificate>.cer From internet client (Win7 ultimate x64) Issuer:     CN=TWCA Secure CA -Evaluation Only     OU=SSL Certification Service Provider-Evaluation Only     O=TAIWAN-CA INC.     C=TW Subject:     CN=deep2.msft.com     OU=ITS     O=Msft Corporation     L=Taipei     S=Taiwan     C=TW Cert Serial Number: 04bd dwFlags = CA_VERIFY_FLAGS_ALLOW_UNTRUSTED_ROOT (0x1) dwFlags = CA_VERIFY_FLAGS_IGNORE_OFFLINE (0x2) dwFlags = CA_VERIFY_FLAGS_FULL_CHAIN_REVOCATION (0x8) dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000) dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000) ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN (0x20000000) HCCE_LOCAL_MACHINE CERT_CHAIN_POLICY_BASE -------- CERT_CHAIN_CONTEXT -------- ChainContext.dwErrorStatu...
Read more