国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

       隨著Exchange郵件系統(tǒng)在越來(lái)越多的企業(yè)內(nèi)部流行起來(lái)，員工們也很樂意去使用Office Outlook來(lái)收發(fā)郵件，大大的方便了工作郵件實(shí)時(shí)有效的傳遞。但是在用戶使用Outlook的同時(shí)，也會(huì)遇到越來(lái)越多的問題，比如Outlook證書報(bào)錯(cuò)問題，導(dǎo)致的無(wú)法正常使用客戶端。今天我們就來(lái)說(shuō)一說(shuō)outlook證書報(bào)錯(cuò)的問題。

      眾所周知，企業(yè)Exchange郵件系統(tǒng)的公網(wǎng)收發(fā)必須配合公網(wǎng)證書的綁定，不然國(guó)內(nèi)外的很多認(rèn)證機(jī)構(gòu)是無(wú)法判斷您企業(yè)郵箱是否是合法的發(fā)送源，從而導(dǎo)致郵件的無(wú)法正常收發(fā)。下圖就是我們證書管理其中默認(rèn)的一些“授信認(rèn)的根證書頒發(fā)機(jī)構(gòu)”，只有這些機(jī)構(gòu)頒發(fā)的公網(wǎng)證書或私有證書，才能使應(yīng)用具有真正意義上的運(yùn)行權(quán)限和訪問權(quán)限。

      目前企業(yè)在搭建Exchange郵件服務(wù)器的同時(shí)，如果要進(jìn)行公網(wǎng)的發(fā)布，通常會(huì)申請(qǐng)兩種證書，一種是“多域名證書”，另一種是“通配符”證書。通配符證書呈現(xiàn)形式是 *.contoso.com，意思是允許所有的二級(jí)域名的公網(wǎng)訪問，也是我們現(xiàn)在比較推薦的證書，由于這種證書使用面很廣，且認(rèn)證面非常廣，所以基本不會(huì)出現(xiàn)本文提到的outlook證書報(bào)錯(cuò)，所以不在此次討論的范圍中。

      本文主要講的是“多域名證書”的范圍。目前國(guó)內(nèi)從不同證書頒發(fā)機(jī)構(gòu)購(gòu)買的多域名證書默認(rèn)是可以含有五個(gè)二級(jí)域名的證書，故命名為“多域名證書”。也就是說(shuō)只有在使用此證書包含的二級(jí)域名發(fā)布服務(wù)，才能夠被有效、合法的訪問到。

      在目前的Exchange Server部署中，我們一般情況采用微軟推薦的兩臺(tái)前端CAS和兩臺(tái)后端MBX來(lái)進(jìn)行高可用DAG部署。

這種情況下，我們申請(qǐng)的“多域名證書”通常包含如下幾個(gè)二級(jí)域名：

我們可以看到，以上五個(gè)二級(jí)域名中，包含了兩個(gè)前端服務(wù)器的FQDN，這個(gè)的目的主要是使得用戶在通過(guò)內(nèi)外網(wǎng)接入Exchange Server的時(shí)候，需要從前端客戶端訪問服務(wù)器進(jìn)行身份驗(yàn)證后方能進(jìn)行下一步的接入服務(wù)。但是前端兩臺(tái)CAS服務(wù)器也必須具有合法效應(yīng)，換句話說(shuō)，他們必須有屬于自己的公網(wǎng)證書條目。正因如此，我們才會(huì)將前端的兩臺(tái)CAS服務(wù)器的FQDN也加入到多域名證書條目中。（如果是單臺(tái)郵件服務(wù)器ALL in one部署的話，就申請(qǐng)此臺(tái)服務(wù)器的FQDN即可）

如果我們?cè)诋?dāng)初申請(qǐng)公網(wǎng)證書的時(shí)候忘記了將前端服務(wù)器的FQDN加入到多域名證書的條目中，或者沿用之前的老郵件服務(wù)器的證書(CAS名稱不存在或已改變），我們的客戶端outlook在訪問Exchange 郵件服務(wù)器的時(shí)候?qū)?huì)遇到如下報(bào)錯(cuò)，使得用戶無(wú)法正常使用outlook客戶端。

那么怎么解決這樣的問題呢，我們接下來(lái)看。

首先我們可以思考一下，在用戶使用outlook訪問Exchange郵件服務(wù)器的時(shí)候，提示證書報(bào)錯(cuò)，這個(gè)基本可以確定是客戶端接入的時(shí)候，無(wú)法通過(guò)驗(yàn)證，那我們就以管理員身份打開EMS，使用get-outlookanywhere命令來(lái)查看一下outlookanywhere現(xiàn)在的設(shè)置。

果然，我們發(fā)現(xiàn)了，服務(wù)器在對(duì)outlook接入的時(shí)候，內(nèi)部主機(jī)名和外部主機(jī)名是不一樣的，因?yàn)閷?duì)外我們發(fā)布的郵件系統(tǒng)接入名一般都是mail.contoso.com或者其他，但是內(nèi)部接入主機(jī)名赫然寫著我們的前端服務(wù)器FQDN，這樣在前端CAS服務(wù)器證書缺失的情況下，我們確實(shí)無(wú)法通過(guò)服務(wù)器驗(yàn)證。那么我們只能通過(guò)修改這個(gè)值來(lái)規(guī)避這個(gè)問題。

首先我們通過(guò)以下命令來(lái)開啟SSLOffloading功能

Get-OutlookAnywhere | Set-OutlookAnywhere -SSLOffloading $true

然后再通過(guò)以下兩條命令來(lái)統(tǒng)一內(nèi)/外部主機(jī)名，并開啟內(nèi)部和外部用戶的SSL驗(yàn)證需求

Get-OutlookAnywhere | Set-OutlookAnywhere -InternalHostname mail.guochen.com -InternalClientsRequireSsl $true  
Get-OutlookAnywhere | Set-OutlookAnywhere -ExternalHostname mail.guochen.com -ExternalClientsRequireSsl $true

之后在通過(guò)Exchange 2013 ECP控制臺(tái)來(lái)檢查所有虛擬目錄的內(nèi)部/外部 URL主機(jī)名是否統(tǒng)一為mail.xxx.com，如果不是的話，請(qǐng)更改URL為統(tǒng)一的域名。

這樣設(shè)置了之后，我們無(wú)論是內(nèi)部或者外部的outlook訪問都將會(huì)尋找我們的統(tǒng)一主機(jī)名mail.xxx.com， 這樣的話就巧妙的避開了因?yàn)镃AS證書不存在所導(dǎo)致的報(bào)錯(cuò)，使得用戶可以能夠從內(nèi)外網(wǎng)正常的訪問到CAS服務(wù)器進(jìn)行驗(yàn)證，從而鏈接到后端MBX郵箱數(shù)據(jù)庫(kù)，進(jìn)行正常的郵件使用。

本文出自 “馬駿一的奔跑空間” 博客，請(qǐng)務(wù)必保留此出處http://horse87.blog.51cto.com/2633686/1616402