大家好,由于最近在做一个项目,所以有几天没有跟大家一起分享关于Exchange的内容了,今天就来给大家讲一个之前与到的故障问题及解决办法,希望能够帮助到大家今后的TroubleShooting。
首先,我先还原一下当时的一个场景。有一家公司,目前使用的是Exchange 2013的邮件系统,并且使用的是TMG2010在做邮件发布。最近该公司购买了通配符证书,想再TMG上更改通配符证书,但是无论如何更改与配置,Exchange的发布一直有问题。查阅了很多资料,发现很多达人说是TMG和通配符证书存在一定的兼容性问题,在有些应用的发布上有BUG。当然了,这个问题不是今天我们主要讨论的问题点,anyway这个问题是今后必须要解决的,到时候我也会写博客与大家一起分享。
下面就着重说说今天的主题:修改OWA验证方式及分配证书服务
当时我们为了做一些相关的测试,也通过一些KB的指导,我们准备将公司的证书,从现有的私有证书替换为通配符证书,并修改OWA的验证方式(默认:ECP的验证方式与OWA一样),希望通过“基本身份验证”的方式,直接通过弹出窗口的形式进行验证,尝试OWA和ECP的登录操作。因为目前该企业使用的是“基于表单的身份验证”,且已经制定了“登录域”,这样配置的好处就是用户在登录OWA\ECP的时候,只需要属于域账号和密码就可以直接进行身份验证,就省去了输入域名的烦恼,这个相信大家应该都知道吧,就不用多说了。
问题重现:
接下来我们就模拟问题发生的状况,首先替换公网通配符证书
选择服务,来将Exchange的各项服务分配到这个通配符证书上
根据企业现有的Exchange环境和角色,勾选服务。
注:我们这里勾选了 IIS,这个就是问题点。
然后切换到OWA的身份验证方式对话框,选择“使用一个或多个标准身份验证方法”中的“基本身份验证”
此时系统会提示叫通过 IISreset /noforce重启IIS,再进行尝试。
注:如果不想发生下面的错误,免得自己给自己找麻烦,这里千万不要关闭已经打开了的ECP!!!!
上面红色的字体已经提示了大家,不要关闭已经打开了的ECP,悲剧的是,我已经关闭了…….
为什么不能关闭ECP呢?我们 接下来看看症状:
在重启了IIS后,我首先在外网重新打开ECP界面,
Duang!!!!! 不仅自动给我跳转到了一个OWA/?BO=1的界面,还给我报错!!
然后切换到内网进行ECP尝试登陆
再次 Duang!!!! 界面可以显示,不过始终提示账号密码不正确!!
此时OWA界面也是如此,且outlook也已和Exchange Server断开了链接。
真是晴天霹雳啊 ! RollBack吧,ECP又打不开!没办法,只有想到了命令行。
首先我们来分析一下,外网和内网用户IE显示的内容不一样。
先看外网:很明显,外网的报错信息很有可能是和公网通配符证书在TMG做发布的时候出现了问题,导致直接无法访问到有效的页面(当然了,这个问题我还没解决,如果看到这篇文章的达人们能知道,也请指教,谢谢!)
再看内网:内网报错提示账号密码错误,这个问题基本上就是和IIS的验证方式上出现了问题。
那么接下来我们各个击破,尝试解决这个问题。
解决办法:
1. 首先我们必须先替换回原有证书
使用管理员权限登录到Exchange Server,并打开EMS
输入 Get-ExchangeCertificate 来查看现在Exchange服务器内所有的证书,争取找到原有的证书,并记下前面的证书指纹
如果证书过多,找不到的话,还可以使用 Get-ExchangeCertificate |FL 来进行详细查找,着重通过下图标注出的“证书名”、“分配服务”来进行区分,并记下“证书指纹”
找到原有证书后,再使用以下命令来分配服务给证书
Enable-ExchangeCertificate -Thumbprint 9E1D0173FA5F35081DFEFBF25D1409ED542XXXXX -Services POP,IMAP,SMTP,IIS
更多命令请参考 https://technet.microsoft.com/zh-CN/library/aa997231(v=exchg.150).aspx
此时,我们可以欣喜的看到,外网用户的outlook客户端已经能够成功连接上Exchange了
证书问题替换回来了,我们再来尝试解决IIS的验证方式。
此时,在外网和内网同时访问ECP,发现能够正常打开界面了,但是验证方式变成了弹出式窗口的验证方式,且输入账号密码后,依然无法正常进行验证登录
首先想在服务器的IIS验证方式上做修改,打开IIS,找到默认站点下面的OWA的“身份验证”(ECP是follow OWA的验证方式的,所以只需要修改OWA)
启用“基本身份验证”,并“编辑”默认域名,这样也可以达到不输入域名直接登录OWA\ECP的功能
这样设置之后,再次尝试,不幸的是,还是依旧弹出身份验证框,并最终失败
最后只有尝试命令行的形式来解决问题
此时,我们再看看我们原有设置的截图
通过下图我们可以看到,我们要降OWA的身份验证方式修改回“基于表单的身份验证”
接下来使用下述命令来查看OWA虚拟目录的相关设置
Get-OWAVirtualDirectory -identity "jh-hq-mail01\owa (default web site)" |FL
详细命令请参考 https://technet.microsoft.com/zh-cn/library/aa998588(v=exchg.150).aspx
找到FormsAuthentication这个属性,对应的就是“基于表单身份验证”这个项,
使用下述命令,将其值修改为True
set-OwaVirtualDirectory -Identity "jh-hq-mail01\owa (default web site)" -FormsAuthentication $true
我们再来通过Get-OWAVirtualDirectory -identity "jh-hq-mail01\owa (default web site)" |FL命令检查
发现FormsAuthentication已经被修改为了True
此时我们再重启IIS,之后再进行测试,问题得到了最终解决,能够成功登陆OWA和ECP
本文转自horse87 51CTO博客,原文链接:http://blog.51cto.com/horse87/1627201,如需转载请自行联系原作者
