Tham gia Đăng nhập
Điểm:2
Luigi avatar Server

Lỗi Hostname DOES NOT VERIFY - Kiểm tra chứng chỉ TLS Exchange 2016 cu21

lá cờ cn
Luigi

Thực hành với các chứng chỉ, trong hãy mã hóa win-acme bình thường được tạo, tôi gửi và nhận thư bình thường, https trong owa và các dịch vụ khác

thử nghiệm với kiểm tra, nó mang lại cho tôi một thông báo cảnh báo:

Tên máy chủ chứng nhận KHÔNG XÁC MINH:

(mail.contoso.com != thư | DNS:mail | DNS:mail.lan.contoso.com)

Tôi không hiểu lỗi DNS mail.lan.contoso.com. Tôi nghĩ rằng lỗi là DNS SPLIT, nhưng đọc trong diễn đàn họ nhận xét về một cái gì đó về lỗi.

Tôi hiểu rằng không nên thay đổi các trình kết nối khác trong diễn đàn, sách và hướng dẫn, không ai thay đổi chúng. Đó là lý do tại sao một trình kết nối mới được tạo để nhận từ internet mà FQDN có thể được thay đổi.

Khuyến nghị này diễn đàn, cài đặt dns của tôi:

DNS AD riêng (lan.contoso.com)

Loại bản ghi Tên DNS IP nội bộ
Một mail.lan.contoso.com 192.168.1.4
Một DC01.lan.contoso.com 192.168.1.3

DNS công cộng (contoso.com)

Loại bản ghi Tên DNS Giá trị
Một mail.contoso.com xxx.xxx.xxx.xxx
Một autodetect.contoso.com xxx.xxx.xxx.xxx
MX @ mail.contoso.com
226
1 + 1
Ivan_Wang avatar
lá cờ us
Ivan_Wang
Đây là một chủ đề tương tự, vui lòng kiểm tra xem câu trả lời trong đó có hữu ích không: **Tên máy chủ chứng chỉ KHÔNG XÁC MINH, chứng chỉ hãy mã hóa trao đổi 2016 cu 21** (https://docs.microsoft.com/en-us/answers/ câu hỏi/536588/cert-hostname-does-not-verify-cert-let39s-e.html)
0
Hồi đáp
Điểm:2
Luigi avatar Server
lá cờ cn
Luigi

Sau nhiều lần thử nghiệm, tôi hiểu một số thông báo lỗi trong Kiểm traTls. Đây là chứng chỉ được sử dụng bởi trình kết nối tiếp nhận Exchange. tôi thi lại Kiểm traTls và vượt qua toàn bộ bài kiểm tra mà không có lỗi.

Cảm ơn vì lời khuyên @Lutz Willek , tôi sẽ tiếp tục luyện tập.

Tôi chia sẻ giải pháp của mình với bạn, tôi hy vọng nó sẽ giúp những người khác giải quyết vấn đề này.

Tôi không biết liệu đó có phải là một quy trình tốt, giải pháp mà tôi đang sử dụng Sử dụng như sau tài liệu của Microsoft để tham khảo.

  1. Xác minh rằng chứng chỉ Let's Encrypt đã được tạo và các dịch vụ đã được bật
    Get-ExchangeCertificate | Định dạng danh sách thân thiệnTên,Dấu vân tay,Nhà phát hành,Chủ đề,Tên miền chứng chỉ,Dịch vụ
  1. Xác định trình kết nối tiếp nhận để chỉ định, tôi tập trung hơn vào người dùng ẩn danh
    Get-ReceiveConnector | trong đó {$_.Bindings -like '*25' -AND $_.PermissionGroups -like '*AnonymousUsers*'} | Format-List Identity, Bindings, RemoteIPRanges, PermissionGroups
  1. Sau khi xác định được trình kết nối, tôi tiến hành gán chứng chỉ
    $cert = Get-ExchangeCertificate -Thumbprint xxxxxxxx

    $tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)"

    Set-ReceiveConnector "Server_Name\Default Frontend Server_Name" -TlsCertificateName $tlscertificatename
  1. Xác minh xem chứng chỉ đã được gán cho đầu nối tiếp nhận chưa
    Get-ReceiveConnector -Identity "Server_Name\Default Frontend Server_Name" | Định dạng-Danh sách Tên,Fqdn,TlsCertificateName
0 + 0
Ivan_Wang avatar
lá cờ us
Ivan_Wang
Tôi rất vui vì bạn đã khắc phục sự cố TLS, đồng thời cảm ơn bạn đã chia sẻ. Nếu mọi thứ hoạt động tốt, bạn có thể đánh dấu giải pháp của mình là câu trả lời hay nhất để những người khác có cùng vấn đề sẽ tìm thấy giải pháp đó.
1
Hồi đáp
Điểm:1
avatar Server
lá cờ in
Lutz Willek

Cái khác câu trả lời là 100% chính xác.

Điều đã xảy ra là một máy chủ (nội bộ) đã được tạo, sử dụng tên máy chủ mail.lan.contoso.com. Lỗi là chứng chỉ đã tạo cho máy chủ này vẫn được hiển thị trong trường hợp tên dns mail.contoso.com được sử dụng để kết nối với máy chủ.

Vì vậy, bạn cần để làm như sau, để tạo một dịch vụ chức năng:

  • Xóa cấu hình DNS phân tách cho autodetect.contoso.com, như một độ phân giải tên cụ thể cho 192.168.1.4 không cần thiết trong mạng nội bộ của bạn. (Vì luôn có thể sử dụng độ phân giải tên công khai)
  • Định cấu hình máy khách của bạn để kết nối với mail.contoso.com. (kiểm tra cài đặt tự động phát hiện)
  • Định cấu hình máy chủ trao đổi của bạn để sử dụng chứng chỉ đã được tạo cho mail.contoso.com - hiện tại, giấy chứng nhận cho mail.lan.contoso.com được trình bày.

những gì bạn có thể làm, để tăng độ tin cậy và giảm nỗ lực bảo trì: (Điều này cho phép tách dịch vụ khỏi máy chủ)

  • Về phía máy chủ, định cấu hình địa chỉ IP nội bộ IP thứ hai 192.168.1.5 và chỉ độ phân giải tên nội bộ cho mail.contoso.com đến địa chỉ IP này. (Đừng thay đổi mail.lan.contoso.com vẫn trỏ đến chính máy chủ)
  • Ở phía máy chủ (trao đổi), hãy định cấu hình các dịch vụ thư để nghe trên IP cụ thể này 192.168.1.5 thay thế 192.168.1.4.

Những gì bạn có thể ít nhất xem xét, không sử dụng chia DNS ở tất cả:

  • Kinh nghiệm của tôi chỉ ra rằng có những bất lợi đáng kể nếu DNS phân tách không được triển khai triệt để và thật không may, trải nghiệm mạng của quản trị viên trung bình không đủ để giám sát và giải quyết tất cả các thách thức liên quan.
  • Một lý do quan trọng khác là thiết kế mạng được đơn giản hóa, giúp (trong số các ưu điểm khác) cô lập nguyên nhân gốc rễ nhanh hơn trong trường hợp xảy ra sự cố.
  • Không có nhiều lợi thế thực sự của thiết lập DNS phân tách mà không thể đạt được hiệu quả hơn bằng các phương pháp khác.
0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.