當將exchange 2016 安裝好加入現有的環境後,用戶端連線就會產生變化了,如果沒有做相關特別設定,用戶端連線會出現一個憑證不信任及錯誤的問題,所以目前看起來要先搞定ex2016的憑證問題。
原來環境所有用戶端及outlook anywhere都使用單一名稱 mail.pmail.idv.tw 來連線(原來的cas 2013 電腦名稱也是mail),因日後遷移完成後也希望用戶保留以mail.pmail.idv.tw 來連線。
找了資料連結,會出現憑證錯誤的原因是因為scp 需要設定,將exchange 2016 主機的autodiscover 導向exchange 2013 。
https://markgossa.blogspot.com/2015/12/exchange-2013-to-2016-migration-part-1.html
Exchange Autodiscover說明參考。
https://blog.51cto.com/jialt/1773078
利用 指令查詢 ==> Get-ClientAccessService –Server ex2016
Set-ClientAccessService -Identity ex2016 -AutoDiscoverServiceInternalUri https://mail.pmail.idv.tw/autodiscover/autodiscover.xml
接著再參考 https://markgossa.blogspot.com/2015/12/exchange-2013-to-2016-migration-part-2.html
說明將原來exchange 2013 憑證匯入到ex2016 上
目前exchange 2013 cas server 上查詢使用的憑證 (我的測試環境使Let’s Encrypt 免費三個月後需要更新的CA)
查詢指令:
Get-ExchangeCertificate | fl Thumbprint,NotAfter,Issuer,CertificateDomains,Services
將憑證匯出 (export),並設定匯入密碼
$password = ConvertTo-SecureString “Password1” -AsPlainText –Force
Export-ExchangeCertificate -Thumbprint AC01E766926D6029619A9476B62055C256DC3E6F -FileName C:\Exchange2013Cert.pfx -Password $password | Out-Null
將憑證複製到ex2016 主機上 並且匯入
$password = ConvertTo-SecureString “Password1” -AsPlainText -Force
Import-ExchangeCertificate -FileName C:\Exchange2013Cert.pfx -PrivateKeyExportable $true –Password $password | Enable-ExchangeCertificate –Services POP,IMAP,IIS,SMTP -DoNotRequireSsl
以上做完後,再次打開outlook 依舊是出現該錯誤
找了幾天後覺得雖然已經在ex2016上設定SCP,或許用戶端outlook 開啟後在
exchange 2013 /2016 混合的模式中還是會找ex2016 (這是我猜測,因ex2016 cas mbx 功能合併在一起,所以還是會和cas溝通吧)
且新增的Exchange 2016 主機名稱為ex2016 ,預設裝好後的自我簽屬憑證主體別名
有兩個一個是 hostname 另一個是hostname+domain
目前ex2013 和ex2016使用的免費憑證設定別名只有三筆
所以推論outlook 連線後雖然連到ex2016 主機且憑證也和ex2013不一致因少了ex2016別名所以還是冒出來憑證錯誤但忽略還是可以正常連線。
所以決定還是把ex2016憑證先換掉試看看,因為我內部也有一台Windows 2016 CA
接著就幫ex2016重新向內部CA Server申請憑證,申請方式和ex2013相同可以參考之前文章
https://blog.pmail.idv.tw/?p=10717
申請的連線網址
除了原有的外在將ex2016 和ex2016.pmail.idv.tw 加上
並且指派好服務
都完成後outlook 開啟後就沒有該憑證錯誤的訊息了。
本篇瀏覽人數: 4398
