Exchange 2013 升級至Exchange 2016(2)憑證處理

當將exchange 2016 安裝好加入現有的環境後,用戶端連線就會產生變化了,如果沒有做相關特別設定,用戶端連線會出現一個憑證不信任及錯誤的問題,所以目前看起來要先搞定ex2016的憑證問題。

clip_image001

原來環境所有用戶端及outlook anywhere都使用單一名稱 mail.pmail.idv.tw 來連線(原來的cas 2013 電腦名稱也是mail),因日後遷移完成後也希望用戶保留以mail.pmail.idv.tw 來連線。

找了資料連結,會出現憑證錯誤的原因是因為scp 需要設定,將exchange 2016 主機的autodiscover 導向exchange 2013 。

https://markgossa.blogspot.com/2015/12/exchange-2013-to-2016-migration-part-1.html

Exchange Autodiscover說明參考。

https://blog.51cto.com/jialt/1773078

https://docs.microsoft.com/en-us/exchange/client-developer/exchange-web-services/autodiscover-for-exchange

 

利用 指令查詢 ==> Get-ClientAccessService –Server ex2016 

Set-ClientAccessService -Identity ex2016 -AutoDiscoverServiceInternalUri https://mail.pmail.idv.tw/autodiscover/autodiscover.xml

2019-04-15_221817

接著再參考 https://markgossa.blogspot.com/2015/12/exchange-2013-to-2016-migration-part-2.html

說明將原來exchange 2013 憑證匯入到ex2016 上

目前exchange 2013 cas server 上查詢使用的憑證 (我的測試環境使Let’s Encrypt 免費三個月後需要更新的CA)

查詢指令:

Get-ExchangeCertificate | fl Thumbprint,NotAfter,Issuer,CertificateDomains,Services

clip_image002

將憑證匯出 (export),並設定匯入密碼

$password = ConvertTo-SecureString “Password1” -AsPlainText –Force

Export-ExchangeCertificate -Thumbprint AC01E766926D6029619A9476B62055C256DC3E6F -FileName C:\Exchange2013Cert.pfx -Password $password | Out-Null

clip_image003

clip_image004

將憑證複製到ex2016 主機上 並且匯入

$password = ConvertTo-SecureString “Password1” -AsPlainText -Force

Import-ExchangeCertificate -FileName C:\Exchange2013Cert.pfx -PrivateKeyExportable $true –Password $password | Enable-ExchangeCertificate –Services POP,IMAP,IIS,SMTP -DoNotRequireSsl

clip_image005

以上做完後,再次打開outlook 依舊是出現該錯誤

clip_image001

找了幾天後覺得雖然已經在ex2016上設定SCP,或許用戶端outlook 開啟後在
exchange 2013 /2016 混合的模式中還是會找ex2016 (這是我猜測,因ex2016 cas mbx 功能合併在一起,所以還是會和cas溝通吧)

且新增的Exchange 2016 主機名稱為ex2016 ,預設裝好後的自我簽屬憑證主體別名

有兩個一個是 hostname 另一個是hostname+domain

ex2016-ca2

目前ex2013 和ex2016使用的免費憑證設定別名只有三筆

ex2016-ca3

所以推論outlook 連線後雖然連到ex2016 主機且憑證也和ex2013不一致因少了ex2016別名所以還是冒出來憑證錯誤但忽略還是可以正常連線。

所以決定還是把ex2016憑證先換掉試看看,因為我內部也有一台Windows 2016 CA

接著就幫ex2016重新向內部CA Server申請憑證,申請方式和ex2013相同可以參考之前文章

https://blog.pmail.idv.tw/?p=10717

申請的連線網址

除了原有的外在將ex2016 和ex2016.pmail.idv.tw 加上

ex2016-ca4

並且指派好服務

ex2016-ca5

都完成後outlook 開啟後就沒有該憑證錯誤的訊息了。



本篇瀏覽人數: 4592
分類: Exchange 2013 to Exchange 2016, Exchange Server 篇。這篇內容的永久連結

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *