Просмотр сообщений

В этом разделе можно просмотреть все сообщения, сделанные этим пользователем.


Сообщения - Serjik

Страницы: [1] 2
1
заработало?
Неа, мне внезапно предложили уволиться по собственному.  :trollface: Поэтому ищу работу, Эксчендж по мере возможности смотрю.



2
тогда давайте логи балансера
На следующей неделе, нет человека у которого есть доступ .  ::)

3
а кнопка view ? покажите?
Там сертификат , выданный CAS-01 со сроком действия 24.12.2018 по 24.12.2023 .

4
эмм...
Моя ошибка , вторая картинка относится к 443 порту, который выше и который не 127.0.0.1 .

5
Может сертификат протух.
Вроде все ок, не просроченные. Если бы был просроченный , то не работали бы оба сервака.

6
На нем изменения не вносились уже пару лет , судя по логам, я посмотрел , вроде все правильно.

7
Балансировщик посмотреть еще надо, имхо.
А вот это сложнее , люди кто им занимались уволились. Это навороченный F5 , опыта и знаний по нему у меня нет .  ::)

8
это висит в биндинге на cas-01 ?

Нет , это на CAS-02 .


Updated: 12 March 2019, 14:37:02

в биндинге iis на cas-01 какие настройки? можете показать?

Все стандартно.





9
хм... ксати - а что привязано в IIS  - какой сертификат сервера?
Microsoft Exchange сертификат

AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {CAS-02, CAS-02.mycompany.local}
HasPrivateKey      : True
IsSelfSigned       : True
Issuer             : CN=CAS-02
NotAfter           : 24.12.2023 11:56:48
NotBefore          : 24.12.2018 11:56:48
PublicKeySize      : 2048
RootCAType         : Registry
SerialNumber       : XXXXX399D3F959A46915C4567787XXX
Services           : IIS, SMTP
Status             : Valid
Subject            : CN=CAS-02
Thumbprint         : XXXX81A3057676C876E95C7DDE37AC7C86642XXX

10
Ну логично, в принципе-то, первый берет небось, а там CAS-02 первым указан.
Хммм , а как тогда это работало раньше 3 года без сбоев при неправильном сертификате ?  ???


И этот сертификат назначен службам IMAP, POP и SMTP . Про IIS ни слова .  ???

11
вы сертификат сделали?
Нет , на втором сервере такой же сертификат и сервер работает.

12
Продолжаю искать проблему.
1. Проверил DNS настройки , на обоих серверах идентичны.
2. Проверил не вылетел ли комп из домена. все ок, в домене. Test-ComputerSecureChannel. true
3. Проверил состояние ролей. test-ServiceHealth . Все ок , все роли true.
4. Проверил через какой сервер и в какую базу логинюсь , все точно. https://owa.mycompany.ru/mapi/emsmdb? Showdebug=yes
5. проверил запуск всех пулов в IIS . Все запущены на обоих серверах.
6. проверил настройки каталога OWA , все идентично на обоих серверах. Get-OwaVirtualDirectory -server имясервера | fl
7...
Что еще проверить ?

13
Продолжаю решать проблему.

Обнаружил ошибку в логах Event ID 2004. Коллега обновил  Microsoft Exchange Server Auth Certificate в прошлом году , но не прописал их на серверах.

Сделал по вот этой инструкции http://365ology.com/unable-to-login-to-owa-encryption-certificate/ , из плюсов : пропала ошибка 2004 и я стал проваливаться без проблем в OWA через CAS1  по адресу https://cas-1/owa (раньше не мог , выпадала ошибка) .

Но снаружи OWA по-прежнему не работает , пока не погасишь CAS-1 !!!   :negodue:


Updated: 27 February 2019, 10:58:28

так можно да?

Извиняюсь , пропустил ваш вопрос.  ::) Что не так в этой записи?

14
Небольшое уточнение . Схема Exchange 2013 такова.
Балансировщик нагрузки - за ним два CAS сервера (CAS1 и CAS2) , за ними 3 Mailbox сервера (MBX1-3) в DAG.

Во время диагностики было обнаружено, что если перезагрузить сервер CAS1 , то OWA работает. Было установлено , что CAS2 работает нормально .
таким образом , если балансировщик кидает на CAS1 , то OWA не открывается , если на CAS2 , то OWA открывается. Сервера были полностью идентичные .
По ссылке https://cas1/owa в ящик провалится не удается, по ссылке https://cas2/owa без проблем попадаешь.
Службы , сервисы запущены ,

Куда смотреть , куда копать ?  Меня тут рвут на части  >:D


Updated: 25 February 2019, 11:22:36

- что выдает?
С "проблемного " CAS-01

Subject    : CAS-01
Services   : IIS, SMTP
Issuer     : CN=CAS-01
Status     : Valid
PrivateKey : System.Security.Cryptography.RSACryptoServiceProvider

Subject    : CN=Microsoft Exchange Server Auth Certificate
Services   : SMTP
Issuer     : CN=Microsoft Exchange Server Auth Certificate
Status     : Valid
PrivateKey : System.Security.Cryptography.RSACryptoServiceProvider

Subject    : CN=Microsoft Exchange Server Auth Certificate
Services   : SMTP
Issuer     : CN=Microsoft Exchange Server Auth Certificate
Status     : Valid
PrivateKey : System.Security.Cryptography.RSACryptoServiceProvider

Subject    : CN=owa.mycompany.ru, OU=mycompany, O= LLC, L=Moscow, C=RU
Services   : SMTP
Issuer     : CN=GeoTrust RSA CA 2018, OU=www.digicert.com, O=DigiCert Inc, C=US
Status     : Valid
PrivateKey : System.Security.Cryptography.RSACryptoServiceProvider

Subject    : CN=CAS-02, CN=CAS-01
Services   : IMAP, POP, SMTP
Issuer     : CN=S-UCA-01, DC=mydomain, DC=local
Status     : RevocationCheckFailure
PrivateKey : System.Security.Cryptography.RSACryptoServiceProvider

Subject    : CN=Federation
Services   : SMTP
Issuer     : CN=Federation
Status     : Valid
PrivateKey : System.Security.Cryptography.RSACryptoServiceProvider

Subject    : CN=Federation
Services   : SMTP
Issuer     : CN=Federation
Status     : Valid
PrivateKey : System.Security.Cryptography.RSACryptoServiceProvider

Subject    : CN=Federation
Services   : SMTP
Issuer     : CN=Federation
Status     : Valid
PrivateKey : System.Security.Cryptography.RSACryptoServiceProvider

Subject    : CN=WMSvc-CAS-01
Services   : None
Issuer     : CN=WMSvc-CAS-01
Status     : Valid
PrivateKey : System.Security.Cryptography.RSACryptoServiceProvider

15
Захожу по стандартной ссылке. Ввожу логин-пароль , страничка обновляется и опять запрос логин-пароля.

Перед этим были перезагружены оба CAS сервера.

В логах Application часто повторяется Warning , MsExchange Oauth , event ID 2004.
Unable to find the certificate with thumbprint 5C3B98B7A3151A28396F20263C63E013937A92BA in the current computer or the certificate is missing private key. The certificate is needed to sign the outgoing token.

Гипотеза.
В декабре протух сертификат Microsoft Exchange, был сделан новый, на серверах Mailbox, в IIS, на Default Web Site и Exchange Back End  в Bindings , на серверах Mailbox были заменены сертификаты . На 443 , 444 портах стоят сертификаты Microsoft Exchange .
Сейчас посмотрел на серверах CAS (которые не перезагружались несколько месяцев и сегодня перезагрузил) , на Default Web Site и Exchange Back End  в Bindings ,на 443 , 444 портах сертификатов нет вообще. Посмотрите у себя плиз , стоят такие сертификаты или нет ?



Страницы: [1] 2