Автор Тема: Через OWA не удается залогиниться. Exchange 2013  (Прочитано 16784 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Serjik

  • Начинающий
  • *
  • Сообщений: 28
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Захожу по стандартной ссылке. Ввожу логин-пароль , страничка обновляется и опять запрос логин-пароля.

Перед этим были перезагружены оба CAS сервера.

В логах Application часто повторяется Warning , MsExchange Oauth , event ID 2004.
Unable to find the certificate with thumbprint 5C3B98B7A3151A28396F20263C63E013937A92BA in the current computer or the certificate is missing private key. The certificate is needed to sign the outgoing token.

Гипотеза.
В декабре протух сертификат Microsoft Exchange, был сделан новый, на серверах Mailbox, в IIS, на Default Web Site и Exchange Back End  в Bindings , на серверах Mailbox были заменены сертификаты . На 443 , 444 портах стоят сертификаты Microsoft Exchange .
Сейчас посмотрел на серверах CAS (которые не перезагружались несколько месяцев и сегодня перезагрузил) , на Default Web Site и Exchange Back End  в Bindings ,на 443 , 444 портах сертификатов нет вообще. Посмотрите у себя плиз , стоят такие сертификаты или нет ?



Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Через OWA не удается залогиниться. Exchange 2013
« Ответ #1 : 22 февраля 2019, 22:47:06 »
or the certificate is missing private key.
Get-ExchangeCertificate -Server имя вашего сервера (ов) 
- что выдает?

Оффлайн Serjik

  • Начинающий
  • *
  • Сообщений: 28
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Через OWA не удается залогиниться. Exchange 2013
« Ответ #2 : 25 февраля 2019, 10:22:21 »
Небольшое уточнение . Схема Exchange 2013 такова.
Балансировщик нагрузки - за ним два CAS сервера (CAS1 и CAS2) , за ними 3 Mailbox сервера (MBX1-3) в DAG.

Во время диагностики было обнаружено, что если перезагрузить сервер CAS1 , то OWA работает. Было установлено , что CAS2 работает нормально .
таким образом , если балансировщик кидает на CAS1 , то OWA не открывается , если на CAS2 , то OWA открывается. Сервера были полностью идентичные .
По ссылке https://cas1/owa в ящик провалится не удается, по ссылке https://cas2/owa без проблем попадаешь.
Службы , сервисы запущены ,

Куда смотреть , куда копать ?  Меня тут рвут на части  >:D


Updated: 25 February 2019, 11:22:36

- что выдает?
С "проблемного " CAS-01

Subject    : CAS-01
Services   : IIS, SMTP
Issuer     : CN=CAS-01
Status     : Valid
PrivateKey : System.Security.Cryptography.RSACryptoServiceProvider

Subject    : CN=Microsoft Exchange Server Auth Certificate
Services   : SMTP
Issuer     : CN=Microsoft Exchange Server Auth Certificate
Status     : Valid
PrivateKey : System.Security.Cryptography.RSACryptoServiceProvider

Subject    : CN=Microsoft Exchange Server Auth Certificate
Services   : SMTP
Issuer     : CN=Microsoft Exchange Server Auth Certificate
Status     : Valid
PrivateKey : System.Security.Cryptography.RSACryptoServiceProvider

Subject    : CN=owa.mycompany.ru, OU=mycompany, O= LLC, L=Moscow, C=RU
Services   : SMTP
Issuer     : CN=GeoTrust RSA CA 2018, OU=www.digicert.com, O=DigiCert Inc, C=US
Status     : Valid
PrivateKey : System.Security.Cryptography.RSACryptoServiceProvider

Subject    : CN=CAS-02, CN=CAS-01
Services   : IMAP, POP, SMTP
Issuer     : CN=S-UCA-01, DC=mydomain, DC=local
Status     : RevocationCheckFailure
PrivateKey : System.Security.Cryptography.RSACryptoServiceProvider

Subject    : CN=Federation
Services   : SMTP
Issuer     : CN=Federation
Status     : Valid
PrivateKey : System.Security.Cryptography.RSACryptoServiceProvider

Subject    : CN=Federation
Services   : SMTP
Issuer     : CN=Federation
Status     : Valid
PrivateKey : System.Security.Cryptography.RSACryptoServiceProvider

Subject    : CN=Federation
Services   : SMTP
Issuer     : CN=Federation
Status     : Valid
PrivateKey : System.Security.Cryptography.RSACryptoServiceProvider

Subject    : CN=WMSvc-CAS-01
Services   : None
Issuer     : CN=WMSvc-CAS-01
Status     : Valid
PrivateKey : System.Security.Cryptography.RSACryptoServiceProvider
« Последнее редактирование: 25 февраля 2019, 11:22:36 от Serjik »

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Через OWA не удается залогиниться. Exchange 2013
« Ответ #3 : 26 февраля 2019, 17:20:30 »
Subject    : CN=CAS-02, CN=CAS-01
так можно да?

Оффлайн Serjik

  • Начинающий
  • *
  • Сообщений: 28
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Через OWA не удается залогиниться. Exchange 2013
« Ответ #4 : 27 февраля 2019, 10:56:15 »
Продолжаю решать проблему.

Обнаружил ошибку в логах Event ID 2004. Коллега обновил  Microsoft Exchange Server Auth Certificate в прошлом году , но не прописал их на серверах.

Сделал по вот этой инструкции http://365ology.com/unable-to-login-to-owa-encryption-certificate/ , из плюсов : пропала ошибка 2004 и я стал проваливаться без проблем в OWA через CAS1  по адресу https://cas-1/owa (раньше не мог , выпадала ошибка) .

Но снаружи OWA по-прежнему не работает , пока не погасишь CAS-1 !!!   :negodue:


Updated: 27 February 2019, 10:58:28

так можно да?

Извиняюсь , пропустил ваш вопрос.  ::) Что не так в этой записи?

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Через OWA не удается залогиниться. Exchange 2013
« Ответ #5 : 27 февраля 2019, 14:30:41 »
ну так правильно в сертификате что указано?
Цитировать
CN=CAS-02, CN=CAS-01
сделайте для CAS-01 сертификат с cn=CAS-01 - остальные имена впишите как SAN имена

Оффлайн Serjik

  • Начинающий
  • *
  • Сообщений: 28
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Через OWA не удается залогиниться. Exchange 2013
« Ответ #6 : 07 марта 2019, 13:38:04 »
Продолжаю искать проблему.
1. Проверил DNS настройки , на обоих серверах идентичны.
2. Проверил не вылетел ли комп из домена. все ок, в домене. Test-ComputerSecureChannel. true
3. Проверил состояние ролей. test-ServiceHealth . Все ок , все роли true.
4. Проверил через какой сервер и в какую базу логинюсь , все точно. https://owa.mycompany.ru/mapi/emsmdb? Showdebug=yes
5. проверил запуск всех пулов в IIS . Все запущены на обоих серверах.
6. проверил настройки каталога OWA , все идентично на обоих серверах. Get-OwaVirtualDirectory -server имясервера | fl
7...
Что еще проверить ?

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Через OWA не удается залогиниться. Exchange 2013
« Ответ #7 : 07 марта 2019, 14:53:52 »
Что еще проверить ?
вы сертификат сделали?

Оффлайн Serjik

  • Начинающий
  • *
  • Сообщений: 28
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Через OWA не удается залогиниться. Exchange 2013
« Ответ #8 : 07 марта 2019, 15:55:34 »
вы сертификат сделали?
Нет , на втором сервере такой же сертификат и сервер работает.

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Через OWA не удается залогиниться. Exchange 2013
« Ответ #9 : 07 марта 2019, 16:14:05 »
Блин.
У вас 2  сервера Exch (CAS-01 & CAS-02)
Смотрим в сертификаты серверов:
CAS-01
CN=CAS-02, CN=CAS-01

CAS-02
CN=CAS-02, CN=CAS-01

так?

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Через OWA не удается залогиниться. Exchange 2013
« Ответ #10 : 07 марта 2019, 16:23:16 »
если балансировщик кидает на CAS1 , то OWA не открывается , если на CAS2 , то OWA открывается.
Смотрим в сертификаты серверов:
CAS-01
CN=CAS-02, CN=CAS-01

CAS-02
CN=CAS-02, CN=CAS-01
Ну логично, в принципе-то, первый берет небось, а там CAS-02 первым указан.
Надо перевыписать кривизну эту.

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Через OWA не удается залогиниться. Exchange 2013
« Ответ #11 : 07 марта 2019, 16:56:04 »
в принципе-то, первый берет небось
я не знаю как будет работать в случае наличия такого CN  :pardon:
Возможно проблема только в этом, поэтому прошу сделать нормальный сертификат

Оффлайн Serjik

  • Начинающий
  • *
  • Сообщений: 28
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Через OWA не удается залогиниться. Exchange 2013
« Ответ #12 : 07 марта 2019, 17:00:40 »
Ну логично, в принципе-то, первый берет небось, а там CAS-02 первым указан.
Хммм , а как тогда это работало раньше 3 года без сбоев при неправильном сертификате ?  ???


И этот сертификат назначен службам IMAP, POP и SMTP . Про IIS ни слова .  ???
« Последнее редактирование: 07 марта 2019, 17:18:13 от Serjik »

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Через OWA не удается залогиниться. Exchange 2013
« Ответ #13 : 07 марта 2019, 17:30:26 »
хм... ксати - а что привязано в IIS  - какой сертификат сервера?

Оффлайн Serjik

  • Начинающий
  • *
  • Сообщений: 28
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Через OWA не удается залогиниться. Exchange 2013
« Ответ #14 : 11 марта 2019, 11:14:29 »
хм... ксати - а что привязано в IIS  - какой сертификат сервера?
Microsoft Exchange сертификат

AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {CAS-02, CAS-02.mycompany.local}
HasPrivateKey      : True
IsSelfSigned       : True
Issuer             : CN=CAS-02
NotAfter           : 24.12.2023 11:56:48
NotBefore          : 24.12.2018 11:56:48
PublicKeySize      : 2048
RootCAType         : Registry
SerialNumber       : XXXXX399D3F959A46915C4567787XXX
Services           : IIS, SMTP
Status             : Valid
Subject            : CN=CAS-02
Thumbprint         : XXXX81A3057676C876E95C7DDE37AC7C86642XXX