еще раз про сертификаты в Exchange
Jan. 19th, 2021 08:26 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
robopet3Весь MS Exchange завязан на сертификаты, в связи с этим критически важно:
- не ставить на сам exchange - crypto pro , випнет и прочая во избежание:
Коллеги, моё вам предупреждение. Даже два.
1. ViPNet Client, будучи установленным на сервер Exchange (по крайней мере, 2019 CU7), вызывает периодические отказы в подключении к веб-сервисам. Выглядит так, как будто фаер то закрывает 443, то открывает. Возможно, это его недоIDS фолсит;
2. Самое главное: при сносе, он удаляет самоподписанные backend сертификаты для Exchange. Минус ECP, минус EMS, минус вообще всё. Было больно, до конца до сих пор не починился (самоподписанный серт новый сделал и назначил, ECP-EWS поднялись, но теперь после назначения внешнего сертификата чанга живёт до рестарта IIS, а далее начинает вести себя так, как будто backend сертов вновь нет; Autodiscover с точки зрения MCA настроен корректно, но на Outlook не отрабатывает и fallback'ится до GuessSmart, находящего IMAP, в общем, радости полные штаны).
Будьте осторожны.
- знать и любить
certutil.exe -verify -urlfetch
и иное https://www.sevecek.com/EnglishPages/Lists/Posts/Post.aspx?ID=13
- не ставить на сам exchange - crypto pro , випнет и прочая во избежание:
Коллеги, моё вам предупреждение. Даже два.
1. ViPNet Client, будучи установленным на сервер Exchange (по крайней мере, 2019 CU7), вызывает периодические отказы в подключении к веб-сервисам. Выглядит так, как будто фаер то закрывает 443, то открывает. Возможно, это его недоIDS фолсит;
2. Самое главное: при сносе, он удаляет самоподписанные backend сертификаты для Exchange. Минус ECP, минус EMS, минус вообще всё. Было больно, до конца до сих пор не починился (самоподписанный серт новый сделал и назначил, ECP-EWS поднялись, но теперь после назначения внешнего сертификата чанга живёт до рестарта IIS, а далее начинает вести себя так, как будто backend сертов вновь нет; Autodiscover с точки зрения MCA настроен корректно, но на Outlook не отрабатывает и fallback'ится до GuessSmart, находящего IMAP, в общем, радости полные штаны).
Будьте осторожны.
- знать и любить
certutil.exe -verify -urlfetch
и иное https://www.sevecek.com/EnglishPages/Lists/Posts/Post.aspx?ID=13
