修改OWA验证方式及分配证书服务

修改OWA验证方式及分配证书服务

大家好！因为最近在做一个新项目，所以有几天没有和大家分享任何关于Exchange的东西了。今天，我将告诉您一个常见问题及其解决方案，并期待帮助您解决未来的故障。

首先我来还原一个当时的场景。有一家企业现阶段使用的是Exchange2013的邮件系统，用TMG2010做邮件公告。最近，该企业购买了一个通配符证书，并希望在TMG上对其进行更改。但是无论怎么换装备，换的公告总是有些问题。看了很多资料，发现很多专家都说TMG和通配符证书存在一定的兼容性问题，一些应用公告也存在bug。当然，这个问题不是今天要讨论的重点问题。反正这个问题以后一定要处理。那时候我会写文章赚钱和大家分享。

让我们谈谈今天的主题风格:改变OWA认证方法和分配证书服务。

当时为了更好的做一些相关的测试，根据一些KB的具体指导，我们提前准备将企业的资质证书由目前的专属资质证书改为通配符证书，并更改了OWA的认证方式(默认设置:ECP的认证方式与OWA相同)。我们期望立即根据d出的对话框按照“基本认证”的方法进行认证，并尝试OWA和ECP的实际登录 *** 作。现阶段公司应用“按表单认证”，已经制定了“登录域”。该配置的好处是，客户登录OWA\ECP时，只需归属域账号和登录密码即可立即进行认证，免去了键入网站域名的苦恼。这一点大家应该都很清楚，没必要多讲了。

问题再现:

接下来我们模拟一下问题，先把外网地址的通配符证书改一下。

选择“服务项目”可将所有种类的Exchange服务项目分配给此通配符证书。

根据公司目前的交换自然环境和人物角色，启用服务项目。

注意:这里启用了IIS，这是难点。

然后切换到OWA的认证方法提示框，在“应用一种或几种标准认证方法”中选择“基本认证”

这时系统软件会根据IISreset/noforce提醒你重启IIS，然后再试。

注:如果你不想犯以下错误，万一给自己惹麻烦，就不要在这里关掉已经打开的ECP！！！！

顶部鲜红的字体风格已经提醒大家，没有必要关闭已经打开的ECP。不幸的是，我已经关机了...

你为什么不能关掉ECP？让我们来看看症状:

重启IIS后，我首先在外部网络上再次打开ECP页面，

Duang！！！！！它不仅能自动帮我跳到OWA/？BO=1页，把错误还给我！！

然后切换到内部网启动ECP，并尝试登录。

又是Duang！！！！页面可以显示信息，但是一直提醒账号密码错误！！

此时，OWA页面是相同的，并且outlook已经与ExchangeServer断开连接。

大雨倾盆！回滚，ECP不能再打开了！我不禁想到了cmd。

首先，我们来分析一下。互联网和内部网客户IE显示的信息内容是不同的。

首先看外部地址:很明显，外部地址错误信息的内容很可能是TMG公布的外部地址的通配符证书有问题，导致无法立即打开合理的网页(当然，我还没有处理这个问题。如果你看完这篇文章能看懂，请指教，谢谢！)

再看内网:内网错误提醒账号密码不正确，这个问题大部分是IIS的认证方式的问题。

那我们试着一个一个来处理这个问题。

解决方案:

1.首先大家一定要先把原来的资格证改了。

应用访问权限登录到Exchange服务器并启动EMS。

键入Get-ExchangeCertificate查询当今交换网络服务器中的所有资格证书，尝试找到原始资格证书，并记录以前资格证书的指纹标识

如果资格证太多找不到，也可以使用Get-ExchangeCertificate|FL进行详细搜索，主要是根据下面图标显示的“资格证名称”和“作业服务项目”，记录“资格证指纹识别”

在查找原始资格证书后，应用以下指令将服务项目分配给资格证书

enable-exchangecertificate-指纹9e1d0173fa5f35081dfefbf25d1409ed542xxxxx-服务POP、IMAP、SMTP、IIS

参见https://technet.microsoft.com/zh-cn/library/aa997231(v=exchg.150)。aspx获取大量指令。

此时，我们可以欣喜地看到，具有外部网络地址的客户端的outlook手机客户端已经成功连接到Exchange。

证书问题已更换。我们来试着处理一下IIS的认证方式。

这时，我在外网和内网浏览了ECP，发现界面可以正常打开。但是认证方式变成了d窗认证方式，输入账号密码后还是无法正常登录。

首先，我想更改网络服务器的IIS认证方式，打开IIS，在默认网站的底部寻找OWA“认证”(ECP是效仿OWA的认证方式，所以必须只更改OWA)

打开“基本认证”并“写入”默认的网站域名，这样就可以立即登录OWA\ECP，而无需键入网站域名。

这样设置好之后，再试一次。可悲的是，身份认证框还是d出来了，最后也不管用。

最后，我们不得不尝试cmd来解决困难。

这个时候，我们来看看你当初设置的截屏。

根据下图，我们可以看到，我们想要将OWA的身份验证方法改回“根据表单进行身份验证”

接下来，应用以下命令查询OWA虚拟目录的设置

get-OWAVirtualDirectory-identity"JH-HQ-mail01\OWA(默认网站)"|FL

参见https://technet.microsoft.com/zh-cn/library/aa998588(v=exchg.150)。获取详细说明。

寻找FormsAuthentication的特性，它与“根据表单进行身份验证”项目相匹配。

应用以下指令将其值更改为True

set-OwaVirtualDirectory-Identity"JH-HQ-mail01\OWA(默认网站)"-FormsAuthentication$true

先说一下根据get-owavirtualdirectory-identity“JH-HQ-mail01\OWA(默认网址)”|FL指令检查。

我发现FormsAuthentication被修改得更真实了。

这个时候大家会重启IIS，之后再进行检测。问题终于解决了，你可以成功登陆OWA和ECP了。