修改OWA驗證方式及配置設定證書服務

  大家好，由于最近在做一個項目，是以有幾天沒有跟大家一起分享關于Exchange的内容了，今天就來給大家講一個之前與到的故障問題及解決辦法，希望能夠幫助到大家今後的TroubleShooting。

首先，我先還原一下當時的一個場景。有一家公司，目前使用的是Exchange 2013的郵件系統，并且使用的是TMG2010在做郵件釋出。最近該公司購買了通配符證書，想再TMG上更改通配符證書，但是無論如何更改與配置，Exchange的釋出一直有問題。查閱了很多資料，發現很多達人說是TMG和通配符證書存在一定的相容性問題，在有些應用的釋出上有BUG。當然了，這個問題不是今天我們主要讨論的問題點，anyway這個問題是今後必須要解決的，到時候我也會寫部落格與大家一起分享。

下面就着重說說今天的主題：修改OWA驗證方式及配置設定證書服務

當時我們為了做一些相關的測試，也通過一些KB的指導，我們準備将公司的證書，從現有的私有證書替換為通配符證書，并修改OWA的驗證方式（預設：ECP的驗證方式與OWA一樣），希望通過“基本身份驗證”的方式，直接通過彈出視窗的形式進行驗證，嘗試OWA和ECP的登入操作。因為目前該企業使用的是“基于表單的身份驗證”，且已經制定了“登入域”，這樣配置的好處就是使用者在登入OWA\ECP的時候，隻需要屬于域賬号和密碼就可以直接進行身份驗證，就省去了輸入域名的煩惱，這個相信大家應該都知道吧，就不用多說了。

<a href="http://s3.51cto.com/wyfs02/M00/5C/1F/wKioL1UbW8vgtR5VAADt9W19KPM053.jpg" target="_blank"></a>

<a href="http://s3.51cto.com/wyfs02/M00/5C/24/wKiom1UbWpDxrpG8AAEhIx8BsbA249.jpg" target="_blank"></a>

問題重制：

接下來我們就模拟問題發生的狀況，首先替換公網通配符證書

<a href="http://s3.51cto.com/wyfs02/M00/5C/24/wKiom1UbWpGyDxzqAAHlpDKeObM408.jpg" target="_blank"></a>

選擇服務，來将Exchange的各項服務配置設定到這個通配符證書上

<a href="http://s3.51cto.com/wyfs02/M01/5C/24/wKiom1UbWpOSaai_AADrHoYmq_M701.jpg" target="_blank"></a>

根據企業現有的Exchange環境和角色，勾選服務。

注：我們這裡勾選了 IIS，這個就是問題點。

<a href="http://s3.51cto.com/wyfs02/M02/5C/24/wKiom1UbWpWB5CnLAAB9BRN3xlA680.jpg" target="_blank"></a>

然後切換到OWA的身份驗證方式對話框，選擇“使用一個或多個标準身份驗證方法”中的“基本身份驗證”

<a href="http://s3.51cto.com/wyfs02/M00/5C/24/wKiom1UbWpfBuEEJAAD1ueQFTcs834.jpg" target="_blank"></a>

此時系統會提示叫通過 IISreset /noforce重新開機IIS，再進行嘗試。

注：如果不想發生下面的錯誤，免得自己給自己找麻煩，這裡千萬不要關閉已經打開了的ECP！！！！

上面紅色的字型已經提示了大家，不要關閉已經打開了的ECP，悲劇的是，我已經關閉了…….

為什麼不能關閉ECP呢？我們 接下來看看症狀：

在重新開機了IIS後，我首先在外網重新打開ECP界面，

Duang!!!!! 不僅自動給我跳轉到了一個OWA/？BO=1的界面，還給我報錯!!

<a href="http://s3.51cto.com/wyfs02/M01/5C/1F/wKioL1UbW9aB74oYAAHJwHqvA6o707.jpg" target="_blank"></a>

然後切換到内網進行ECP嘗試登陸

再次 Duang!!!! 界面可以顯示，不過始終提示賬号密碼不正确！！

<a href="http://s3.51cto.com/wyfs02/M02/5C/1F/wKioL1UbW9ehXOK-AADtF7r64Xs399.jpg" target="_blank"></a>

此時OWA界面也是如此，且outlook也已和Exchange Server斷開了連結。

真是晴天霹靂啊 ！ RollBack吧，ECP又打不開！沒辦法，隻有想到了指令行。

首先我們來分析一下，外網和内網使用者IE顯示的内容不一樣。

先看外網：很明顯，外網的報錯資訊很有可能是和公網通配符證書在TMG做釋出的時候出現了問題，導緻直接無法通路到有效的頁面（當然了，這個問題我還沒解決，如果看到這篇文章的達人們能知道，也請指教，謝謝！）

再看内網：内網報錯提示賬号密碼錯誤，這個問題基本上就是和IIS的驗證方式上出現了問題。

那麼接下來我們各個擊破，嘗試解決這個問題。

解決辦法：

1. 首先我們必須先替換回原有證書

使用管理者權限登入到Exchange Server,并打開EMS

輸入 Get-ExchangeCertificate 來檢視現在Exchange伺服器内所有的證書，争取找到原有的證書，并記下前面的證書指紋

<a href="http://s3.51cto.com/wyfs02/M00/5C/1F/wKioL1UbW9mRNWvzAAJiQila760837.jpg" target="_blank"></a>

如果證書過多，找不到的話，還可以使用 Get-ExchangeCertificate |FL 來進行詳細查找，着重通過下圖示注出的“證書名”、“配置設定服務”來進行區分，并記下“證書指紋”

<a href="http://s3.51cto.com/wyfs02/M00/5C/24/wKiom1UbWp3hftrCAAKJuZ4Wngs650.jpg" target="_blank"></a>

找到原有證書後，再使用以下指令來配置設定服務給證書

Enable-ExchangeCertificate -Thumbprint 9E1D0173FA5F35081DFEFBF25D1409ED542XXXXX -Services POP,IMAP,SMTP,IIS

此時，我們可以欣喜的看到，外網使用者的outlook用戶端已經能夠成功連接配接上Exchange了

證書問題替換回來了，我們再來嘗試解決IIS的驗證方式。

此時，在外網和内網同時通路ECP，發現能夠正常打開界面了，但是驗證方式變成了彈出式視窗的驗證方式，且輸入賬号密碼後，依然無法正常進行驗證登入

<a href="http://s3.51cto.com/wyfs02/M00/5C/1F/wKioL1UbW9zhM6ZyAAE-H73UGYQ481.jpg" target="_blank"></a>

首先想在伺服器的IIS驗證方式上做修改，打開IIS，找到預設站點下面的OWA的“身份驗證”（ECP是follow OWA的驗證方式的，是以隻需要修改OWA）

<a href="http://s3.51cto.com/wyfs02/M02/5C/1F/wKioL1UbW97TSvmlAAObZgY03AM257.jpg" target="_blank"></a>

啟用“基本身份驗證”，并“編輯”預設域名，這樣也可以達到不輸入域名直接登入OWA\ECP的功能

<a href="http://s3.51cto.com/wyfs02/M00/5C/1F/wKioL1UbW-CgHEk9AAL7nAQP2l8496.jpg" target="_blank"></a>

這樣設定之後，再次嘗試，不幸的是，還是依舊彈出身份驗證框，并最終失敗

最後隻有嘗試指令行的形式來解決問題

此時，我們再看看我們原有設定的截圖

通過下圖我們可以看到，我們要降OWA的身份驗證方式修改回“基于表單的身份驗證”

<a href="http://s3.51cto.com/wyfs02/M01/5C/1F/wKioL1UbW-KAAE2uAADV6dp0kw8539.jpg" target="_blank"></a>

接下來使用下述指令來檢視OWA虛拟目錄的相關設定

Get-OWAVirtualDirectory -identity "jh-hq-mail01\owa (default web site)" |FL

<a href="http://s3.51cto.com/wyfs02/M02/5C/1F/wKioL1UbW-STp3T5AAUcgT5-KQg969.jpg" target="_blank"></a>

找到FormsAuthentication這個屬性，對應的就是“基于表單身份驗證”這個項，

使用下述指令，将其值修改為True

set-OwaVirtualDirectory -Identity "jh-hq-mail01\owa (default web site)" -FormsAuthentication $true

<a href="http://s3.51cto.com/wyfs02/M00/5C/1F/wKioL1UbW-Wi00WPAAD3nuhQ_68807.jpg" target="_blank"></a>

我們再來通過Get-OWAVirtualDirectory -identity "jh-hq-mail01\owa (default web site)" |FL指令檢查

發現FormsAuthentication已經被修改為了True

<a href="http://s3.51cto.com/wyfs02/M00/5C/24/wKiom1UbWqrhXQLlAAK1Bq93fUU842.jpg" target="_blank"></a>

此時我們再重新開機IIS，之後再進行測試，問題得到了最終解決，能夠成功登陸OWA和ECP

<a href="http://s3.51cto.com/wyfs02/M01/5C/1F/wKioL1UbW-mAG6mbAAF8iy5fcD4112.jpg" target="_blank"></a>

<a href="http://s3.51cto.com/wyfs02/M02/5C/1F/wKioL1UbW-vTrwDBAAI_kzzHkDs204.jpg" target="_blank"></a>

     本文轉自horse87 51CTO部落格，原文連結：http://blog.51cto.com/horse87/1627201，如需轉載請自行聯系原作者