Un utilisateur obtient parfois une erreur de certificat inconnue en ouvrant Outlook [fermé]

3

Laissez-moi clarifier un peu. Ce n'est pas une erreur de certificat inconnue, c'est une erreur de certificat inconnue dans la mesure où je ne peux pas comprendre d'où vient le certificat. Cela se produit sur un ordinateur Windows 7 Entreprise se connectant à Exchange 2010 avec Outlook 2010.

L'erreur qu'il obtient est que la racine n'est pas approuvée car c'est un certificat auto-signé.

Jetez un coup d'oeil à cette capture d'écran car même si j'avais généré cela moi-même, je n'aurais pas mis "SomeOrganizationalUnit" ou "SomeCity" ou "SomeState", etc. (Le bloc rouge couvre notre nom de domaine.) entrez la description de l'image ici

Je suis un peu préoccupé par le fait que ceci est le symptôme d'une atteinte à la sécurité.

Trois certificats ont été installés dans Exchange 2010, mais aucun d'entre eux n'est ce certificat. Ils ont tous des dates d'expiration différentes (une expirée) et des métadonnées différentes.

edit: Il y a deux scénarios pour lesquels je vois l'avertissement de certificat et l'un d'entre eux que je peux répéter de manière fiable.

  1. Lorsque l'utilisateur quitte son ordinateur pendant la nuit, Outlook affiche la fenêtre Avertissement de sécurité. Je ne sais pas à quelle heure cela se produit.
  2. Si vous vous connectez à Exchange de manière externe via un modem USB cellulaire, la fenêtre Security Warning (Avertissement de sécurité) apparaît chaque fois que je ferme et que je rouvre Outlook. Que je dise oui ou non ne change rien pour savoir si je peux ou non me connecter à Exchange et envoyer / recevoir des emails. En d'autres termes, je peux toujours me connecter à Exchange. J'ai vérifié sur mes deux serveurs Exchange et mon routeur Cisco un certificat correspondant à celui-ci et je ne le trouve pas.

edit 2: Voici une capture d'écran de la fenêtre d'alerte de sécurité. (Je l'ai appelé Avertissement de sécurité ... Mon erreur.)

entrez la description de l'image ici

éditer 3:

J'ai cessé de voir cette erreur il y a plusieurs semaines, mais je ne peux pas la lier à un seul événement (car je viens de réaliser que l'avertissement avait cessé de s'afficher), mais je pense avoir trouvé la source du certificat. La semaine dernière, j'ai découvert que le certificat sur notre site Web DomainA.com était invalide. Je savais que notre administrateur Web avait installé un certificat valide. Lorsque j'ai examiné le problème, j'ai découvert que le certificat non valide présenté par cette publication m'était présenté.

Le domaine du serveur Exchange est mail.DomainA.com. Par conséquent, je ne peux que deviner qu'Outlook a transmis ce certificat non valide à l'aide d'une sorte de vérification sur DomainA.com.

Ce problème reste mystérieux car l'avertissement de certificat a cessé d'apparaître il y a plusieurs semaines alors que le problème de certificat non valide sur le site Web n'a été résolu que la semaine dernière. Cela a fini par poser un problème avec le panneau de configuration du site Web. Le certificat valide a été installé mais n'a pas été servi pour une raison quelconque et le certificat auto-signé a été servi.

Chris76786777
la source
Que fait l'utilisateur lorsque l'erreur de certificat apparaît?
Tex Hex
L'utilisateur clique sur Non. Il dit que cela n'apparaît que lorsqu'il laisse son ordinateur allumé toute la nuit. Et même s'il clique sur Non, il peut toujours envoyer et recevoir des courriels.
Chris76786777
Désolé, mais pour comprendre quoi faire à propos de cette erreur, nous aurions vraiment besoin de savoir quand elle apparaîtra exactement (par exemple, cela se produit lors de la reconnexion à Exchange, lorsqu'un message est affiché, etc.). Désolé si mon premier commentaire était trompeur ce que je voulais savoir.
Tex Hex
Je vois ce que tu dis. Je le vois dans deux cas de figure et je peux en répéter un de manière fiable. Je vais les mettre dans mon post principal.
Chris76786777
Ok, merci pour la mise à jour. Deux autres questions: pourriez-vous poster une capture d'écran du message d'erreur de sécurité? Et le cert est valable à partir du 16 juin. Cette date vous dit quelque chose? Nouveau serveur, mises à jour installées quelque chose comme ça?
Tex Hex

Réponses:

0

Mon meilleur choix est actuellement que ce certificat provienne du serveur configuré pour fournir le service Outlook Anywhere (ou ActiveSync) ou un proxy d'interception HTTPS.

Cela pour la raison suivante: Le message d'erreur apparaît chaque fois que Outlook tente d'utiliser un autre moyen d'accéder à Exchange. Lorsque l'ordinateur reste allumé toute la nuit, j'imagine que la gestion de l'alimentation éteindra tout l'ordinateur ou éteindra la carte réseau. Dans ce cas, Outlook perd la connexion principale et tente d'utiliser la connexion de remplacement (Outlook Anywhere). Lorsque l'utilisateur revient, l'alimentation est rétablie, mais Outlook est toujours dans l'état de connexion principale et tente d'utiliser Outlook Anywhere.

Lors de l'utilisation de la connexion Internet, seul le moyen d'accéder à Exchange via Outlook Anywhere.

Voici une description complète des paramètres du serveur et du client pour Outlook Anywhere, afin que vous puissiez vérifier si et ce qui est configuré de votre côté.

Si tous les certificats sont acceptables pour ce serveur, vous devez vérifier si votre passerelle d'accès est configurée pour renifler le trafic HTTPS (par exemple, Palo Alto Networks peut le faire) et que l'ordinateur de cet utilisateur n'est pas correctement configuré pour utiliser cette passerelle lors de l'accès à Outlook Anywhere.

Ces boîtes échangent le certificat pour une connexion HTTPS avec leur propre certificat afin de pouvoir détecter le trafic et l’analyser.

Tex Hex
la source
Merci pour votre dévouement à cela. Cela ressemble à un excellent guide. Je vais essayer de passer au travers aujourd'hui.
Chris76786777
Je ne peux pas l'expliquer. :( Tous les signes indiquent que ce certificat n'existe pas. Je n'ai pas de passerelle d'accès qui détournerait la session SSL et tous les services Exchange utilisent de vrais certificats. De plus, Outlook Anywhere (sur mes deux serveurs Exchange) est configuration pour utiliser le nom de domaine complet correct pour le serveur
Chris76786777)
Pour être honnête, je suis aussi à court d’idées. Je suggérerais que vous ouvriez un dossier avec Microsoft afin qu'ils examinent la question.
Tex Hex
J'ai une mise à jour que j'ai mise dans mon message d'origine.
Chris76786777