בעיה עם אאוטלוק ואקסצ'נג' - טכנולוגיית מידע - IT - HWzone פורומים
עבור לתוכן
  • צור חשבון

בעיה עם אאוטלוק ואקסצ'נג'


koby058

Recommended Posts

זה דומיין שיש לו שם פנימי ושם חוקי

domain.local בפנים ו-domain.com בחוץ

כל פעם שפותחים אאוטלוק מקבלים את השגיאה שבתמונה מישהו יכול לעזור עם זה

יש לציין שהאאוטלוק עובד בסדר

[attachment deleted by admin]

קישור לתוכן
שתף באתרים אחרים

שמע הבעיה שאתה מציג היא לא בעיה אלא בדיקת אבטחה נורמלית,

היא מבוצעת על כל אישור אבטחה - שאם לא כן לא היה שום טעם באישורי האבטחה,

שים לב:

פעולות אלה יש לבצע רק על WORKSTATIONS במקרה הספציפי שלך!!! אין כאן שום נגיעה ל CA SERVER ושום כלום, זו בעיית קליינט פשוטה.

השרת האירגוני שלך מחייב אישור SSL עבור כל חיבור הנכנס מחוץ לאירגון,

אך מכיוון שאתה נגש מתחנה מקומית כנראה בכתובת IP פנימית או כתובת IP חיצונית, או שם NBT של השרת, או דרך חיבור VPN,

***** ולא דרך הכתובת המפורשת הרשומה באישור הגישה *****

נוצר מצב בו אישור האבטה שיש למערכת לא זהה בכתובת הגישה, לכתובת אליה אתה מנסה לגשת בפועל,

ובסוף התהליך לאישור שהוטמע תחת אתר הבית של האקסצ'יינג' בתוך IIS.

במרבית המקרים פשוט עוקפים את הניג'וס וזהוא זה.

שים לב: שימוש לא נכון בדרך זו עם אישורים חשודים עלולים להשאיר את המערכת שלך פרוצה !!!

פעולה זו תגרום להכנסת האישור המדובר לרשויות אישור בסיס אמינות, ותבטל כל אתרעה על אישור לקוי, שגוי, פג תוקף !!!

דבר שמחייב את השורה הזו, מתנצל מראש -

*** אני מסיר מעצמי כל אחריות מראש, אני לא מתחייב לפתרון הבעיה, יש צורך בהבנה של של מערכת הרשאות / ואישורי האבטחה ***

אם עד פה אתה בסדר עם זה, בעיקרון זה אמור לעזור לך להפסיק את הטרחה הזו.

יש להתקין את האישור המדובר,

ייצוא לתוך DER X.509 לקובץ *.CER

הפעל את האישור

install certificate

place all certificates in the following store

סמן את trusted root certification authorities

לאשר THUMBPRINT

עכשיו נסה להכנס למייל, אם לא קיבלת שום אתרעה, אז פה סיימנו.

אם אתה עדיין מקבל את הבקשה:

סגור :

ANY PROGRAMS

*** OUTLOOK *** /

OWA / ***

IE *** /

IE USING PROGRAMS

לבטל ב IE בהגדרות מתקדמות - אבטחה

warn about certificate address mismatch

check server certificate revocation

עכשיו נסה להכנס למייל, אם לא קיבלת שום אתרעה, אז פה סיימנו.

אם אתה עדיין מקבל את הבקשה:

יש לך בעייה רצינית בהרשאות גישה לאישורים,

או בעייה בהתקנת / OUTLOOK.

שזה כבר משהוא קצת יותר מסובך ויש צורך לראות קצת לוגים וכו'.

קישור לתוכן
שתף באתרים אחרים

^^^

אין שום צורך בלייבא את תעודת הCHAIN, זה לא עניין של TRUST, זה עניין שהHOST שאליו פונים לא תואם את הsubject שמופיע ברשימה(אפשר לעקוף את זה, אבל זאת הגדרה גורפת מה שאומר שכל אתרי הפישינג שמתמשים בSSL פתאום יראו תקניים למשתמש, ואף פעם, אבל אף פעם אל תגדיר את זה, אלא אם אתה בכוח רוצה שיגנבו את פרטי חשבון הבנק שלך למשל).

כיוון שהתעודה היא self signed, אז אין פה עניין כספי בקניית תעודה חדשה, תוציא מה-CA תעודה חדשה או עם השם הנכון, או אם יש 2 שמות לאותו שרת ותמיד יהיה(מה שקורה ברוב הארגונים שמרימים תשתית PKI פנימית ולא יודעים מעבר לnext next finish, לשרת יהיה 2 שמות - הפנימי שאליו פונים מהרשת הפנימית, והחיצוני שאליו פונים דרך האינטרנט) תשתמש בalt subject name בזמן יצירת ה-CRF, ותוסיף את השם החיצוני בשדה המדובר.

קישור לתוכן
שתף באתרים אחרים

בשביל עמדה אחת שיש לה בעייה כמו כאן, אין שום טעם בלהכנס לשרת ולהתחיל לנסות לייצר אישורים חדשים,

במקרה הנ"ל מדובר כנראה בSBS2008, ועמדה אחת שיש לה בעייה כזו, ככה שלא ממש כדאי לשחק יותר מידי בהפקת אישורים,

עם כתובת שונה מהכתובת שנתנה מרגע הגדרת הדומיין בDNS.

הכי פשוט יהיה לתת פיתרון מקומי לעמדה וזהו בלי לסבך אותו עם CA SERVER.

נ.ב. - מרבית כל מה שאמרת כבר צויין בפוסט שלי...

קישור לתוכן
שתף באתרים אחרים

בשביל עמדה אחת שיש לה בעייה כמו כאן, אין שום טעם בלהכנס לשרת ולהתחיל לנסות לייצר אישורים חדשים,

במקרה הנ"ל מדובר כנראה בSBS2008, ועמדה אחת שיש לה בעייה כזו, ככה שלא ממש כדאי לשחק יותר מידי בהפקת אישורים,

עם כתובת שונה מהכתובת שנתנה מרגע הגדרת הדומיין בDNS.

הכי פשוט יהיה לתת פיתרון מקומי לעמדה וזהו בלי לסבך אותו עם CA SERVER.

נ.ב. - מרבית כל מה שאמרת כבר צויין בפוסט שלי...

נ.ב. מה שאתה אומר פותח את אותה עמדה לכל אתר פישינג SSLי בעולם, זה טמטום מוחלט לעשות זאת, וזה לא הפתרון לבעיה, זה התעלמות ממנה.

קישור לתוכן
שתף באתרים אחרים

  • 4 שבועות מאוחר יותר...

נ.ב. מה שאתה אומר פותח את אותה עמדה לכל אתר פישינג SSLי בעולם' date=' זה טמטום מוחלט לעשות זאת, וזה לא הפתרון לבעיה, זה התעלמות ממנה.

[/quote']

יש לך בעיה בהבנת הנקרא, כיוון שנתתי לו את כל האופציות האפשריות, לפני הסרת הבדיקה של אישורי SSL.

לכן תשתדל להיות קצת יותר ענייני וקצת יותר מדויק לגבי מה שאני כתבתי.

ואת ההתייחסות שלך "טמטום" אציע לך להשאיר בבית.

קישור לתוכן
שתף באתרים אחרים

ארכיון

דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

×
  • צור חדש...