Lync 2013演示PPT提示证书出现问题的解决办法
2014-03-22 00:11
555 查看
企业的Lync server部署一般是这样两种情况,内部域和外部域一致,内部域和外部域不一致,这样解决办法也对应的有两种。
一、下面我们先讲内部域和外部域一致的情况。
1、当我们部署完lync server 2013前端、后端、边缘和office web apps服务器后,在域内进行PPT演示正常,但是在工作组和域外均出现如下的报错。
2、通过查找互联网资料及诸多权威资料,确认问题原因是由于内部工作组和外部用户无法通过LDAP查询CA吊销列表,所以需要启用CA吊销列表的http访问,并且已确认可通过修改CA扩展属性解决问题。
选择证书颁发机构,右键属性,在属性框里,选择扩展页面。选择扩展,选择CRL分发点(CDP)
3、勾选包括在CRL中。客户端用它来寻找增量CRL的位置和包括在颁发的证书的CDP扩展中。
4、扩展页面中,继续选择扩展,选择到授权信息访问(AIA).
5、选择包括在颁发的证书的AIA扩展中(I),应用,证书服务将会重新启动。
6、选择吊销的证书,所有任务,发布
7、在弹出框里选择新的CRL,确定。
8、后面再重新申请office web apps服务器,lync服务器证书,exchange服务器证书,是不是感觉很折腾,如果感觉很折腾的话,我们以后做规划的时候第一步就先把CA规划好,在去做后面的部署,这样才省时省力。
如果朋友你觉得以上步骤都麻烦的话,那你接着往下看内部域和外部域不一致的情况,你会觉得这才是真正的折腾和费时费力。
二、接下来我们继续讲内部域和外部域不一致的情况。
我的Lync server 2013环境介绍
内部域名contoso.com,外部域为tiancang.net,
两个前端服务器,fe01.contoso.com,fe02.contoso.com
两个边缘服务器,edge01.contoso.com,edge02.contoso.com
三个后端数据库,be01.contoso.com,be02.contoso.com,be03.contoso.com
两个持久聊天服务器,chat01.contoso.com,chat02.contoso.com
一个office web apps服务器,owas.contoso.com
1、首先我们按照内部域和外部域一致的情况处理,发现在域内正常了,可以共享PPT了,但是域外不能共享PPT,我们使用certutil -verify e:\edge_internet.cer检查状态,提示吊销列表脱机,如下截图:
2、以上的原因是由于内部域和外部域不一致,在外网无法访问内部地址的CRL,我们手动添加可以让外网访问的CRL。
单打开证书颁发机构扩展选项页面,点击添加后,我们在这里键入一个http地址,这个地址是域外可以访问的,比如我们的ca服务器地址或者exchange cas服务器的外部地址。然后在后面加上/crld/表示专门的CRL虚拟目录,再后面加上三个变量,分别是<CAName><CRLNameSuffix><DeltaCRLAllowed>,然后最后加上.crl。
注:我这里是使用的CA服务器地址,因为有两点考虑,第一、cas服务器是IIS目录是默认加密的,再有cas服务器有两个,以上步骤要操作两次,有点繁琐;第二、ca服务器IIS目录是默认不加密的,再有ca服务器的certsrv一般是默认打开的,以提供给外部人员自行申请私有证书,刚好可以搭这个顺风车。
完整的应该类似这样:
http://go.rritw.com/dc002.tiancang.net/crld/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl
3、添加好供外部访问的HTTP地址后我们选中它,然后选择下方的两个选项,分别是“包括在CRL中。客户端用它来寻找增量CRL的位置”和“包含在颁发的证书的CDP扩展中”。
4、然后再次单击添加,因为我们还需要将CRL发布到CA服务器相应的虚拟目录中。还是类似的,只不过这里我们是输入一个共享地址,比如\\dc002\crldist\<CAName><CRLNameSuffix><DeltaCRLAllowed>,然后最后加上.crl。
5、建立好后选中它,然后选择下方的两个选项,分别是“发布CRL到此位置”和“将增量CRL发布到此位置”。
6、然后我们到CA服务器去创建共享文件夹。这里我们需要进行高级共享,因为需要设置CA完全控制权限。注明:如果不设置的话,证书发布列表发布新的CRL的时候会提示无权限,报错。
7、我们把DC002,也就是我们的CA添加到权限列表中,并赋予完全控制权限。需要注意下,在添加的时候默认是组和用户,我们需要更改类型,把计算机加入到其中,否则是找不到计算机的。
8、然后我们用同样的方法把DC002也加到安全属性中,同样赋予完全控制权限。
9、然后我们到CA服务器,打开IIS,右键添加虚拟目录。
10、然后我们创建前面对应的别名,比如crld,然后物理路径指向刚才创建的共享文件夹crldist。
11、选择吊销的证书,所有任务,发布
12、在弹出框里选择新的CRL,确定。
13、在域外使用certutil -verify e:\edge_internet.cer检查状态,依旧提示吊销列表脱机。登录到CA服务器,运行pkiview.msc 打开Enterprise PKI展开所有节点,在出现错误的节点截图。发现其中一个CRL状态是“无法下载”:
14、在crldist文件夹打开生成的证书列表。
15、打开contoso-DC002-CA,显示最新CRL地址为http://go.rritw.com/dc002.tiancang.net/crld/contoso-DC002-CA+.crl。
16、打开网页,输入地址http://go.rritw.com/dc002.tiancang.net/crld/contoso-DC002-CA+.crl,报错,提示请求筛选模块被配置为拒绝包含双重转义序列的请求。
17、根据“请求筛选模块被配置为拒绝包含双重转义序列的请求”关键字搜索,找到以下链接:http://go.rritw.com/it.oyksoft.com/post/5876/该链接提示需要修改web.config配置文件,但是由于虚拟目录没生成该配置文件,所以需要修改IIS配置:打开IIS控制台,选中我们之前创建的虚拟目录,双击“目录浏览”,点击“启用”。
18、在crldist目录下打开web.config。
19、使用文本格式打开web.config后,添加如下的三行代码。
<security>
<requestFiltering allowDoubleEscaping="True"/>
</security>
20、见证奇迹的时刻到了,刷新企业PKI,发现状态已经变为确定了。
21、打开网页,重新输入地址http://go.rritw.com/dc002.tiancang.net/crld/contoso-DC002-CA+.crl,已经可以下载CRL列表了。
22、我们在域外使用certutil -verify e:\edge_internet.cer检查状态,吊销列表状态显示正常,如下图。
23、然后我们在域外使用lync2013重新上传PPT,显示正常,到此我们的操作步骤就全部完成了。
24、同时在企业PKI里面我们还看到了另外一个CA,这个是我之前的虚拟机环境因为断电,AD蓝屏无法启动后,重新搭建的CA,这个也说明平常我们的AD的快照和备份工作有多么的重要。我们依次打开AIA容器等各个选项卡,把contoso-DC001-CA删除掉。
25、删除完坏掉的CA后,界面清爽多了。而且我们后面lync服务器申请的时候也不会再跳出contoso-DC001-CA供你选择了。
一、下面我们先讲内部域和外部域一致的情况。
1、当我们部署完lync server 2013前端、后端、边缘和office web apps服务器后,在域内进行PPT演示正常,但是在工作组和域外均出现如下的报错。
2、通过查找互联网资料及诸多权威资料,确认问题原因是由于内部工作组和外部用户无法通过LDAP查询CA吊销列表,所以需要启用CA吊销列表的http访问,并且已确认可通过修改CA扩展属性解决问题。
选择证书颁发机构,右键属性,在属性框里,选择扩展页面。选择扩展,选择CRL分发点(CDP)
3、勾选包括在CRL中。客户端用它来寻找增量CRL的位置和包括在颁发的证书的CDP扩展中。
4、扩展页面中,继续选择扩展,选择到授权信息访问(AIA).
5、选择包括在颁发的证书的AIA扩展中(I),应用,证书服务将会重新启动。
6、选择吊销的证书,所有任务,发布
7、在弹出框里选择新的CRL,确定。
8、后面再重新申请office web apps服务器,lync服务器证书,exchange服务器证书,是不是感觉很折腾,如果感觉很折腾的话,我们以后做规划的时候第一步就先把CA规划好,在去做后面的部署,这样才省时省力。
如果朋友你觉得以上步骤都麻烦的话,那你接着往下看内部域和外部域不一致的情况,你会觉得这才是真正的折腾和费时费力。
二、接下来我们继续讲内部域和外部域不一致的情况。
我的Lync server 2013环境介绍
内部域名contoso.com,外部域为tiancang.net,
两个前端服务器,fe01.contoso.com,fe02.contoso.com
两个边缘服务器,edge01.contoso.com,edge02.contoso.com
三个后端数据库,be01.contoso.com,be02.contoso.com,be03.contoso.com
两个持久聊天服务器,chat01.contoso.com,chat02.contoso.com
一个office web apps服务器,owas.contoso.com
1、首先我们按照内部域和外部域一致的情况处理,发现在域内正常了,可以共享PPT了,但是域外不能共享PPT,我们使用certutil -verify e:\edge_internet.cer检查状态,提示吊销列表脱机,如下截图:
2、以上的原因是由于内部域和外部域不一致,在外网无法访问内部地址的CRL,我们手动添加可以让外网访问的CRL。
单打开证书颁发机构扩展选项页面,点击添加后,我们在这里键入一个http地址,这个地址是域外可以访问的,比如我们的ca服务器地址或者exchange cas服务器的外部地址。然后在后面加上/crld/表示专门的CRL虚拟目录,再后面加上三个变量,分别是<CAName><CRLNameSuffix><DeltaCRLAllowed>,然后最后加上.crl。
注:我这里是使用的CA服务器地址,因为有两点考虑,第一、cas服务器是IIS目录是默认加密的,再有cas服务器有两个,以上步骤要操作两次,有点繁琐;第二、ca服务器IIS目录是默认不加密的,再有ca服务器的certsrv一般是默认打开的,以提供给外部人员自行申请私有证书,刚好可以搭这个顺风车。
完整的应该类似这样:
http://go.rritw.com/dc002.tiancang.net/crld/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl
3、添加好供外部访问的HTTP地址后我们选中它,然后选择下方的两个选项,分别是“包括在CRL中。客户端用它来寻找增量CRL的位置”和“包含在颁发的证书的CDP扩展中”。
4、然后再次单击添加,因为我们还需要将CRL发布到CA服务器相应的虚拟目录中。还是类似的,只不过这里我们是输入一个共享地址,比如\\dc002\crldist\<CAName><CRLNameSuffix><DeltaCRLAllowed>,然后最后加上.crl。
5、建立好后选中它,然后选择下方的两个选项,分别是“发布CRL到此位置”和“将增量CRL发布到此位置”。
6、然后我们到CA服务器去创建共享文件夹。这里我们需要进行高级共享,因为需要设置CA完全控制权限。注明:如果不设置的话,证书发布列表发布新的CRL的时候会提示无权限,报错。
7、我们把DC002,也就是我们的CA添加到权限列表中,并赋予完全控制权限。需要注意下,在添加的时候默认是组和用户,我们需要更改类型,把计算机加入到其中,否则是找不到计算机的。
8、然后我们用同样的方法把DC002也加到安全属性中,同样赋予完全控制权限。
9、然后我们到CA服务器,打开IIS,右键添加虚拟目录。
10、然后我们创建前面对应的别名,比如crld,然后物理路径指向刚才创建的共享文件夹crldist。
11、选择吊销的证书,所有任务,发布
12、在弹出框里选择新的CRL,确定。
13、在域外使用certutil -verify e:\edge_internet.cer检查状态,依旧提示吊销列表脱机。登录到CA服务器,运行pkiview.msc 打开Enterprise PKI展开所有节点,在出现错误的节点截图。发现其中一个CRL状态是“无法下载”:
14、在crldist文件夹打开生成的证书列表。
15、打开contoso-DC002-CA,显示最新CRL地址为http://go.rritw.com/dc002.tiancang.net/crld/contoso-DC002-CA+.crl。
16、打开网页,输入地址http://go.rritw.com/dc002.tiancang.net/crld/contoso-DC002-CA+.crl,报错,提示请求筛选模块被配置为拒绝包含双重转义序列的请求。
17、根据“请求筛选模块被配置为拒绝包含双重转义序列的请求”关键字搜索,找到以下链接:http://go.rritw.com/it.oyksoft.com/post/5876/该链接提示需要修改web.config配置文件,但是由于虚拟目录没生成该配置文件,所以需要修改IIS配置:打开IIS控制台,选中我们之前创建的虚拟目录,双击“目录浏览”,点击“启用”。
18、在crldist目录下打开web.config。
19、使用文本格式打开web.config后,添加如下的三行代码。
<security>
<requestFiltering allowDoubleEscaping="True"/>
</security>
20、见证奇迹的时刻到了,刷新企业PKI,发现状态已经变为确定了。
21、打开网页,重新输入地址http://go.rritw.com/dc002.tiancang.net/crld/contoso-DC002-CA+.crl,已经可以下载CRL列表了。
22、我们在域外使用certutil -verify e:\edge_internet.cer检查状态,吊销列表状态显示正常,如下图。
23、然后我们在域外使用lync2013重新上传PPT,显示正常,到此我们的操作步骤就全部完成了。
24、同时在企业PKI里面我们还看到了另外一个CA,这个是我之前的虚拟机环境因为断电,AD蓝屏无法启动后,重新搭建的CA,这个也说明平常我们的AD的快照和备份工作有多么的重要。我们依次打开AIA容器等各个选项卡,把contoso-DC001-CA删除掉。
25、删除完坏掉的CA后,界面清爽多了。而且我们后面lync服务器申请的时候也不会再跳出contoso-DC001-CA供你选择了。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Lync 2013演示PPT提示证书出现问题的解决办法
- 解决Lync 2013演示PPT提示证书问题的多种方法
- CA服务器扩展信息中添加CRL,彻底解决Lync 2013共享PPT提示证书问题
- 解决Lync Server 2013无法共享演示PPT
- Discuz升级提示static/image/postbg/3.jpg下载出现问题的解决办法
- Eclipse3.3.x “Alt+/” 不出现提示问题解决办法
- firefox 下出现flash上传时提示回话超时,需重新登录问题的解决办法
- \t\t解决MyEclipse联网编辑JSP页面出现类、方法等提示信息的时候出现死机、假死等问题的办法
- 关于Win10系统下VC2013安装Unit test出现问题的解决办法
- 解决MyEclipse联网编辑JSP页面出现类、方法等提示信息的时候出现死机、假死等问题的办法
- pe模式安装win7(32位)的时候出现“安装程序无法定位现有系统分区,也无法创建新的系统分区”提示,网上很多对此问题没有很好的解决办法
- ISA出现“路由(链)失败”的问题提示的解决办法 推荐
- 关于AutoCompleteTextView 为什么必须输入两个字符才能出现补全提示的问题的解决办法
- 关于AutoCompleteTextView 为什么必须输入两个字符才能出现补全提示的问题的解决办法
- 只有安卓系统的浏览器提示证书不受信任的问题 ----- 证书链不完整的解决办法
- 用Powerpoint打开ppt文件出现提示:"PowerPoint无法显示文件中某些幻灯片中的文字、图像或对象,“xx.ppt”解决办法
- 使用VS2013编写Python程序时出现编码问题的解决办法
- VS2013配置opencv出现msvcp110d.dll丢失问题解决办法
- vs2015中编写C语言代码出现错误:提示scanf is not safe 问题解决办法
- 关于AutoCompleteTextView 为什么必须输入两个字符才能出现补全提示的问题的解决办法