আউটলুক সুরক্ষা সতর্কতা - সুরক্ষা শংসাপত্রের নামটি অবৈধ বা সাইটের নামের সাথে মেলে না


14

এসবিএস 2008 চলমান এক্সচেঞ্জ 2007 এবং আইআইএস 6.0

CompanyA এর আরও দুটি সংস্থা রয়েছে যা একই ছাদের নীচে কাজ করে। ইমেল সামঞ্জস্য করতে, এটি পরিচালনা করতে আমাদের প্রতি ব্যবহারকারী 3 টি এক্সচেঞ্জ অ্যাকাউন্ট রয়েছে। সমস্ত ব্যবহারকারীরা ডোমেনে লগ ইন করতে তাদের CompanyA অ্যাকাউন্ট ব্যবহার করে।

  • করপ \ user@companyA.com
  • CORP P user-companyb user@companyB.com <- কেবল ইমেলের জন্য ব্যবহৃত
  • CORP \ user-companyc user@companyC.com <- কেবল ইমেলের জন্য ব্যবহৃত

ইমেল অভ্যন্তরীণভাবে এবং ওডাব্লুএর মাধ্যমে সূক্ষ্মভাবে কাজ করে। সমস্যা বিরাজ করছে যখন দূরবর্তী ব্যবহারকারীদের জন্য যাদের সংস্থাবি এবং সংস্থাসি ইমেলগুলিতে অ্যাক্সেসের প্রয়োজন আছে, আউটলুক শংসাপত্রের ত্রুটিটিকে পপ আপ করে।

এসএসএল সার্ট স্যানের নিম্নলিখিত ডিএনএসের নাম রয়েছে:

  • webmail.companyA.com
  • www.webmail.companyA.com
  • CORP-এসবিএস
  • CORP-SBS.local
  • autdiscover.companyA.com

আমাকে যে ব্যবহারকারীরা দূরবর্তী অবস্থান থেকে কোম্পানির ইমেল ঠিকানা অ্যাক্সেস করে তাদের জানিয়েছিল যে এটি আগে কখনও ঘটেনি। এটি সিইও নিজে থেকেই ডিএনএস সরবরাহকারীদের পরিবর্তিত করে এবং প্রক্রিয়াতে আসল ডিএনএস সেটিংসটি হারিয়ে যায়। তিনি তৈরি করা হচ্ছে এমন একটি এসআরভি রেকর্ড সম্পর্কে কিছু উল্লেখ করেছিলেন যা এই সমস্যাটিকে সংশোধন করেছে তবে এটিই এটি সম্পর্কে।

কীভাবে এটি সঠিকভাবে মোকাবেলা করতে যায় তার জন্য গাইডেন্স খুঁজছি।

উত্তর:


25

এই সমস্যাটি সম্ভবত আউটলুকের কোথাও কার্যকারিতার অংশ, আউটলুকের অটোডিস্কোভার পরিষেবা দ্বারা সৃষ্ট । অটোডিস্কোভার, এক্সচেঞ্জের দেওয়া বিভিন্ন পরিষেবা এবং যেখানে এটিগুলি অবস্থিত হতে পারে সেখানে শেষ-ব্যবহারকারীর আউটলুক ক্লায়েন্টকে বিভিন্ন তথ্য সরবরাহ করে; এটি বিভিন্ন উদ্দেশ্যে ব্যবহৃত হয়:

  • আউটলুকের প্রথম-চালনায় প্রোডাক্টগুলির স্বতঃরূপকরণ, যা কেবলমাত্র ব্যবহারকারীর ইমেল ঠিকানা এবং পাসওয়ার্ড ব্যবহার করে একটি এক্সচেঞ্জ অ্যাকাউন্ট কনফিগার করতে পারে, যেহেতু অন্যান্য তথ্য স্বয়ংক্রিয়ভাবে অবস্থিত এবং পুনরুদ্ধার করা হয়েছে।

  • অফিস-অফ-অফিস সহকারী, ইউনিফাইড বার্তাপ্রেরণ কার্যকারিতা, এক্সচেঞ্জ কন্ট্রোল প্যানেলের অবস্থান (ইসিপি) এবং আরও কিছু সহ আউটলুক ক্লায়েন্ট দ্বারা অ্যাক্সেস করা ওয়েব-ভিত্তিক পরিষেবার গতিশীল অবস্থান location

এটি মাইক্রোসফ্টের আরএফসি 6186 এর স্বত্বাধিকারী বাস্তবায়ন । দুর্ভাগ্যক্রমে, তারা আউটলুক যেকোন স্থানের ডিজাইনে সেই আরএফসির সুপারিশগুলি সত্যই অনুসরণ করে নি, তবে সম্ভবত এটি আশা করা হবে যেহেতু এইচটিটিপিএস কার্যকারিতা নিয়ে এক্সচেঞ্জ এবং আরপিসি কোনও traditionalতিহ্যবাহী আইএমএপি / এসএমটিপি সার্ভার নয়।


অটোডিসোভার কীভাবে কাজ করে (বহিরাগত * ব্যবহারকারীদের জন্য)?

অটোডিস্কোভার একটি ক্লায়েন্ট অ্যাক্সেস সার্ভারে ওয়েব পরিষেবাদির সাথে যোগাযোগ করে (এই ক্ষেত্রে, সমস্ত ভূমিকা এসবিএস সার্ভারে রয়েছে) /Autodiscover/Autodiscover.xmlতার ডিফল্ট ওয়েব সাইটটি মূল থেকে নিঃশেষিত করে । যোগাযোগের জন্য সার্ভারের এফকিউডিএন সনাক্ত করতে, এটি ইমেল ঠিকানাটির ব্যবহারকারীর অংশটি ডোমেন (অর্থাৎ @ CompanyB.com) রেখে সরিয়ে দেয়। এটি নীচের প্রতিটি ইউআরএল ব্যবহার করে অটোডিস্কোভারের সাথে যোগাযোগের চেষ্টা করে:

  • https://companyB.com/Autodiscover/Autodiscover.xml
  • https://autodiscover.companyB.com/Autodiscover/Autodiscover.xml

যদি এটি ব্যর্থ হয়, এটি এসএসএলকে অক্ষম করে এবং ৮০ (এইচটিটিপি) পোর্টে যোগাযোগ করার চেষ্টা করে একটি অ-সুরক্ষিত সংযোগের চেষ্টা করবে, সাধারণত ব্যবহারকারীকে এটি নিশ্চিত করার জন্য অনুরোধ করার পরে এটি একটি গ্রহণযোগ্য পদক্ষেপ (আমার মতে একটি ত্রুটিযুক্ত বিকল্প, যেহেতু অনর্থক ব্যবহারকারীগণ) সাধারণত এটিকে অনুমোদন করুন এবং সরল পাঠ্যের মাধ্যমে শংসাপত্র প্রেরণের ঝুঁকি - এবং ক্লিউলেস সিসাদমিনগুলি যাদের শংসাপত্রগুলির সুরক্ষিত যোগাযোগের প্রয়োজন হয় না এবং ব্যবসায়িক সংবেদনশীল ডেটা ব্যবসায়ের ধারাবাহিকতার ঝুঁকি থাকে)।

অবশেষে, ডিএনএসে একটি পরিষেবা রেকর্ড (এসআরভি) ব্যবহার করে একটি ফলো-অন চেক তৈরি করা হয়, যা companyB.comনামস্থান থেকে দূরে একটি সুপরিচিত জায়গায় উপস্থিত রয়েছে এবং যেখানে সার্ভারটি শুনছে সেখানে সঠিক ইউআরএলে আউটলুককে পুনর্নির্দেশ করতে পারে।


কী ভুল হতে পারে?

এই প্রক্রিয়াটিতে বেশ কয়েকটি সমস্যার উত্থাপন হতে পারে:

কোনও ডিএনএস এন্ট্রি নেই

সাধারণত, ডোমেনের মূলটি ( companyB.com) ডিএনএসে কোনও হোস্ট রেকর্ডে সমাধান করতে পারে না। ভুল ডিএনএস কনফিগারেশন (বা আউটলুক কোথাও পরিষেবাটি প্রকাশ না করার জন্য সচেতন সিদ্ধান্ত) এর অর্থ autodiscover.companyB.comরেকর্ডটির অস্তিত্ব নেই।

এই ক্ষেত্রে, বড় কোন সমস্যা নেই; আউটলুক কেবল সর্বশেষ পরিচিত কনফিগারেশনটি ব্যবহার করে এক্সচেঞ্জের সাথে যোগাযোগ চালিয়ে যায় এবং নির্দিষ্ট ওয়েব-ভিত্তিক ফাংশনগুলির সাথে সম্মতি সহকারে অবনতি হতে পারে যার জন্য এটি অটোডিস্কোভারের মাধ্যমে ইউআরএলগুলি পুনরুদ্ধার করতে পারে (যেমন অফিসের বাইরে সহকারী)। এই জাতীয় ফাংশন অ্যাক্সেস করার জন্য আউটলুক ওয়েব অ্যাক্সেস ব্যবহার করা একটি কাজ ar

নতুন আউটলুক প্রোফাইলে এক্সচেঞ্জ অ্যাকাউন্টগুলির স্বয়ংক্রিয় কনফিগারেশনটি স্বয়ংক্রিয় নয়, এবং HTTPS সেটিংসের মাধ্যমে আরপিসির ম্যানুয়াল কনফিগারেশন প্রয়োজন। তবে এটি আপনার বর্ণিত সমস্যাটির কারণ হবে না।

ত্রুটিযুক্ত SSL শংসাপত্র

এটি সম্পূর্ণরূপে সম্ভব যে ইউআরএল আউটলুক এক্সচেঞ্জ সার্ভারের সাথে যোগাযোগ করার চেষ্টা করার জন্য হোস্টের সাথে সমাধান করে, যা ক্লায়েন্ট অ্যাক্সেস সার্ভার হতে পারে বা নাও হতে পারে। যদি আউটলুক 443 পোর্টে সেই সার্ভারের সাথে যোগাযোগ করতে পারে তবে আউটলুক এবং রিমোট সার্ভারের মধ্যে একটি সুরক্ষিত চ্যানেল সেটআপ করার জন্য শংসাপত্রগুলি অবশ্যই আদানপ্রদান করবে। যদি ইউআরএল আউটলুক বিশ্বাস করে যে এটির সাথে কথা বলছে তা সেই শংসাপত্রের তালিকাভুক্ত নয় - এটি সাধারণ নাম বা কোনও বিষয় বিকল্প নাম (এসএএন) হিসাবে থাকুক - এটি আপনার প্রাথমিক পোস্টে বর্ণিত ডায়লগটি উপস্থাপনের জন্য আউটলুকে সরিয়ে দেবে।

এটি ডিএনএস কীভাবে কনফিগার করা হয়েছে এবং উপরে বর্ণিত ইউআরএলগুলি কীভাবে আউটলুক দ্বারা চেক করা হয় তা সম্পূর্ণরূপে বেশ কয়েকটি কারণে ঘটতে পারে:

  • তাহলে https://companyB.com/... URL- এ একটি হোস্ট রেকর্ড, এর সমাধান করা এবং পোর্ট 443 এ ঠিকানাটি শোনা এ ওয়েব সার্ভার, এবং এটি একটি SSL সার্টিফিকেট অবলম্বন দিতে হয়েছে না তালিকা companyB.comসাধারণ নাম অথবা বিষয় বিকল্প নাম করুন, তারপরে ইস্যু ঘটবে। হোস্টটি এক্সচেঞ্জ সার্ভার কিনা তা গুরুত্বপূর্ণ নয়; এটি এমন কোনও ওয়েব সার্ভার হতে পারে যা কোনও সংস্থার ওয়েবসাইট হোস্ট করে যা সঠিকভাবে কনফিগার করা নেই। কার্বিজ হয়:

    • companyB.comজোনের মূলে হোস্ট রেকর্ডটি অক্ষম করুন (ওয়েবসাইটটিতে প্রবেশ করতে বা অন্যান্য পরিষেবাতে দর্শকদের প্রয়োজন www.companyB.com, বা সমতুল্য; বা
    • companyB.com443 পোর্টে মেশিনে অ্যাক্সেস অক্ষম করুন , যার ফলে companyB.comশংসাপত্রের আদান-প্রদানের আগে আউটলুক URL টি প্রত্যাখ্যান করে এবং অগ্রসর হয়; অথবা
    • সেই শংসাপত্রের তালিকাভুক্ত রয়েছে companyB.comতা নিশ্চিত করতে শংসাপত্রটি ঠিক করুন companyB.comএবং এটি https://companyB.comএকটি স্ট্যান্ডার্ড ব্রাউজারে দেখার চেষ্টা ব্যর্থ হয় না।

    companyB.comএক্সচেঞ্জ সার্ভারের সমাধান না করে উপরেরগুলি প্রয়োগ করে; যদি আউটলুক এর সাথে যোগাযোগ করতে পারে তবে এটি পরে আবিষ্কার করবে যে /Autodiscover/Autodiscover.xmlপাথটি একটি HTTP 404 ত্রুটি দেয় (উপস্থিত নেই) এবং এগিয়ে যায়।

  • যদি https://autodiscover.companyB.com/... URL এক্সচেঞ্জ সার্ভারে (বা অন্য কোনও সার্ভার) সমাধান করে তবে, আবার autodiscover.companyB.comসাধারণ নাম বা বিষয় বিকল্প নাম হিসাবে তালিকাভুক্ত না করা হয়, আপনি এই আচরণটি পর্যবেক্ষণ করবেন। শংসাপত্রটি ঠিক করে উপরে হিসাবে এটি ঠিক করা যেতে পারে, বা আপনি যথাযথভাবে নির্দেশ করেছেন যে, শংসাপত্রের তালিকাভুক্ত URL এবং আউটলুকের সাথে যোগাযোগ করতে পারে এমন কোনও URL এ আউটলুককে পুনর্নির্দেশ করতে আপনি একটি এসআরভি রেকর্ড ব্যবহার করতে পারেন ।

এই সমস্যাটিতে আপনার সম্ভাব্য সমাধান

এই ক্ষেত্রে, আদর্শ ফিক্সটি পরবর্তীটি করা হয়; আউটলুককে পুনঃনির্দেশিত করা হয়েছে কিনা তা নিশ্চিত করতে নতুন ডিএনএস সরবরাহকারীতে এসআরভি রেকর্ড তৈরি করুন autodiscover.companyA.com, যা (অন্য কোনও সমস্যা বাদে) সফলভাবে কাজ করবে যেহেতু এটি স্যান হিসাবে শংসাপত্রের তালিকাভুক্ত রয়েছে। এটি কাজ করার জন্য, আপনার প্রয়োজন:

  • ডকুমেন্টেশন_autodiscover._tcp.companyB.com অনুযায়ী একটি এসআরভি রেকর্ড কনফিগার করুন ।
  • autodiscover.companyB.comআউটলুক এটি সমাধান করতে এবং সেভাবে অটোডিস্কোভারে পৌঁছানোর চেষ্টা করার জন্য হোস্ট রেকর্ডটি উপস্থিত থাকলে তা মুছুন ।
  • https://companyB.comউপরোক্ত হিসাবে এইচটিটিপিএস অ্যাক্সেস সহ যে কোনও সমস্যা সমাধান করুন , যেহেতু আউটলুক এসআরভি রেকর্ড পদ্ধতির দিকে না যাওয়ার আগে ব্যবহারকারীর ইমেল ঠিকানা থেকে প্রাপ্ত URL গুলি গণনা করবে ।

* অটোডিসোভার কীভাবে কাজ করে (অভ্যন্তরীণ, ডোমেন-যুক্ত ক্লায়েন্টদের জন্য)?

আমি কেবল এটি সম্পূর্ণতার জন্য যুক্ত করছি, কারণ এই শংসাপত্রের অনুরোধ জানার জন্য এটি অন্য সাধারণ কারণ।

কোনও ডোমেন-যুক্ত ক্লায়েন্টে, যখন এটি এক্সচেঞ্জ পরিবেশে স্থানীয় হয় (যেমন অভ্যন্তরীণ ল্যানের উপরে), উপরের কৌশলগুলি ব্যবহার করা হয় না। পরিবর্তে, আউটলুক অ্যাক্টিভ ডিরেক্টরিতে সার্ভিস কানেকশন পয়েন্টের সাথে সরাসরি যোগাযোগ করে (এক্সচেঞ্জ ক্লায়েন্ট অ্যাক্সেস সেটিংসে তালিকাভুক্ত), যা ইউআরএল তালিকাভুক্ত করে যেখানে আউটলুক অটোডিস্কভার পরিষেবাটি সনাক্ত করতে পারে।

এই পরিস্থিতিতে শংসাপত্রের সতর্কতাগুলি হওয়া সাধারণ কারণ, কারণ:

  • এই উদ্দেশ্যে কনফিগার করা ডিফল্ট ইউআরএল এক্সচেঞ্জের অভ্যন্তরীণ ইউআরএলকে বোঝায় যা প্রায়শই পাবলিক ইউআরএল থেকে পৃথক হয়।
  • এসএসএল শংসাপত্রগুলি এগুলিতে অভ্যন্তরীণ URL টি তালিকাভুক্ত করতে পারে না। বর্তমানে আপনার কাজটি করে, তবে ভবিষ্যতে এটি অ্যাক্টিভ ডিরেক্টরি ডোমেনগুলির জন্য একটি সমস্যা হয়ে উঠতে পারে যা ব্যবহার করে .localএবং অনুরূপ অ-গ্লোবাল জিটিএলডি ডোমেন নাম প্রত্যয়, যেহেতু আইসিএনএএন দ্বারা গৃহীত একটি সিদ্ধান্ত 2016-এর পরে এই জাতীয় ডোমেনগুলির জন্য এসএসএল শংসাপত্রগুলি নিষিদ্ধ করে।
  • অভ্যন্তরীণ ঠিকানাটি সঠিক সার্ভারে সমাধান করতে পারে না।

Set-ClientAccessServerসেক্ষেত্রে, -AutodiscoverServiceInternalUriস্যুইচ সহ সেন্টিমিডলেট চালিয়ে, সঠিক, বাহ্যিক ঠিকানা (শংসাপত্রের তালিকাভুক্ত) উল্লেখ করার জন্য রেকর্ড করা URL টি সংশোধন করে বিষয়টি সমাধান করা হবে। এটি করার পক্ষগুলি সাধারণত স্প্লিট-দিগন্ত ডিএনএস কনফিগার করে , কারণ তাদের নেটওয়ার্ক কনফিগারেশন দ্বারা এবং / অথবা একটি আপস্ট্রিম রেজোলভার / সংযোগ বিচ্ছিন্নতার ক্ষেত্রে রেজোলিউশনের ধারাবাহিকতার জন্য এটি করা প্রয়োজন।


2
দুর্দান্ত লেখা! যদিও আমি বিশ্বাস করি যে শেষ বিভাগে এটি সার্ভিস সংযোগ পয়েন্ট (এসসিপি) এর চেয়ে সার্ভিস লোকেটার পয়েন্ট (এসএলপি) হওয়া উচিত।
ব্লুকম্পুট

@ ব্লু কমপুট প্রকৃতপক্ষে, আপনি ঠিক বলেছেন, আমি খুব দীর্ঘ সময় ধরে সিস্টেম সেন্টার জমিতে আমার মাথা রেখেছি! (এসপিসি 2007 এ এসসিএমএম-তে বিদ্যমান ছিল এবং এসসিপি-র কাছে দূরবর্তী সম্পর্কিত উদ্দেশ্যে কাজ করেছিল)। উপরের স্থির
মহাজাগতিক ওসিফ্রিজ

পুরো লেখার জন্য ধন্যবাদ! আমি কেবল লক্ষ্য করেছি যে autodiscover.companyA.com একটি রেকর্ড এবং একটি সিএমএল রেকর্ড নয়। এটি সংস্থাবি ডট কমের জন্য সঠিকভাবে কাজ করা এসআরভি রেকর্ডের উপর কোনও প্রভাব ফেলবে?
মাইক 66350216

1
এসআরভি রেকর্ডগুলির জন্য জনসমর্থন এখনও কিছুটা কম রয়েছে, এমনকি ডিএনএস সরবরাহকারীদের মধ্যেও। আপনি এটি বাছাই হয়েছে মত শব্দ যদিও!
কসমিক ওসিফরেজ

3
আমি কেবল উল্লেখ করতে চাই যে আপনার দুর্দান্ত লেখা + নীচের লিঙ্কটি আমার সমস্যার সমাধান করেছে। superuser.com/questions/770308/… । আমার মতো একই নৌকায় যে কেউ ছিল তার জন্য কেবল এই নোটটি এখানে রেখে যেতে চেয়েছিলেন।
জেমস ওয়াট

3

আপনাকে ডোমেন বি এবং সিতে একটি এসআরভি রেকর্ড তৈরি করতে হবে যা সার্টের (autodiscover.companyA.com) নামের একটির সাথে মেলে। এটি আউটলুকে বলে যে এই নাম ডোমেন বি এবং সি এর জন্য স্বতঃ আবিষ্কার আবিষ্কার করে

ডিএনএস বিভাগে এসআরভি রেকর্ডগুলি এখানে পড়ুন:

https://jaapwesselius.com/2011/08/28/autodiscover-redirect-srv-record/


1
লিঙ্কটি নষ্ট হয়ে গেছে ...
আমি বলি মনিকা

@ টুইস্ট লিঙ্কটি স্থির করেছেন।
আলেকজান্ডার গনচি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.