Внутреннее автоматическое обнаружение Exchange 2010 Перенос с текущего DNS-имени.local
У нас есть сервер Exchange 2010, работающий в нашем домене Active Directory, с внутренним именем хоста server.example.local
,
Сервер настроен для Exchange где угодно, но в настоящее время имеет самозаверяющий сертификат с именем server.example.local
установлены.
Внутренне клиенты подключаются и работают нормально, но внешне у нас возникают ошибки сертификата, как и следовало ожидать.
Я собираюсь приобрести SSL-сертификат UCC для установки на сервер со всеми соответствующими SAN в сертификате, чтобы исправить это, но из-за очевидной проблемы с получением доверенного сертификата с .local
как альтернативное имя субъекта, я хочу настроить клиентов во внутренней сети, чтобы они не использовали ссылки на .local
Имя хоста.
Я настроил наше внешнее DNS-имя для сервера как exchange.example.com
и создали CNAME для autodiscover.example.com
что также (правильно) указывает на exchange.example.com
, Я также настроил внутренние записи DNS для этих двух имен хостов, которые указывают на внутренний интерфейс того же сервера. Я не ожидаю никаких проблем здесь.
Я сейчас пытаюсь перенастроить автообнаружение внутри, чтобы Outlook пытался подключиться к exchange.example.com
, Я подготовился к этому, выполнив шаги, описанные в KB940726, и, похоже, это работает нормально. Не было сгенерировано ошибок, и я смог проверить имя CAS в AD с помощью редактора ADSI.
Я только что попытался протестировать это с помощью вновь созданной учетной записи тестового пользователя с новым почтовым ящиком Exchange, и Outlook 2007 прекрасно подключается к внутренней сети, но, глядя глубже в профиле Exchange, Outlook все еще разрешает имя сервера как server.example.local
,
Это может быть самоподписанный сертификат, который заставляет Outlook отображать имя сервера как server.example.local
, или все еще что-то не так с моей внутренней конфигурацией автообнаружения?
редактировать
Я доказал, что это не сертификат, который отвечает за возвращение перспективы server.example.local
, установив еще один сертифицированный сертификат с именем test.example.com
, При создании нового профиля Outlook я получаю ошибку несоответствия, которую я исключаю, но после принятия сертификата и завершения настройки профиля Outlook снова отображается server.example.local
в качестве имени сервера. Это означает, что если бы я купил сертификат UCC сейчас, этот внешний клиент работал бы нормально, но внутренние клиенты показывали бы несоответствие имени сертификата.
Есть идеи, где начать диагностировать это?
1 ответ
Я считаю, что мне удалось это исправить с помощью редактора ADSI.
Несмотря на то, что я выполнил команды в статье базы знаний, на которую я ссылался в своем вопросе, я обнаружил две записи автообнаружения, используя редактирование ADSI.
- CN = exchange.example.com
- CN = сервер
Я удалил CN=server
запись, и пришлось внести изменения в serviceBindingInformation property
объекта CN=exchange.example.com
отразить правильный внешний URL.
Теперь, когда я настраиваю новый профиль обмена или открываю outlook для существующего пользователя, я получаю ошибку несоответствия имени сертификата. Это ожидается, хотя, поскольку мой сертификат все еще является самоподписанным сертификатом, который имеет только имя server.example.local
, Теперь я ясно вижу, что внутренние клиенты ищут имя exchange.example.com
на сертификате.
Я собираюсь заказать сертификат UCC сейчас, с правильными именами SAN exchange.example.com
а также autodiscover.example.com
Я верю, что теперь у меня останется работающая система.
Обновить
Я сейчас заказал и установил доверенный сертификат с именем exchange.example.com
плюс SAN autodiscover.example.com
, и я могу сообщить, что перспективы в любом месте прекрасно работает в следующих сценариях
- внутренне на
example.local
корпоративная сеть с ПК, подключенными к домену. - внешне с ноутбуками в роуминг-домене
- внешне с помощью мобильных устройств (iPhone и iPad)
- внешне с компьютерами, не подключенными к домену.
- OWA больше не выдает ошибки SSL.