Exchange 2010 Split-Brain DNS с SSL для внешнего DNS-имени
В прошлые выходные я выполнил пошаговую миграцию с Exchange 2003 на Exchange 2010. Все прошло нормально, но теперь мои пользователи получают предупреждение системы безопасности: "Имя в сертификате безопасности неверно или не соответствует названию сайта". Часть веб-почты работает, а внутренняя часть работает, но выдает это сообщение.
Внешнее имя в сертификате SSL - [mail.example.com], а внутреннее имя - [exchange2010.local.example.com].
Единственный ответ, который я видел, - это добавление внутреннего имени сервера в SSL. Я бы предпочел не показывать свое внутреннее DNS-имя. Другим ответом было отключение SSL, но я не объяснил, как его отключить. Какие-либо предложения?
Изменить Я сделал анализатор соответствия рекомендациям и нашел это..
Альтернативное имя субъекта (SAN) сертификата SSL для https://exchange2010.local.example.com/Autodiscover/Autodiscover.xml не соответствует адресу хоста. Адрес хоста: exchange2010.local.example.com. Текущий SAN: DNS-имя =mail.example.com.
Альтернативное имя субъекта (SAN) сертификата SSL для https://exchange2010.local.example.com/EWS/Exchange.asmx не соответствует адресу хоста. Адрес хоста: exchange2010.local.example.com. Текущий SAN: DNS-имя =mail.example.com.
Альтернативное имя субъекта (SAN) сертификата SSL для https://exchange2010.local.example.com/Microsoft-Server-ActiveSync не соответствует адресу хоста. Адрес хоста: exchange2010.local.example.com. Текущий SAN: DNS-имя =mail.example.com.
Альтернативное имя субъекта (SAN) сертификата SSL для https://exchange2010.local.example.com/owa не соответствует адресу хоста. Адрес хоста: exchange2010.local.example.com. Текущий SAN: DNS-имя =mail.example.com.
Изменить это работает! Вам нужно внести изменения в DNS; в моем случае CNAME mail.example.com -> exchange2010.local.example.com вам также необходимо выполнить следующие команды Power Shell.
Set-AutodiscoverVirtualDirectory -Identity * –internalurl “https://mail.example.com/autodiscover/autodiscover.xml”
Set-ClientAccessServer –Identity * –AutodiscoverServiceInternalUri “https://mail.example.com/autodiscover/autodiscover.xml”
Set-webservicesvirtualdirectory –Identity * –internalurl “https://mail.example.com/ews/exchange.asmx”
Set-oabvirtualdirectory –Identity * –internalurl “https://mail.example.com/oab”
Set-owavirtualdirectory –Identity * –internalurl “https://mail.example.com/owa”
Set-ecpvirtualdirectory –Identity * –internalurl “https://mail.example.com/ecp”
Set-ActiveSyncVirtualDirectory -Identity * -InternalUrl "https://mail.example.com/Microsoft-Server-ActiveSync"
2 ответа
Мы создали запись A, которая указывает на сервер, который соответствует внешней записи DNS. В нашем случае внутренне это mail..com, а внешне mail..com, но в зависимости от того, какой DNS запрашивается (внутренне или внешне), будет зависеть от возвращаемого IP-адреса. Таким образом, один и тот же сертификат может использоваться независимо от того, где он находится. Прекрасно работает для ноутбуков, когда они движутся вперед и назад..
Это может быть возможным решением:
Настройте клиенты для подключения через RPC через HTTP и использования HTTPS для медленных и быстрых сетей. Таким образом, они не будут использовать внутренний SCP, который будет иметь внутреннее имя, но вместо этого они будут использовать внешнее имя, которое будет соответствовать вашему сертификату.