У нас есть Exchange Server с двумя различными именами DNS, указывающими на тот же сервер, внутреннее и внешнее имя. Что-то вроде этого:
exchange.domain.com [External Domain]
exchange1.local.domain.com [Internal Domain]
Таким образом, существует два Wildcard-сертификата для тех доменов: *.local.domain.com
и *.domain.com
.
Проблема происходит, когда пользователи приходят к Exchange Server через внутреннее доменное имя. Так как я только смог использовать *.domain.com
сертификат для IIS, я не могу соответствовать внутреннему сертификату от клиентов, идущих с внутренним именем DNS.
Вопрос состоит в основном в том, как соответствовать доменному имени DNS соответствующему сертификату? Так как мы не можем переиздать те сертификаты, чтобы иметь различные SAN, это не опция.
Заранее спасибо.
Если вы не импортировали свой сертификат в Exchange, вам нужно будет открыть EMC, щелкнуть Конфигурация сервера, затем на вашем сервере щелкните правой кнопкой мыши и выберите «Импортировать сертификат Exchange».
Вы можете загрузить несколько сертификатов, используя этот метод, который позволит вашему серверу выбрать правильный сертификат в зависимости от того, запрашивает ли ваш трафик локальный или общедоступный адрес.
Затем вам нужно будет убедиться, что ваши конфигурации транспорта / клиентского доступа концентратора ( и т.д.) настроены на использование правильных URL-адресов, соответствующих yo ur SSL Certs.
Вы увидите, что выбранный вами сертификат (сертификаты) отражен на веб-сайте IIS по умолчанию.
Но сохраните его, чтобы изменить его, вы не можете использовать только IIS для этого, а вместо этого используйте описанный выше метод, если вы случайно измените его из IIS, ваш сервер перестанет отвечать на соединения, поскольку у него будут несоответствующие сертификаты в IIS / EMC.
Вам следует настроить Split-Brain DNS на своих внутренних DNS-серверах или вы должны создать зону на своих внутренних DNS-серверах с внутренним разрешением адресов
exchange.domain.com
Вам необходимо настроить виртуальный каталог IIS на правильный домен.
С PowerShell вы можете проверить URL-адрес следующим образом:
Get-ActiveSyncVirtualDirectory | fl internalurl, externalurl
Get-AutoDiscoverVirtualDirectory | fl internalurl, externalurl
Get-ECPVirtualDirectory | fl internalurl, externalurl
Get-OabVirtualDirectory | fl internalurl, externalurl
Get-WebServicesVirtualDirectory | fl internalurl, externalurl
Таким образом можно установить новое значение с помощью команды Set- :
Get-ActiveSyncVirtualDirectory -server EXCHANGE | Set-ActiveSyncVirtualDirectory -ExternalUrl ‘ https://mail.DOMAIN.ca/Microsoft-Server-ActiveSync ’ -InternalUrl ‘ https://mail.DOMAIN.ca/Microsoft-Server-ActiveSync ’
Get-AutodiscoverVirtualDirectory -server EXCHANGE | Set-AutodiscoverVirtualDirectory -ExternalUrl ‘ https://mail.DOMAIN.ca/Autodiscover/Autodiscover.xml ’ -InternalUrl ‘ https://mail.DOMAIN.ca/Autodiscover/Autodiscover.xml ’
Get-ECPVirtualDirectory -server EXCHANGE | Set-ECPVirtualDirectory -ExternalUrl ' https://mail.DOMAIN.ca/ECP ' -InternalUrl ' https://mail.DOMAIN.ca/ECP '
Get-OabVirtualDirectory -server ОБМЕН | Set-OabVirtualDirectory -ExternalUrl ' https://mail.DOMAIN.ca/OAB ' -InternalUrl ' https://mail.DOMAIN.ca/OAB '
Get-WebServicesVirtualDirectory -server ОБМЕН | Set-WebServicesVirtualDirectory -ExternalUrl ‘ https://mail.DOMAIN.ca/EWS/Exchange.asmx ’ -InternalUrl ' https://mail.DOMAIN.ca/EWS/Exchange.asmx '
Через графический интерфейс вы можете посмотреть там , чтобы получить руководство
После этих изменений вы должны выполните iisreset и перезапустите клиент Outlook.
Не забудьте создать запись хоста в локальном DNS, чтобы сопоставить имя домена с локальным IP-адресом, или если у вас есть брандмауэр, поддерживающий вы можете создать внутреннее правило NAT, которое, когда запрос является вашим общедоступным IP-адресом обмена, перезаписывает пункт назначения как локальный IP-адрес.