Exchange 2010 - ошибка Сертификата на внутренних соединениях Outlook 2013
У меня есть Exchange 2010 и Outlook 2003. Exchange Server имеет подстановочный сертификат SSL, установленный *.domain.com, (для использования с autodiscover.domain.com и mail.domain.com). Локальный fqdn Exchange Server является exch.domain.local. С этой конфигурацией нет никакой проблемы.
Теперь я начал обновлять весь Outlook 2003 до Outlook 2013, и я начинаю получать последовательно ошибку сертификата в Outlook:
Имя на сертификате безопасности недопустимо или не соответствует названию сайта
Я понимаю, почему я получаю ту ошибку: 2013 Outlook соединяется с exch.domain.local, в то время как сертификат для *.domain.com.
Я был готов купить SAN (Подчиненные Альтернативные названия) Сертификат, который содержит эти три домена exch.domain.local, mail.domain.com, autodiscover.domain.com. Но существует помеха: поставщик сертификата (в моем случае Godaddy) требует, чтобы домен был проверен как являющийся нашим свойством. Теперь это не возможно для внутреннего домена, который не доступен из Интернета. Таким образом, это, оказывается, не опция.
Создайте самоподписал сертификат SAN с Предприятием CA, другой вариант, который едва жизнеспособен: была бы ошибка сертификата с каждым доступом к веб-почте, и я должен был установить сертификат на всех клиентах Outlook.
Что такое рекомендуемое эффективное решение?
Действительно ли возможно отключить сертификат, регистрируясь в Outlook?
Или как я мог изменить конфигурацию Exchange Server так, чтобы имя общественного достояния использовалось для всех соединений?
Как изменить основной FQDN Exchange Server, как предложено в ответе, без потребности переустановки сервера? Или есть ли другое решение, о котором я не думаю?
Любой совет приветствуется.
Вот шаги по изменению FQDN, используемого Outlook для подключения к серверу (источники: Godaddy, puryear)
Используя консоль Exchange Management, измените внутренний URL различных веб-сервисов:
Set-ClientAccessServer -Identity Your_Server_Name -AutodiscoverServiceInternalUri https://mail. domain.com/autodiscover/autodiscover.xml
Set-WebServicesVirtualDirectory -Identity "Your_Server_Name\EWS". (Веб-сайт по умолчанию)" -Установка-OABVirtualDirectory -Идентификация. "Твой_серверName\oab (Веб-сайт по умолчанию)" -InternalUrl https://mail.domain.com/oab
Set-UMVirtualDirectory -Identity "Your_Server_Name\unifiedmessaging". (Веб-сайт по умолчанию)" -ВнутреннийUrl https://mail.domain.com/unifiedmessaging/service.asmx
Set-ActiveSyncVirtualDirectory -Identity "Your_Server_Name\Microsoft-Server-ActiveSync (Web-сайт по умолчанию)" -InternalUrl "https://mail.domain.com/Microsoft-Server-ActiveSync"
Главное, что здесь следует заметить, это то, что вы устанавливаете внутренние URL-адреса так, чтобы они совпадали с внешними.
.Вы можете начать исправлять ситуацию, не используя ".local" в вашем FQDN. Начиная с 2015 года, локально назначенные адреса больше не будут приниматься органами сертификации. Так что вам лучше решить эту проблему сейчас, чем через год.
Папочка поступает правильно. В основном, вы застряли между камнем и твердым местом. Большинство провайдеров сертификатов внедряют новое правило сейчас, так что вы можете купить новый сертификат с вашим реальным глобальным адресом домена (надеюсь, у вас есть настроенный домен) с соответствующими SANS.
Я работаю в том же процессе, Exchange 2010 с клиентами Outlook 2013 и только что зарегистрировал сертификат mail.domain.com. Однако наш сервер не server.local, это server.domain.com, но я не хочу добавлять это имя сервера в список имен хостов в сертификате, а также хочу сделать это правильно.
https://www.digicert.com/internal-domain-name-tool.htm
Вы можете использовать этот инструмент для создания скриптов Powershell, которые исправят URL-адреса Exchange, чтобы они соответствовали вашему внешнему имени хоста вместо вашего внутреннего имени хоста, а также скрипт отката для отмены изменений.
Вам нужно будет установить сертификаты в Exchange, и вам также потребуется создать внутреннюю запись DNS для преобразования mail.domain.com в servername.local.
Вы, скорее всего, увидите это, если получите доступ к mail.domain .com / OWA (из внутреннего или внешнего) вы не получите ошибку сертификата, но если вы получите доступ к server.local / OWA, вы получите. Тогда это исправление определенно для вас!
Примечание. В статье Microsoft KB940726 показано, что URL-адрес OABVirtualDirectory должен быть HTTPS, однако, если вы настроили HTTP, инструмент DigiCert сохранит его, а не изменит на HTTPS.