Я создаю лабораторию с двумя серверами Exchange 2013 с разными внутренними именами и только одним внешним URL-адресом, схема именования выглядит примерно так:
Внутренние имена:
exchange1.local.example.com
exchange2.local.example.com
Внешний URL-адрес:
exchange.example.com
В этой схеме local.example.com
- это зона AD, а example.com
- мой внешний домен.
Оба сервера используют частные IP-адреса, и есть переадресация портов, чтобы сервер exchange1
мог взаимодействовать с глобальной сетью.
Моя проблема теперь в том, как настроить внутренний и внешний URL-адреса на панели управления Exchange, чтобы избежать неправильной конфигурации и ошибок сертификата.
Во многих руководствах в Интернете говорится, что оба URL-адреса должны быть одинаковыми, используя внешнее имя, но я не уверен, что это правильный способ сделать это. Есть группа DAG с обоими серверами, и меня беспокоит, как это сработает, установив одинаковые внутренние и внешние URL-адреса на разных серверах.
Еще одна вещь, которая меня смущает, - это сертификаты. У меня есть два подстановочных сертификата для этих доменов:
*.local.example.com
*.example.com
Как Exchange сопоставит эти сертификаты с разными схемами URL-адресов? В выборе сертификатов я должен выбрать, какие службы будут гарантированы сертификатами, но я не могу использовать более одного сертификата для одного сервера на ECP. Некоторые руководства в Интернете говорят, что сертификат будет соответствовать соответственно, но на самом деле это не то, что происходит.
Заранее спасибо,
Использование группового сертификата в вашей ситуации будет проблематичным, так как внутренние и внешние имена находятся в разных доменах. Вместо подстановочного сертификата запросите сертификат SAN (альтернативное имя субъекта) для серверов Exchange, чтобы охватить все требуемые имена хостов.
В вашем примере субъект сертификата будет exchange.example.com, а список альтернативных имен субъекта для сертификата будет включать exchange.example.com, exchange1.local.example.com, exchange2.local.example.com.
Если вы хотите избежать ситуации «разделения DNS» (когда у вас есть разрешение exchange.example.com на общедоступный IP-адрес снаружи и частный IP-адрес внутри), вы можете добавить четвертый SAN к сертификату ( exchange.local.example.com) и соответствующим образом задайте внутренние и внешние URL-адреса.