Назад | Перейти на главную страницу

Проблема с полным доменным именем Exchange 2007

Я надеюсь получить пару идей по проблеме, с которой мы столкнулись.

Сервер Exchange 2007 был настроен и имеет полное доменное имя servername.domain.local, которое, очевидно, является локальным доменным именем.

Сервер должен быть настроен для TLS с соответствующим общедоступным полным доменным именем.

Я создал новый самоподписанный сертификат для общедоступного домена с помощью консоли управления Exchange.

Проблема в том, что если вы измените полное доменное имя с локального на общедоступное, на соединителе приема 250 STARTTLS будет отключен. Если вы измените его обратно на локальный, TLS включен, но баннер SMTP больше не соответствует общедоступному имени домена.

Я не хочу выбирать одно из двух, мне нужны оба. Как я могу настроить полное доменное имя на соединителе приема так, чтобы оно было общедоступным доменным именем и при этом оставалось активным TLS?

Спасибо за любую помощь в этом.

Мне удалось решить эту проблему, просто выполнив повторную выдачу сертификата, как указано здесь:http://www.msexchange.org/articles-tutorials/exchange-server-2007/management-administration/managing... Рисунок: 10.

New-ExchangeCertificate -FriendlyName "DSI Exchange Cert" -SubjectName "cn=mail.itdsi.com" -DomainName mail.itdsi.com,MAGBAL,MAGBAL.dsi.local,autodiscover.itdsi.com -PrivateKeyExportable:$True | Enable-ExchangeCertificate -Services POP,IMAP,IIS,SMTP

Использование: Get-ExchangeCertificate | f1 чтобы перечислить текущие сертификаты. Удалите все лишнее.

TLS используется, когда найден правильный сертификат для полного доменного имени, указанного в соединителе приема.

Вам необходимо создать второй соединитель приема.

Причина изменения параметра заключается в том, что настоящее имя сервера должно быть в полном доменном имени соединителя получения, когда включена проверка подлинности Exchange. Не рекомендуется изменять конфигурацию соединителя получения по умолчанию, кроме включения анонимной проверки подлинности.

Однако, если вы собираетесь использовать самоподписанный сертификат, вы также можете выдать его на настоящее имя сервера. Он по-прежнему провалит какие-либо сертификационные тесты.

По моему опыту, полное доменное имя на коннекторе приема не имеет значения для входящего TLS. Удаленный сервер ищет сертификат, соответствующий хосту, к которому он подключается.

Если ваша запись MX - mail.example.com, тогда сертификат SSL должен быть mail.example.com. Все мои соединители приема - это настоящее имя сервера, и я получаю электронные письма TLS весь день.