Я в огне с печально известным "Срок действия сертификата безопасности истек или он еще не действителен."сообщение, и я знаю, что это связано с тем, что срок действия нашего сертификата (сертификата с несколькими доменными именами; или я думаю, что это называется сертификатом SAN? верно?) истек для нашего DNS-имени локального сервера:
servername.domainname.local
Я вижу, что GoDaddy обновил наш сертификат автоматически, и обычно кажется несложным импортировать его и надеяться, что сообщение «Сертификат безопасности истек или еще не действителен» исчезнет для ВСЕХ клиентов Outlook в Интернете, но имя сервера. .local dns отсутствует в автоматически обновляемом сертификате, а вместо этого указано наше внешнее имя DNS: mail.domainname.md
Из того, что я читал, мне теперь нужно изменить servername.domainname.local на mail.domainname.md, и это заставило меня, к сожалению, понять, что мне придется пойти и изменить все клиенты Outlook вручную, чтобы указать на новый внешний DNS ... что также заставляет меня думать, что это означает, что все ВНУТРЕННИЙ Клиенты Outlook, которые существуют в той же сети, что и серверы Exchange, затем будут обращаться в ИНТЕРНЕТ, чтобы получить свою почту и вернуться, тогда как я этого не хочу. Я просто хочу, чтобы они направлялись прямо к серверам Exchange локально.
Означает ли это новое правило «без регистрации сертификата локального домена», что поток почты изменяется с внутреннего на внутренний, с внутреннего на внешний, на внутренний для потока трафика между клиентами Outlook (2007)?
Если ДА, значит ли это, что мне нужно вручную коснуться каждого клиента Outlook 2007 и изменить имя сервера, чтобы избежать появления сообщения «Сертификат безопасности истек или еще не действителен»?
Могу ли я просто повторно запустить определенные сценарии Powershell с самоподписью сертификатов, которые я нашел, и создать новый локальный сертификат, который будет работать, чтобы избавиться от всплывающего сообщения для пользователей, чтобы временно избежать регистрации сертификата с внешним DNS-именем?
Если я прав в том, что мне нужно изменить имя сервера Exchange, на которое все клиенты Outlook ссылаются в своей электронной почте, могу ли я использовать эту процедуру, чтобы изменить его:
Exchange 2010: клиенты Outlook отказываются обновляться до нового сервера CAS
Я действительно очень надеюсь, что кто-нибудь ответит "что-нибудь" жизнеспособное. Я не могу быть единственным человеком, который столкнулся с этим, и все было хорошо до обновления сертификата и изменения внутреннего / внешнего правила сертификата. У меня около 60 требовательных пользователей, и некоторые вообще не потерпят всплывающее окно.
Согласно новому руководству форума CA / B по снижению стоимости локальных доменных имен в SSL-сертификатах, ни один CA не будет выдавать SSL для локального доменного имени. Также вы не можете получить ssl для имен netBios и IP-адресов.
До даты простоя настроен для доступа сервера обмена к локальной сети с использованием доменного имени .local, а для внешнего использования - общедоступные доменные имена для outlookanywhere и owa. Для доступа к серверу обмена в любой сети требуется безопасное соединение.
Какие действия требуется от администратора биржи?
Требуется удалить конфигурацию домена .local с сервера обмена. Перед тем, как удалить его, сделайте следующее.
Вариант 1: используйте общедоступные доменные имена для подключения к Exchange в обеих сетях, например mail.exahngedomain.tld.
Вариант 2: Добавить дополнительный поддомен на сервере обмена, например local.exchangedomain.com, хост на IP-адресе локальной сети. Затем добавьте / распространите DNS для этого имени хоста в локальной сети. Таким образом, вы можете ограничить локальный доступ к серверу обмена до локальной сети.
Не избегайте предупреждений о сертификате ssl при подключении Outlook, иначе ваши пользователи столкнутся с проблемой при запуске Outlook.
Я думаю, вы усложняете вопрос больше, чем он того заслуживает. Предполагая, что у вашего сертификата уже есть внешнее имя в сертификате, и вы импортировали его и установили для него соответствующие службы, на самом деле довольно просто указать клиентам Outlook искать этот сертификат.
Есть три основных момента, которые вы захотите изменить. Просто запомните передовые методы и сначала экспортируйте эти настройки, чтобы вы могли обратиться к ним позже, если что-то пойдет не так.
Более или менее вы просто хотите установить InternalURL таким же, как ExternalURL в WebServicesVirtualDirectory, OabVirtualDirectory и ActiveSyncVirtualDirectory.
Также, если вы еще не в DNS, убедитесь, что у вас есть запись SVC для AutoDiscover, которая указывает на внешнее имя хоста (в основном то, что вызывает предупреждения для внутренних клиентов).