У нас есть сервер Exchange с двумя разными именами DNS, указывающими на один и тот же сервер, внутренним и внешним именем. Что-то вроде этого:
exchange.domain.com [External Domain]
exchange1.local.domain.com [Internal Domain]
Итак, для этих доменов есть два подстановочных сертификата: *.local.domain.com и *.domain.com.
Проблема возникает, когда пользователи заходят на Exchange Server через внутреннее доменное имя. Поскольку я мог использовать только *.domain.com сертификат для IIS, я не могу сопоставить внутренний сертификат клиентов с внутренним DNS-именем.
Вопрос в основном в том, как сопоставить доменное имя DNS с соответствующим сертификатом? Поскольку мы не можем перевыпустить эти сертификаты для использования других сетей SAN, это не вариант.
Заранее спасибо.
Вам необходимо настроить виртуальный каталог IIS на правильный домен.
С помощью powershell вы можете проверить URL-адрес следующим образом:
Get-ActiveSyncVirtualDirectory | fl internalurl, externalurl
Get-AutoDiscoverVirtualDirectory | fl internalurl, externalurl
Get-ECPVirtualDirectory | fl internalurl, externalurl
Get-OabVirtualDirectory | fl internalurl, externalurl
Get-WebServicesVirtualDirectory | fl internalurl, externalurl
Таким образом вы можете установить новое значение с помощью Устанавливать- команда:
Get-ActiveSyncVirtualDirectory -сервер ОБМЕН | Set-ActiveSyncVirtualDirectory -ExternalUrl ‘https://mail.DOMAIN.ca/Microsoft-Server-ActiveSync’-InternalUrl‘https://mail.DOMAIN.ca/Microsoft-Server-ActiveSync’
Get-AutodiscoverVirtualDirectory -сервер ОБМЕН | Set-AutodiscoverVirtualDirectory -ExternalUrl ‘https://mail.DOMAIN.ca/Autodiscover/Autodiscover.xml’-InternalUrl‘https://mail.DOMAIN.ca/Autodiscover/Autodiscover.xml’
Get-ECPVirtualDirectory -сервер ОБМЕН | Set-ECPVirtualDirectory -ExternalUrl ‘https://mail.DOMAIN.ca/ECP’-InternalUrl‘https://mail.DOMAIN.ca/ECP’
Get-OabVirtualDirectory -сервер ОБМЕН | Set-OabVirtualDirectory -ExternalUrl ‘https://mail.DOMAIN.ca/OAB’-InternalUrl‘https://mail.DOMAIN.ca/OAB’
Get-WebServicesVirtualDirectory -сервер ОБМЕН | Set-WebServicesVirtualDirectory -ExternalUrl ‘https://mail.DOMAIN.ca/EWS/Exchange.asmx’-InternalUrl‘https://mail.DOMAIN.ca/EWS/Exchange.asmx’
Через графический интерфейс вы можете посмотреть там для гида
После этих изменений вы должны выпустить iisresetи перезапустите клиент Outlook.
Не забудьте создать запись хоста в вашем локальном DNS, чтобы сопоставить имя домена с локальным IP-адресом, или, если у вас есть брандмауэр, который поддерживает его, вы можете создать правило внутреннего NAT, которое, когда запрос является вашим общедоступным IP-адресом обмена, перепишите место назначения как локальный IP.
Вам следует настроить Split-Brain DNS на своих внутренних DNS-серверах или создать зону на своем внутренний DNS-серверы с внутренним разрешением адресов
exchange.domain.com
Если вы не импортировали свой сертификат в Exchange, вам нужно будет открыть EMC, щелкнуть Конфигурация сервера, затем на вашем сервере щелкните правой кнопкой мыши и выберите «Импортировать сертификат Exchange».
Вы можете загрузить несколько сертификатов с помощью этого метода, который позволит вашему серверу выбрать правильный сертификат в зависимости от того, запрашивает ли ваш трафик локальный или общедоступный адрес.
Затем вам нужно будет убедиться, что в настройках транспорта / клиентского доступа концентратора (и т. Д.) Установлены правильные URL-адреса, соответствующие вашим сертификатам SSL.
Вы увидите свой выбор сертификатов, отраженных на веб-сайте IIS по умолчанию.
Но оставьте меня, чтобы изменить его, вы не можете использовать только IIS для этого, но вместо этого, используя метод выше, если вы случайно измените его из IIS, ваш сервер перестанет отвечать на соединения, поскольку у него будут несоответствующие сертификаты в IIS / ЭМС.