証明書エラー: 証明書内の名前が一致しません...、.local を使用する Outlook クライアント

tag-icon tag-icon windows domain-name-system exchange ssl-certificate
証明書エラー: 証明書内の名前が一致しません...、.local を使用する Outlook クライアント

.local最近、 GoDaddy からの証明書が無効になったため、廃止する必要がありました。新しい証明書には次の名前が含まれています。

  • メール
  • 自動検出

この証明書は Exchange サーバーに適用され、すべてのサービスに対してアクティブ化されています。

クライアントは名前に接続されているため、証明書でエラーが発生すると予想していましたmail.mylocaldomain.local。多くのドキュメントを読みましたが、すべてほぼ同じことを言っています。

  1. パブリックドメインを使用してローカルDNSサーバーに新しいゾーンを追加します(ゾーンを追加しましたmydomain.com
  2. メールサーバーのローカル IP を指すレコード A を追加します (mail.mydomain.comサーバーのローカル IP を指すように追加しました)

私は以下のコマンドを発行しました:

Set-ClientAccessServer -Identity EXCHANGE-MAIL -AutodiscoverServiceInternalUrihttps://mail.publicdomain.co.uk/autodiscover/autodiscover.xml
Set-WebServicesVirtualDirectory -Identity “EXCHANGE-MAIL\EWS (Default Web Site)” –InternalUrlhttps://mail.publicdomain.co.uk/EWS/Exchange.asmx
Set-OABVirtualDirectory -Identity “EXCHANGE-MAIL\OAB (Default Web Site)” -InternalURL https://mail.publicdomain.co.uk/OAB
Set-ActiveSyncVirtualDirectory -Identity “EXCHANGE-MAIL\Microsoft-Server-ActiveSync (Default Web Site)” -InternalURLhttps://mail.publicdomain.co.uk/Microsoft-Server-Activesync
Set-WebServicesVirtualDirectory –Identity ‘EXCHANGE-MAIL\EWS (Default Web Site)’ –ExternalUrlhttps://mail.publicdomain.co.uk/ews/exchange.asmx

適切な名前が含まれていますが、クライアントでは依然として証明書エラーが発生します。

なぜ?

答え1

Exchange サーバーの FQDN (完全修飾ドメイン名) はまだ であるhostname.domainname.localため、クライアントがそれに接続すると、接続先のサーバーの名前が、お持ちの証明書の名前にも SAN (サブジェクト別名) にも一致しないことが判明し、設計どおりにエラーが発生します。

最も簡単な解決策は (圧倒的に)、Exchange の移行を実行して、信頼できるパブリック証明機関から発行された証明書を取得できる適切な名前のドメインに Exchange サーバーを移行することです。

Active Directoryのベストプラクティスに関するこのスレッドを参照してくださいこれは、このテーマに関するいくつかの方法の 1 つです。Active Directory の DNS 名は、公開登録されたドメイン名の未使用のサブドメインである必要があります。この設定が完了したら、Exchange サーバーをそのドメインに移行し、新しい Exchange サーバーの FQDN を含む証明書を発行してもらいます。これにより、証明書を取得できるようになります。

答え2

HopelessN00b からの回答は正しくないことをご了承ください。ローカル ホスト名がある場合でも、Exchange を移行する必要はありません。パブリック名を指す内部 DNS ゾーンを追加すると、autodiscoverinternaluri スイッチを変更するのと同様に機能します。

答え3

解決方法については、次の Microsoft KB 記事 (940726) を参照してください。 http://support.microsoft.com/ja-jp/kb/940726 翻訳元

Outlook は定期的に AD をポーリングして自動検出設定を更新するため、Outlook が新しい設定を取得するまでに最大 1 時間かかることがあります (または、Outlook を再起動してすぐに設定を更新することもできます)。

また、mail.mydomain.com が Outlook クライアント上の Exchange サーバーの内部 IP アドレスを指していること、および新しい設定を適用した後に Exchange サーバー上の IIS で MSExchangeAutodiscoverAppPool がリサイクルされていることを確認します。

関連情報