Recientemente hemos tenido que retirar nuestro .localcertificado de Godaddy, ya que ya no será válido. El nuevo certificado contiene los siguientes nombres:
- correo.midominio.com
- detección automática.midominio.com
Este certificado se aplicó al servidor Exchange y se activó para todos los servicios.
Esperaba que los clientes recibieran errores en el certificado ya que están conectados al mail.mylocaldomain.localnombre. He leído mucha documentación y prácticamente todos dicen lo mismo:
- agregue una nueva zona en el servidor DNS local con el dominio público (agregué una zona
mydomain.com) - agregue un registro A que apunte a la IP local del servidor de correo electrónico (agregué
mail.mydomain.comque apunte a la IP local del servidor)
He emitido estos comandos:
Set-ClientAccessServer -Identity EXCHANGE-MAIL -AutodiscoverServiceInternalUrihttps://mail.publicdomain.co.uk/autodiscover/autodiscover.xml
Set-WebServicesVirtualDirectory -Identity “EXCHANGE-MAIL\EWS (Default Web Site)” –InternalUrlhttps://mail.publicdomain.co.uk/EWS/Exchange.asmx
Set-OABVirtualDirectory -Identity “EXCHANGE-MAIL\OAB (Default Web Site)” -InternalURL https://mail.publicdomain.co.uk/OAB
Set-ActiveSyncVirtualDirectory -Identity “EXCHANGE-MAIL\Microsoft-Server-ActiveSync (Default Web Site)” -InternalURLhttps://mail.publicdomain.co.uk/Microsoft-Server-Activesync
Set-WebServicesVirtualDirectory –Identity ‘EXCHANGE-MAIL\EWS (Default Web Site)’ –ExternalUrlhttps://mail.publicdomain.co.uk/ews/exchange.asmx
con los nombres correctos en ellos, pero mis clientes todavía reciben el error de certificado.
¿Por qué?
Respuesta1
El FQDN (nombre de dominio completo) de su servidor Exchange sigue siendo hostname.domainname.local, por lo tanto, los clientes se conectan a él y ven que el nombre del servidor al que se están conectando no coincide ni con el nombre ni con los SAN (nombres alternativos del sujeto) en el certificado. tienen y arrojan ese error, como están diseñados para hacerlo.
La solución más sencilla (por un amplio margen) es realizar una migración de Exchange para colocar su servidor Exchange en un dominio con el nombre adecuado para el cual pueda obtener un certificado emitido por una autoridad de certificación pública confiable.
Vea este hilo sobre las mejores prácticas de Active Directory, es uno de varios que tenemos sobre el tema. Su nombre DNS de Active Directory debe ser un subdominio no utilizado de su nombre de dominio registrado públicamente. Una vez que lo tenga, migre su servidor Exchange a él y obtenga un certificado que incluya el FQDN de su nuevo servidor Exchange, para el cual podrá obtener un certificado.
Respuesta2
Tenga en cuenta que la respuesta de HopelessN00b NO ES correcta. USTED NO necesita migrar Exchange incluso si tiene el nombre de host local. Agregar una zona DNS interna que apunte al nombre público funcionará tan bien como cambiar el interruptor autodiscoverinternaluri.
Respuesta3
Consulte el siguiente artículo de Microsoft KB (940726) para obtener una resolución: http://support.microsoft.com/en-us/kb/940726
Outlook sondea AD periódicamente para actualizar la configuración de detección automática, por lo que Outlook puede tardar hasta 1 hora en detectar la nueva configuración (o puede reiniciar Outlook para actualizar la configuración inmediatamente).
Además, verifique que mail.mydomain.com apunte a la dirección IP interna del servidor Exchange en clientes Outlook y que haya reciclado MSExchangeAutodiscoverAppPool en IIS en el servidor Exchange después de aplicar la nueva configuración.