인증서를 사용하여 연습하고 암호화해 보겠습니다.승리의 극치Normal이 생성되면 owa 및 기타 서비스에서 일반 메일, https를 보내고 받습니다.
테스트체크틀, 경고 메시지가 표시됩니다.
인증서 호스트 이름은 확인하지 않습니다:
(mail.contoso.com != mail | DNS:mail | DNS:mail.lan.contoso.com)
mail.lan.contoso.com DNS 오류를 이해할 수 없습니다. 오류가 DNS SPLIT인 줄 알았는데,법정그들은 오류에 대해 언급합니다.
나는 포럼, 책, 튜토리얼에서 다른 커넥터를 변경해서는 안 되며 누구도 변경하지 않는다는 것을 이해합니다. 이것이 FQDN을 변경할 수 있는 인터넷으로부터 수신하기 위한 새로운 커넥터가 생성되는 이유입니다.
이에 대한 권장사항법정, 내 DNS 설정 :
개인 AD DNS(lan.contoso.com)
| 레코드 유형 | DNS 이름 | 내부 IP |
|---|---|---|
| ㅏ | mail.lan.contoso.com | 192.168.1.4 |
| ㅏ | DC01.lan.contoso.com | 192.168.1.3 |
개인 DNS(contoso.com) 분할
| 레코드 유형 | DNS 이름 | 내부 IP |
|---|---|---|
| ㅏ | mail.contoso.com | 192.168.1.4 |
| ㅏ | autodiscover.contoso.com | 192.168.1.4 |
공용 DNS(contoso.com)
| 레코드 유형 | DNS 이름 | 값 |
|---|---|---|
| ㅏ | mail.contoso.com | xxx.xxx.xxx.xxx |
| ㅏ | autodiscover.contoso.com | xxx.xxx.xxx.xxx |
| MX | @ | mail.contoso.com |
답변1
많은 테스트를 거친 후 다음 오류 메시지 중 일부를 이해했습니다.CheckTls. Exchange 수신 커넥터에서 사용하는 인증서입니다. 나는 다시 시험을 본다CheckTls오류 없이 전체 테스트를 통과했습니다.
조언 감사합니다 @Lutz Willek계속 연습하겠습니다.
내 솔루션을 여러분과 공유합니다. 이 문제를 해결하는 다른 사람들에게 도움이 되기를 바랍니다.
좋은 시술인지는 모르겠으나, 제가 사용하고 있는 해결 방법은 다음과 같습니다.마이크로소프트 문서참고용.
- Let's Encrypt 인증서가 생성되었고 서비스가 활성화되었는지 확인하세요.
Get-ExchangeCertificate | Format-List FriendlyName,Thumbprint,Issuer,Subject,CertificateDomains,Services
- 할당할 수신 커넥터를 식별하고 익명 사용자에 더 집중했습니다.
Get-ReceiveConnector | where {$_.Bindings -like '*25' -AND $_.PermissionGroups -like '*AnonymousUsers*'} | Format-List Identity,Bindings,RemoteIPRanges,PermissionGroups
- 커넥터를 식별한 후 인증서 할당을 진행합니다.
$cert = Get-ExchangeCertificate -Thumbprint xxxxxxxx
$tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)"
Set-ReceiveConnector "Server_Name\Default Frontend Server_Name" -TlsCertificateName $tlscertificatename
- 인증서가 수신 커넥터에 할당되었는지 확인
Get-ReceiveConnector -Identity "Server_Name\Default Frontend Server_Name" | Format-List Name,Fqdn,TlsCertificateName
답변2
다른답변100% 정확합니다.
호스트 이름을 사용하여 (내부) 서버가 생성되었습니다 mail.lan.contoso.com. 오류는 DNS 이름이 mail.contoso.com서버에 연결하는 데 사용되는 경우 이 호스트에 대해 생성된 인증서가 여전히 표시된다는 것입니다 .
그래서 당신은필요기능적인 서비스를 생성하기 위해 다음을 수행합니다.
- 내부 네트워크에서는
autodiscover.contoso.com에 대한 특정 이름 확인이 필요하지 않으므로 에 대한 분할 DNS 구성을 제거합니다 .192.168.1.4(공개 이름 확인은 항상 사용할 수 있으므로) - 에 연결하도록 클라이언트를 구성합니다
mail.contoso.com. (자동 검색 설정 확인) - 생성된 인증서를 사용하도록 Exchange 서버를 구성합니다.
mail.contoso.com현재 인증서가mail.lan.contoso.com제공됩니다.
당신은 무엇을~할 수 있었다안정성을 높이고 유지 관리 노력을 줄이기 위해 다음을 수행합니다. (이렇게 하면 서버에서 서비스를 분할할 수 있습니다.)
- 서버 측에서 두 번째 IP 내부 IP 주소를 구성
192.168.1.5하고 내부 이름 확인이mail.contoso.com이 IP 주소를 가리키도록 합니다. (mail.lan.contoso.com여전히 서버 자체를 가리키는 것을 변경하지 마십시오 ) - 서버(교환) 측에서는
192.168.1.5대신 이 특정 IP를 수신하도록 메일 서비스를 구성합니다192.168.1.4.
적어도 당신이 할 수 있는 것고려하다, 사용하지 않습니다분할 DNS조금도:
- 내 경험에 따르면 분할 DNS를 철저하게 구현하지 않으면 상당한 단점이 있을 수 있으며, 불행하게도 일반 관리자의 네트워크 경험은 관련된 모든 문제를 감독하고 처리하기에는 충분하지 않습니다.
- 또 다른 중요한 이유는 단순화된 네트워크 설계로, 이는 사고 발생 시 근본 원인을 더 빠르게 격리하는 데 도움이 됩니다.
- 다른 방법을 사용하여 더 효율적으로 달성할 수 없는 분할 DNS 설정의 실제 이점은 많지 않습니다.