Недавно нам пришлось вывести из эксплуатации наш .localсертификат от Godaddy, так как он больше не будет действителен. Новый сертификат содержит следующие имена:
- mail.mydomain.com
- autodiscover.mydomain.com
Этот сертификат был применен к серверу Exchange и активирован для всех служб.
Я ожидал, что клиенты получат ошибки в сертификате, поскольку они связаны с именем mail.mylocaldomain.local. Я прочитал много документации, и все они говорят примерно одно и то же:
- добавить новую зону на локальном DNS-сервере с публичным доменом (я добавил зону
mydomain.com) - добавьте запись A, указывающую на локальный IP-адрес почтового сервера (я добавил
mail.mydomain.comуказание на локальный IP-адрес сервера)
Я дал следующие команды:
Set-ClientAccessServer -Identity EXCHANGE-MAIL -AutodiscoverServiceInternalUrihttps://mail.publicdomain.co.uk/autodiscover/autodiscover.xml
Set-WebServicesVirtualDirectory -Identity “EXCHANGE-MAIL\EWS (Default Web Site)” –InternalUrlhttps://mail.publicdomain.co.uk/EWS/Exchange.asmx
Set-OABVirtualDirectory -Identity “EXCHANGE-MAIL\OAB (Default Web Site)” -InternalURL https://mail.publicdomain.co.uk/OAB
Set-ActiveSyncVirtualDirectory -Identity “EXCHANGE-MAIL\Microsoft-Server-ActiveSync (Default Web Site)” -InternalURLhttps://mail.publicdomain.co.uk/Microsoft-Server-Activesync
Set-WebServicesVirtualDirectory –Identity ‘EXCHANGE-MAIL\EWS (Default Web Site)’ –ExternalUrlhttps://mail.publicdomain.co.uk/ews/exchange.asmx
с указанием имен, но мои клиенты все равно получают ошибку сертификата.
Почему?
решение1
Полное доменное имя (FQDN) вашего сервера Exchange по-прежнему равно hostname.domainname.local, поэтому клиенты, подключающиеся к нему, видят, что имя сервера, к которому они подключаются, не совпадает ни с именем, ни с альтернативными именами субъектов (SAN) в вашем сертификате, и выдают эту ошибку, как и задумано.
Самым простым решением (с большим отрывом) является выполнение миграции Exchange, чтобы перенести ваш сервер Exchange на правильно именованный домен, для которого вы можете получить сертификат, выданный доверенным публичным центром сертификации.
См. эту ветку о передовых методах работы с Active Directory, это один из нескольких, которые у нас есть по этой теме. Ваше имя Active Directory DNS должно быть неиспользуемым поддоменом вашего публично зарегистрированного доменного имени. Как только вы это сделаете, перенесите на него свой сервер Exchange и получите сертификат, который включает полное доменное имя вашего нового сервера Exchange, для которого вы сможете получить сертификат.
решение2
пожалуйста, имейте в виду, что ответ HopelessN00b НЕ ВЕРЕН. ВАМ НЕ НУЖНО переносить Exchange, даже если у него локальное имя хоста. Добавление внутренней зоны DNS, указывающей на публичное имя, а также изменение переключателя autodiscoverinternaluri сделают это так же хорошо.
решение3
Для решения проблемы обратитесь к следующей статье базы знаний Microsoft (940726): http://support.microsoft.com/en-us/kb/940726
Outlook периодически опрашивает AD для обновления параметров автообнаружения, поэтому для получения новых параметров Outlook может потребоваться до 1 часа (или вы можете перезапустить Outlook, чтобы обновить параметры немедленно).
Также убедитесь, что mail.mydomain.com указывает на внутренний IP-адрес сервера Exchange на клиентах Outlook и что вы перезапустили MSExchangeAutodiscoverAppPool в IIS на сервере Exchange после применения новых настроек.