我們最近不得不停用.local
Godaddy 的證書,因為它不再有效。新證書包含以下名稱:
- mail.mydomain.com
- autodiscover.mydomain.com
此憑證已套用至 Exchange 伺服器並針對所有服務啟用。
我預計客戶端在連接到名稱時會收到證書錯誤mail.mylocaldomain.local
。我讀過很多文檔,它們幾乎都說了同樣的事情:
- 在具有公共網域的本機 DNS 伺服器上新增區域(我新增了一個區域
mydomain.com
) - 新增一筆記錄A指向電子郵件伺服器的本機IP(我新增了
mail.mydomain.com
指向伺服器的本機IP)
我已經發出了這些命令:
Set-ClientAccessServer -Identity EXCHANGE-MAIL -AutodiscoverServiceInternalUrihttps://mail.publicdomain.co.uk/autodiscover/autodiscover.xml
Set-WebServicesVirtualDirectory -Identity “EXCHANGE-MAIL\EWS (Default Web Site)” –InternalUrlhttps://mail.publicdomain.co.uk/EWS/Exchange.asmx
Set-OABVirtualDirectory -Identity “EXCHANGE-MAIL\OAB (Default Web Site)” -InternalURL https://mail.publicdomain.co.uk/OAB
Set-ActiveSyncVirtualDirectory -Identity “EXCHANGE-MAIL\Microsoft-Server-ActiveSync (Default Web Site)” -InternalURLhttps://mail.publicdomain.co.uk/Microsoft-Server-Activesync
Set-WebServicesVirtualDirectory –Identity ‘EXCHANGE-MAIL\EWS (Default Web Site)’ –ExternalUrlhttps://mail.publicdomain.co.uk/ews/exchange.asmx
其中包含正確的名稱,但我的客戶仍然收到證書錯誤。
為什麼?
答案1
您的 Exchange 伺服器的 FQDN(完全限定網域名稱)仍然是hostname.domainname.local
,因此當客戶端連接到它時,會發現它們所連接的伺服器的名稱與您的憑證上的名稱或 SAN(主題備用名稱)不符。出該錯誤,就像它們的設計目的一樣。
最簡單的解決方案(大體上)是執行 Exchange 遷移,將您的 Exchange 伺服器轉移到正確命名的網域上,您可以獲得由受信任的公共憑證授權單位所頒發的憑證。
請參閱有關 Active Directory 最佳實務的主題,這是我們關於這個主題的幾個內容之一。您的 Active Directory DNS 名稱應該是您公開註冊的網域名稱中未使用的子網域。完成此操作後,將 Exchange 伺服器遷移到該伺服器,並取得頒發的證書,其中包含新 Exchange 伺服器的 FQDN,您將能夠獲得該證書。
答案2
請注意 HopelessN00b 的答案不正確。即使 Exchange 具有本機主機名,您也不需要遷移它。新增指向公共名稱的內部 DNS 區域與更改 autodiscoverinternaluri 開關一樣有效。
答案3
請參閱以下 Microsoft 知識庫文章 (940726) 以取得解決方案: http://support.microsoft.com/en-us/kb/940726
Outlook 定期輪詢 AD 以更新自動發現設置,因此 Outlook 可能需要長達 1 小時才能取得新設定(或者您可以重新啟動 Outlook 以立即刷新設定)。
另外,請驗證 mail.mydomain.com 是否指向 Outlook 用戶端上 Exchange 伺服器的內部 IP 位址,以及套用新設定後是否已回收 Exchange 伺服器上 IIS 中的 MSExchangeAutodiscoverAppPool。