錯誤主機名稱未驗證 - 測試憑證 TLS Exchange 2016 cu21

經過多次測試，我了解一些錯誤訊息檢查Tls。它是 Exchange 接收連接器使用的憑證。我重新測試檢查Tls並順利通過了整個測試。

謝謝你的建議@Lutz Willek，我會繼續練習。

---

我與您分享我的解決方案，希望它可以幫助其他人解決這個問題。

我不知道這是否是一個好的程序，我正在使用的解決方案使用以下微軟文件以供參考。

1. 驗證 Let's Encrypt 憑證已建立且服務已啟用

    Get-ExchangeCertificate | Format-List FriendlyName,Thumbprint,Issuer,Subject,CertificateDomains,Services

2. 確定要指派的接收連接器，我更關注匿名用戶

    Get-ReceiveConnector | where {$_.Bindings -like '*25' -AND $_.PermissionGroups -like '*AnonymousUsers*'} | Format-List Identity,Bindings,RemoteIPRanges,PermissionGroups

3. 識別出連接器後，我繼續分配證書

    $cert = Get-ExchangeCertificate -Thumbprint xxxxxxxx

    $tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)"

    Set-ReceiveConnector "Server_Name\Default Frontend Server_Name" -TlsCertificateName $tlscertificatename

4. 驗證憑證是否已指派給接收連接器

    Get-ReceiveConnector -Identity "Server_Name\Default Frontend Server_Name" | Format-List Name,Fqdn,TlsCertificateName

另一個回答100%正確。

發生的情況是使用主機名稱建立了一個（內部）伺服器mail.lan.contoso.com。錯誤是，如果mail.contoso.com使用 dns 名稱連接到伺服器，則仍然顯示為此主機建立的憑證。

---

那麼你需要執行以下操作，以建立功能服務：

• 刪除 的拆分 DNS 配置，因為您的內部網路中不需要autodiscover.contoso.com特定的名稱解析。 192.168.1.4（因為公共名稱解析始終可以使用）
• 配置您的客戶端以連接到mail.contoso.com. （檢查自動發現設定）
• 設定您的交換伺服器以使用已建立的憑證- 目前，已提供mail.contoso.com憑證。mail.lan.contoso.com

---

你什麼可以這樣做，以提高可靠性並減少維護工作：（這允許將服務與伺服器分開）

• 在伺服器端，設定第二個 IP 內部 IP 位址192.168.1.5並將內部名稱解析指向mail.contoso.com該 IP 位址。 （不要更改mail.lan.contoso.com它仍然指向伺服器本身）
• 在伺服器（交換）端，將郵件服務設定為偵聽此特定192.168.1.5IP 192.168.1.4。

---

你至少可以做什麼考慮, 沒有使用分割DNS完全：

• 我的經驗表明，如果拆分 DNS 實施不徹底，會帶來相當大的缺點，而且不幸的是，普通管理員的網路經驗不足以監督和應對所有相關的挑戰。
• 另一個重要原因是簡化的網路設計，這有助於（除其他優點外）在發生事件時更快地隔離根本原因。
• 使用其他方法更有效實現分離 DNS 設定的真正優勢並不多。