none
Certificats et multiples domaines RRS feed

 > 

  • Question

  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Bonsoir.

    Nous disposons d'un serveur Exchange 2013 et de clients Outlook 2013/2016.
    Ce serveur est sous domaine local : domain1.local
    Nous l'attaquons de l'extérieur via le domaine : webmail.domain2.com
    Les adresses mails sont de type : utilisateur@domain3.com

    Nous avons fait l'acquisition d'un wildcard, délivré à *.domain2.com
    De plus, un enregistrement autodiscover.domain3.com est en place vers webmail.domain2.com

    Que ce soit en interne ou externe, l'autodiscover fonctionne bien. Nous pouvons utiliser la messagerie.
    En revanche, nous avons pour les 2 cas le même popup indiquant que "Le nom du certificat de sécurité n'est pas valide ou ne correspond pas au nom du site" sur autodiscover.domain3.com

    Si quelqu'un a une piste, je suis preneur.

    D'avance, merci.

    Marc

    mercredi 8 février 2017 19:54
    |

Réponses

  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Bonjour,

    Pour l'interne , il est possible de modifier les URL autodiscover pour ne pas avoir ce popup , par contre pour l'externe ,  le certificat doit valider le domaine smtp domain3.com , parceque le client se base sur le domaine smtp qui est domain3.com dans votre cas pour définir l'URL autodiscover. 

    Pour votre cas vous avez deux possibilité :

    • La première solution :Créer un nouveau domaine externe qui correspond au domaine smtp domain3.com ,l'utiliser pour la configuration des URL externe pour l'accès client et remplacer le certificat actuel par un autre qui valide le domaine smtp domain3.com
    • La deuxième solution consiste à configrer un nouveau domaine smtp domain2.com  à la place de domain3.com, et dans ce cas vous pouvez garder le certificat et votre zone DNS externe et les entrées DNS externe déjà créés

    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mercredi 8 février 2017 21:19
    |
    Modérateur

Toutes les réponses

  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Bonjour,

    Pour l'interne , il est possible de modifier les URL autodiscover pour ne pas avoir ce popup , par contre pour l'externe ,  le certificat doit valider le domaine smtp domain3.com , parceque le client se base sur le domaine smtp qui est domain3.com dans votre cas pour définir l'URL autodiscover. 

    Pour votre cas vous avez deux possibilité :

    • La première solution :Créer un nouveau domaine externe qui correspond au domaine smtp domain3.com ,l'utiliser pour la configuration des URL externe pour l'accès client et remplacer le certificat actuel par un autre qui valide le domaine smtp domain3.com
    • La deuxième solution consiste à configrer un nouveau domaine smtp domain2.com  à la place de domain3.com, et dans ce cas vous pouvez garder le certificat et votre zone DNS externe et les entrées DNS externe déjà créés

    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mercredi 8 février 2017 21:19
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Bonjour,

    dans la zone "domain3.com" publique, vous pouvez créer un enregistrement Autodiscover de type CNAME qui renvoie vers l'enregistrement A Autodiscover du domaine domain2.

    => Ainsi, le certificat contacté (*.domain2.com) correspondra à l'URL utilisé pour la communication HTTPS. En revanche, ce provoque une demande au niveau du client pour autoriser cette redirection. Cette autorisation peut être validée une fois pour toute par l'utilisateur, et/ou intégrée par stratégie.

    Idéalement, l'utilisateur aura une adresse SMTP secondaire (Alias) en domain2.

    A bientôt,

    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    jeudi 9 février 2017 07:43
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Bonjour,

    en effet, qui dit FQDN spécifique, dit nom du certificat ad hoc. Ainsi, soit vous utilisez un certificat de type "SAN", autant que vous avez de domaines, soit vous utilisez les enregistrements SRV. Sachant que de plus en plus d'organisations ont un nombre fluctuant de domaines, et pour quelques autres raisons, je penche pour SRV.

    Vous créez un enregistrement SRV Autodiscover par domaine, qui fait référence au FQDN correspondant au certificat. Vous aurez, dans Outlook, un popup demandant l'autorisation d'"autodiscover.domain2.dom" de modifier le compte de "marc@domainSortiDuChapeau.fr"... sachant que ce popup peut être masqué via GPO.

    Inconvénient(ce serait trop beau sans): certaines versions d'IOS & Androïd ne prennent pas la peine d'interroger les enregistrements SRV.

    Références utiles:

    http://www.msexchange.org/articles-tutorials/exchange-server-2010/mobility-client-access/using-autodiscover-large-numbers-accepted-domains-part1.html

    https://support.microsoft.com/en-us/help/940881/a-new-feature-is-available-that-enables-outlook-2007-to-use-dns-service-location-srv-records-to-locate-the-exchange-autodiscover-service

    Jean-Luc CHANDEZON [MCT]

    jeudi 9 février 2017 08:58
    |
  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    @Thameur BOURBITA

    Bonjour,

    Merci pour les solutions.
    Je retiens la deuxième solution car la première pourrait nous causer quelques soucis, d'autant plus que le wildcard a déjà été acheté.


    • Modifié Marc Pa jeudi 9 février 2017 18:01
    jeudi 9 février 2017 17:45
    |
  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    @Thierry DEMAN

    Bonjour,

    Si je comprends bien, nous devons créer au préalable un enregistrement A autodiscover.domain2.com qui pointe sur notre serveur puis un CNAME autodiscover.domain3.com qui pointe sur cet enregistrement A ?

    Merci pour la piste.


    • Modifié Marc Pa jeudi 9 février 2017 18:00
    jeudi 9 février 2017 17:49
    |