Remove From My Forums

Exchange 2013 Hybrid - plusieurs domaines - composition du certificat.

Discussion générale
1

Connectez-vous pour voter
Bonjour,

Actuellement nous avons un Exchange 2013 multirole depuis lequel nous avons mis en place une liaison hybride avec Office365 il y a quelques temps.

Jusque là nous avions juste un domaine de messagerie : mondomaine.com.

J'avais donc créé mis en place un certificat public avec :

CN = mondomaine.com
SAN1 : mail.mondomaine.com
SAN2 : autodiscover.mondomaine.com

Depuis il se trouve que la direction a demandé d'ajouter des noms de domaine pour la messagerie : domaine2.com et domaine3.com.

Est ce que ces 2 noms de domaine doivent apparaître dans le certificat pour que la liaison hybrid fonctionne correctement et que les outlook des utilisateurs puissent fonctionner correctement (messagerie, partage de calendrier, etc...) ?

par exemple si j'ai un utilisateur qui à une adresse utilisateur@mondomaine2.com, j'imagine que quand l'outlook va démarrer il va chercher autodiscover.mondomaine2.com ?

Du coup si je suis mon raisonnement mon certificat devrais ressembler à ça ?

CN = mondomaine.com
SAN1 : mail.mondomaine.com
SAN2 : autodiscover.mondomaine.com
SAN3 : mondomaine2.com
SAN4 : autodiscover.mondomaine2.com
SAN5 : mondomaine3.com
SAN6 : autodiscover.mondomaine3.com

Ai je bien raison ?

Je préfère demander car plus on ajoute des SAN sur un certificat, plus ça coute cher...

Qu'en pensez vous ?

merci d'avance.
- Type modifié Nedeltcho PopovMicrosoft contingent staff lundi 16 septembre 2019 08:35
vendredi 21 décembre 2018 13:58

Réponse

|

Citation

Toutes les réponses

1

Connectez-vous pour voter
Bonjour, cette solution est très confortable et fonctionnelle mais va devenir rapidement très onéreuse effectivement.

Suivez les liens ci-dessous ça répondra à votre question.

https://social.technet.microsoft.com/Forums/windows/fr-FR/d2a7b856-7269-4d35-8325-8d8927248bf2/certificat-ssl-sur-un-serveur-multidomaines-smtp?forum=1109

https://www.maximerastello.com/autodiscover-exchange-avec-plusieurs-domaines-acceptes/

N'hésitez pas à revenir vers moi.

Cordialement.
- Modifié Franck Fouché vendredi 21 décembre 2018 14:28
vendredi 21 décembre 2018 14:25

Réponse

|

Citation
1

Connectez-vous pour voter
Merci Franck,

Du coup si j'ai bien compris comme solution j'ai :

Les SANs, mais c'est cher
Le pointeur SRV sur chaque domaine qui renvoie vers le domaine principal, mais non pris en charge par certain téléphones (Iphone notemment)
Redirection IIS sur Exchange
CNAME sur chaque domaine.

Dans l'idéal le CNAME serait bien mais as tu pu tester ? Sais tu si ça marche bien ?

Par exemple autodiscover.domaine2.com CNAME autodiscover.mondomaine.com

Bonne journée,
vendredi 21 décembre 2018 16:09

Réponse

|

Citation
2

Connectez-vous pour voter

Oui le CNAME fonctionne très bien, pas de soucis.

Cordialement.

vendredi 21 décembre 2018 17:14

Réponse

|

Citation
1

Connectez-vous pour voter

Bonjour Franck,

Désolé de ma réponse tardive j'étais en congés.

Du coup j'ai essayé le CNAME. Mais malheureusement le problème persiste :(.

J'ai créé le CNAME de cette manière : autodiscover.domaine2.com CNAME autodiscover.mondomaine.com

Bonne journée,

mardi 8 janvier 2019 09:07

Réponse

|

Citation
1

Connectez-vous pour voter
Bonjour, oui effectivement ça ne va pas marché (je me suis mal exprimé la dernière fois).

Ci-dessous deux liens qui vont être explicite.

http://markgossa.blogspot.com/2015/11/exchange-2013-2016-autodiscover-with-multiple-domains-and-single-name-certificate.html

https://supertekboy.com/2016/05/17/using-srv-records-for-autodiscover/

Le principe proposé est de re-router tous les "autodiscover secondaire" vers l'autodiscover du domaine principal, il est donc nécessaire d'ajouter les enregistrements de type "SRV" dans tous les domaines utilisées.

Cordialement.
- Modifié Franck Fouché mardi 8 janvier 2019 11:12
mardi 8 janvier 2019 11:07

Réponse

|

Citation
1

Connectez-vous pour voter
Bonjour,

Du coup j'ai mis en place les pointeurs SRV et j'ai laissé 2 semaines histoire de valider. Nickel plus aucun message d'erreur. :) Mise Par contre l'autodiscover pour les téléphones ne fonctionne plus.

A tout hasard il serait pas possible de mettre les enregistrement SRV et CNAME en parallèle ? En mettant une priorité plus basse au pointeur SRV par exemple. Comme ça dans l'idéal :

l'outlook qui prend le SRV l'utilise car prio plus basse que CNAME.
Le Téléphone qui ne comprend que le CNAME l'utilise.

Avez vous déjà testé une conf comme ça ? Pour savoir si c'est approuvé ou si le fonctionnement est plutôt aléatoire.

Bonne journée,
lundi 21 janvier 2019 09:58

Réponse

|

Citation
1

Connectez-vous pour voter
Bonjour, pouvez-vous faire un test de connectivité Exchange Active Sync Autodiscover (https://testconnectivity.microsoft.com/) pour vérifier quel lien il va chercher?

Pour les téléphones le problème est également présent sur un utilisateur qui a sa messagerie avec le domaine principal?

Merci d'avance.

Cordialement.
- Modifié Franck Fouché lundi 21 janvier 2019 11:00
lundi 21 janvier 2019 10:57

Réponse

|

Citation
1

Connectez-vous pour voter

Bonjour,

A ma connaissance il n'est pas possible de le faire.

En effet les applications natives ne supportent pas le record SRV, comme par exemple, Mail d'iOS; Toutefois l'application Outlook for Mobile fonctionne.

Pour utiliser un CNAME, il faut que le certificat comporte les differents noms (premier message); en effet le CNAME fait une redirection https et pour cela le nom doit être présent dans le certificat (rapidement onereux).

Le SRV comme proposé dans ce thread est une bonne méthode mais peu avoir ses limites : mobile...

Merci
Hakim Taoussi - Consultant Exchange - http://exchangediscover.blogspot.fr

jeudi 24 janvier 2019 06:34

Réponse

|

Citation