Auteur de questions
Exchange 2013 Hybrid - plusieurs domaines - composition du certificat.

Discussion générale
-
Bonjour,
Actuellement nous avons un Exchange 2013 multirole depuis lequel nous avons mis en place une liaison hybride avec Office365 il y a quelques temps.
Jusque là nous avions juste un domaine de messagerie : mondomaine.com.
J'avais donc créé mis en place un certificat public avec :
- CN = mondomaine.com
- SAN1 : mail.mondomaine.com
- SAN2 : autodiscover.mondomaine.com
Depuis il se trouve que la direction a demandé d'ajouter des noms de domaine pour la messagerie : domaine2.com et domaine3.com.
Est ce que ces 2 noms de domaine doivent apparaître dans le certificat pour que la liaison hybrid fonctionne correctement et que les outlook des utilisateurs puissent fonctionner correctement (messagerie, partage de calendrier, etc...) ?
par exemple si j'ai un utilisateur qui à une adresse utilisateur@mondomaine2.com, j'imagine que quand l'outlook va démarrer il va chercher autodiscover.mondomaine2.com ?
Du coup si je suis mon raisonnement mon certificat devrais ressembler à ça ?
- CN = mondomaine.com
- SAN1 : mail.mondomaine.com
- SAN2 : autodiscover.mondomaine.com
- SAN3 : mondomaine2.com
- SAN4 : autodiscover.mondomaine2.com
- SAN5 : mondomaine3.com
- SAN6 : autodiscover.mondomaine3.com
Ai je bien raison ?
Je préfère demander car plus on ajoute des SAN sur un certificat, plus ça coute cher...
Qu'en pensez vous ?
merci d'avance.
- Type modifié Nedeltcho PopovMicrosoft contingent staff lundi 16 septembre 2019 08:35
Toutes les réponses
-
Bonjour, cette solution est très confortable et fonctionnelle mais va devenir rapidement très onéreuse effectivement.
Suivez les liens ci-dessous ça répondra à votre question.
https://www.maximerastello.com/autodiscover-exchange-avec-plusieurs-domaines-acceptes/
N'hésitez pas à revenir vers moi.
Cordialement.
- Modifié Franck Fouché vendredi 21 décembre 2018 14:28
-
Merci Franck,
Du coup si j'ai bien compris comme solution j'ai :
- Les SANs, mais c'est cher
- Le pointeur SRV sur chaque domaine qui renvoie vers le domaine principal, mais non pris en charge par certain téléphones (Iphone notemment)
- Redirection IIS sur Exchange
- CNAME sur chaque domaine.
Dans l'idéal le CNAME serait bien mais as tu pu tester ? Sais tu si ça marche bien ?
Par exemple autodiscover.domaine2.com CNAME autodiscover.mondomaine.com
Bonne journée,
-
-
-
Bonjour, oui effectivement ça ne va pas marché (je me suis mal exprimé la dernière fois).
Ci-dessous deux liens qui vont être explicite.
https://supertekboy.com/2016/05/17/using-srv-records-for-autodiscover/
Le principe proposé est de re-router tous les "autodiscover secondaire" vers l'autodiscover du domaine principal, il est donc nécessaire d'ajouter les enregistrements de type "SRV" dans tous les domaines utilisées.
Cordialement.
- Modifié Franck Fouché mardi 8 janvier 2019 11:12
-
Bonjour,
Du coup j'ai mis en place les pointeurs SRV et j'ai laissé 2 semaines histoire de valider. Nickel plus aucun message d'erreur. :) Mise Par contre l'autodiscover pour les téléphones ne fonctionne plus.
A tout hasard il serait pas possible de mettre les enregistrement SRV et CNAME en parallèle ? En mettant une priorité plus basse au pointeur SRV par exemple. Comme ça dans l'idéal :
- l'outlook qui prend le SRV l'utilise car prio plus basse que CNAME.
- Le Téléphone qui ne comprend que le CNAME l'utilise.
Avez vous déjà testé une conf comme ça ? Pour savoir si c'est approuvé ou si le fonctionnement est plutôt aléatoire.
Bonne journée,
-
Bonjour, pouvez-vous faire un test de connectivité Exchange Active Sync Autodiscover (https://testconnectivity.microsoft.com/) pour vérifier quel lien il va chercher?
Pour les téléphones le problème est également présent sur un utilisateur qui a sa messagerie avec le domaine principal?
Merci d'avance.
Cordialement.
- Modifié Franck Fouché lundi 21 janvier 2019 11:00
-
Bonjour,
A ma connaissance il n'est pas possible de le faire.
En effet les applications natives ne supportent pas le record SRV, comme par exemple, Mail d'iOS; Toutefois l'application Outlook for Mobile fonctionne.
Pour utiliser un CNAME, il faut que le certificat comporte les differents noms (premier message); en effet le CNAME fait une redirection https et pour cela le nom doit être présent dans le certificat (rapidement onereux).
Le SRV comme proposé dans ce thread est une bonne méthode mais peu avoir ses limites : mobile...
Merci
Hakim Taoussi - Consultant Exchange - http://exchangediscover.blogspot.fr