none
Exchange 2010 e certificato ssl senza domini .local RRS feed

  • Discussione generale

  • Buongiorno a tutti, la mia azienda ne ha rilevata un'altra più piccola con una quarantina di caselle email. Hanno un loro dominio e mi hanno chiesto di installare Exchange 2010. Nessun problema fino qui. Ho fatto tutto con il loro dominio nomeazienda.local ed installato il server. Ora devo acquistare il certificato per i servizi mobili/anywhere. So che non posso più acquistare certificati con SAN dominio.local quindi potrei mettere solo exchange.azienda.com ed autodiscover.azienda.com
    ora la domanda: genero la request da exchange e la posto sul sito godaddy. Ok ma quando vado a
    mettere su exchange un cert che ha solo i nomi esterni egli aggiorno i servizi mi impazziscono i client in dominio con l'errore del
    cert all'apertura di outlook a questo punto come
    sistemo la cosa? o meglio voi come

    fate da quando non prende più i .local l'emittente? Grazie..

    Gian

    • Tipo modificato Anca Popa giovedì 12 settembre 2013 14:34 discussione in corso
    venerdì 6 settembre 2013 16:41

Tutte le risposte

  • Devi registrare sul tuo dns interno il dominio pubblico che punta all'exchange server. Poi nella configurazione delle internal/external url metti gli indirzzi pubblici che verranno risolti su ip locali.

    Peppacci - MVP - Microsoft Exchange Server Microsoft MCP - MCTS - MCITP - MCSA - MCSE http://blogs.sysadmin.it/peppacci/Default.aspx

    venerdì 6 settembre 2013 19:25
    Moderatore
  • ok, quindi faccio una zona di ricerca diretta con il nomeazienda.com e dentro ci metto autodiscover.azienda.com ed exchange.azienda.com e puntano al privato giusto? e questo l'avevo già fatto, ma la seconda parte della tua risposta non l'ho compresa. Cosa vuol dire metti i pubblici che vengono risolti sui locali, nelle Vdir non metto solo nomi? cioè cambio la vdir con il comando 

    Set-ClientAccessServer -Identity nomeserver -AutodiscoverServiceInternalUri https://nomecertificato/autodiscover/autodiscover.xml

    ad esempio? e metto al posto del nome certificato autodiscover.nomezienda.com? Scusa ma questa parte mi è alquanto nebulosa...e me l'hai fatto troppo "facile" mi serve uno step by step....

    sabato 7 settembre 2013 11:17
  • Ciao Gianmarco,

    avrei un paio di domande, come pubblichi all'esterno l'exchange? C'è un reverse proxy oppure i servizi sono "nattati" da un firewall? Hai una certification authority interna?

    Se non hai un reverse proxy, devi procedere come segue:

    1) Identificare i namespace da usare per i vari servizi, ad esempio autodiscover.contoso.com, per il servizio autodiscover, e outlook.contoso.com, per i Web Services (EWS, OA, EAS, OAB)

    2) Creare la zona contoso.com nel DNS interno e registrare i due nomi, facendoli puntare all'exchange. Se la tua azienda ha dei servizi su internet che usano la zona contoso.com, puoi registrare nel dns interno delle zono "mono-record"

    3) Generare la CSR per il certificato e richiederlo ad un'authority pubblica

    4) Importare il certificato ed assegnarlo ai servizi necessari

    5) Impostare le URL usando i nomi corretti, ad esempio:

    Get-OwaVirtualDirectory | Set-Owa-VirtualDirectory -InternalURL outlook.contoso.com -ExternalUrl outlook.contoso.com

    Ciao



    IT Consultant | Microsoft MCSE MCTS MCITP MCT MCSA

    martedì 17 settembre 2013 09:41
    Moderatore
  • ciao, allora, non uso un reverse proxy, ho solo le porte\a 443 girata sul firewall verso exchange e basta. 

    Non ho una CA interna (a che mi serve se prendo i certificati da fuori?), la zona interna l'ho messa, registrando autodiscover.nomeazienda.com e exchange.nomeazienda.com (mi piace al posto di outlook) con dei record A che puntano all'ip interno del server. 

    Ora la cosa che mi lascia perplesso è quando mi dicono "metti gli ip pubblici che vengono risolti coi locali" questa cosa non la capisco. Cioè io posso cambiare i nomi alle vdir con i comandi internal uri ed externaluri ma se non ho sul certificato i nomi .local dovrei mettere solo i nomi dei record esterni per non avere l'errore del cert da parte degli outlook giusto? a questo punto cambio tutte le vdir mettendo nell'autodiscover il record esterno e nelle restanti exchange.nomeazienda.com...col comando set-owavirtualdirectory (tu mi hai messo get- è un errore? col get ho solo la list no?) ed a quel punto dovrei eliminare i problemi dei client?

    grazie.

    Gian.



    martedì 17 settembre 2013 15:39
  • Se avevi un reverse proxy il certificato pubblico lo facevi gestire a lui e internamente potevi crearti un certificato privato, con nomi dns all'interno della zona dns privata, a questo serve una certification authority privata. Questo ti risparmiava di dover gestire lo split DNS per la zona pubblica.

    Ma non è il tuo caso.

    Se nel cert metti i nomi pubblici, autodiscover.nomeazienda.com e autodiscover.nomeazienda.com, quei nomi li devi impostare nelle URL dei vari servizi, sia la url interna che quella esterna.

    Per impostare il valore devi usare il comando Set, specificando il nome della virtual directory che stai modificando, oppure usi la sintassi che ho riportato io, la prima parte con il Get recupero le OwaVirtualDirectory, la seconda parte (dopo il pipe "|") imposto il valore alle vdir che mi ha recuperato il Get.

    Spero di essere stato chiaro

    Roberto


    IT Consultant | Microsoft MCSE MCTS MCITP MCT MCSA -------------------------------------------If you found my post helpful, please give it a Helpful vote ----------------------------------------------If it answered your question, remember to mark it as an Answer ---------

    martedì 17 settembre 2013 15:53
    Moderatore
  • Si certo, molto chiaro grazie, penso di aver capito. Ci proviamo!

    Thanks!

    Gian.

    martedì 17 settembre 2013 16:30