none
Configurazione Exchange 2013 per accesso esterno RRS feed

 > 

  • Domanda

  • Question
    Registrati per votare
    0
    Registrati per votare

    Salve a tutti, è la prima volta che mi trovo a scrivere qui.

    Da un paio di mesi ho installato un Server Exchange 2013 su Windows Server 2008 R2, i Client funzionano regolarmente, si connettono ad Exchange e Calendario e posta vanno bene (a parte un problema di connessione con un client Outlook 2007 che penso si risolverà con la creazione del certificato SSL).

    Adesso dovrei far funzionare tutto anche all'esterno della rete aziendale e anche su Smarthphones e per questo ho configurato le il server in questo modo:

    • impostato gli indirizzi esterni a tutti i servizi (OWA, ECP, Activesync ed Outlook Anyware) sull'indirizzo esterno "https://mail.nomedominio.com/..."
    • reindirizzate dal router le porte 80 e 443 sul'IP del server.
    • impostato il redirect sul webhosting da "mail.nomedominio.com" all'indirizzo IP esterno della rete.

    L'unica cosa che adesso mi manca è la creazione del certificato SSL e la modifica degli indirizzi exchange interni che attualmente sono rimasti "server01.dominio.local".

    E' corretto il procedimento per attivare il collegamento di activesync all'esterno? Non sono sicuro di aver fatto tutto il necessario.

    Se cambio gli indirizzi interni "server01.dominio.local" in "mail.nomedominio.com", i client perdono l'accesso al server exchange? La mia preoccupazione e che questa modifica possa bloccare tutti quei client che stanno utilizzando il server in intranet.

    Grazie anticipatamente per l'aiuto.


    mercoledì 5 novembre 2014 10:18
    |

Risposte

  • Question
    Registrati per votare
    0
    Registrati per votare

    Ciao Maria,

    ho aperto un post parallelo un po' più dettagliato qui Exchange 2013, certificato SSL per indirizzi esterni ed interni diversi.

    Domani dovrei configurare il server, mi muoverò come segue, scrivo qui i passaggi che penso di fare anche per tutti gli altri utenti:

    1. Redirect dell'indirizzo mail.dominioesterno.it e autodiscover.dominioesterno.it dal DNS esterno all'ip pubblico della rete interna.
    2. Creazione di due zone sul DNS interno (mail.dominioesterno.it e autodiscover.dominioesterno.it) con record A che punta all'indirizzo interno del Server Exchange.
    3. modifica degli indirizzi delle Virtual Directory con gli indirizzi esterni che adesso puntano all'interno (mail dominioesterno.it)
    4. Creazione nuovo certificato SSL SAN valido per gli indirizzi mail.dominioesterno.it e autodiscover.dominioesterno.it.
    5. Completamento certificato e attivazione sul servizio IIS
    6. Modifica indirizzi di Outlook Anywhere (mail.dominioesterno.it)
    7. Configurazione indirizzi autodiscover interni ed esterni (autodiscover.dominioesterno.it) con il cmdlet Set-ClientAccessServer -Identity Exchange-Server -AutoDiscoverServiceInternalUri https://autodiscover-dominioesterno.it/Autodiscover/Autodiscover.xml
    8. Restart IIS con iisreset /noforce + Test con Browser
    9. Test con un Outlook Client con il tools "Test configurazione automatica Mail"

    Questo è quanto, ditemi se ho sbagliato qualcosa.

    • Contrassegnato come risposta Davide Collica sabato 15 novembre 2014 17:02
    venerdì 14 novembre 2014 00:07
    |

Tutte le risposte

  • Question
    Registrati per votare
    0
    Registrati per votare

    Ciao, prima cosa la porta 80 non serve a nulla. Chiudila. Serve solo la 443.

    Il discorso certificato ora è risolvibile in 2 modi:

    1) Installi una CA interna alla tua AD in modalità Enterprise, generi la request del certificato da exchange che contenga  - nome esterno del server

    - autodiscover.nome esterno del server

    - nome interno del server

    la invii alla CA interna, emetti il completamento del certificato e poi lo completi in exchange. In questo modo però dovrai sui client Outlook Anywhere installare sia il certificato che la catena della CA

    2) Ti compri un certificato che contenga i nomi che ti servono oppure un wildcard. Qui spiega bene

    http://technet.microsoft.com/en-us/library/dd351044(v=exchg.150).aspx

    una volta messo su attivi i servizi pop,smtp,iis,imap per il certificato creato.

    Non è una cosa immediata se non l'hai mai fatto e va studiata bene, il mio consiglio è sempre di non fare prove sulla macchina in produzione se è la tua prima volta e di formarti prima di mettere mano sulle strutture.

    Qui trovi un step by step by step

    http://www.exchangeitpro.com/2013/03/31/creating-exchange-2013-certificate-step-by-step/

    ciao!.

    A.

    mercoledì 5 novembre 2014 10:42
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Grazie mille per la risposta, ok chiudo la 80.

    ho già creato certificati firmati esternamente su Exchange 2010 autorizzati da startssl.com. Questa procedura credo sia simile su Exchange 2013. Solo che il certificato SSL è gratuito per 1 anno solo per 2 indirizzi: autodiscover.nomedominio.com e mail.nomedominio.com.

    Per tale motivo vorrei modificare gli indirizzi interni e metterli uguali a quelli esterni in modo da poter utilizzare il medesimo certificato sia per intranet che per internet.

    Il mio dubbio piu' grande è se posso modificare gli indirizzi interni sul server, di modo che siano uguali a quelli esterni, e se eventualmente questa modifica puo' influenzare le postazioni Outlook attive. In questo modo posso utilizzare il certificato gratuito di startssl.

    mercoledì 5 novembre 2014 11:11
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Guarda andare a cambiare i nomi interni delle Vdir non è mai una bella cosa, i client cercano sempre prima l'FQDN interno del server e spesso se le modifichi ti danno l'errore di certificato..io ti consiglio di comprarlo, uno che ha un exchange 2013 può anche investire qualcosina annuale per il cert...sono molto calati non costano più dei 500€ l'uno...certo se vuoi un Verisign...

    A.

    mercoledì 5 novembre 2014 11:30
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Ok, chiaro meglio evitare.

    In teoria non è necessario quindi modificare l'indirizzo interno delle vdir.

    Con la mia configurazione attuale basterebbe creare il certificato SSL ed associarlo ai servizi IMAP, IIS, POP, SMTP.

    Fatto questo la connessione da esterno dovrebbe funzionare?

    mercoledì 5 novembre 2014 13:56
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    si ma il cert deve contenere anche i nomi esterni e come primario il mail.nomedominio.com altrimenti da fuori non si aggancia nulla.


    mercoledì 5 novembre 2014 14:03
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Ok ricevuto, venerdi faro' il tutto. Scrivo eventualmente qui se dovessi avere difficoltà.

    Un ultima informazione, devo anche configurare un autodiscover esterno?

    Attualmente con il cmdlet "get-Client Access Server | FL AutoDiscoverServiceInternalUri" vedo il record https://server01.nomedominio.local/Autodiscover/Autodiscover.xml

    Ma con il cmdlet "get-Client Access Server | FL AutoDiscoverServiceExternalUri" non vedo il record https://mail.nomedominio.com/Autodiscover/Autodiscover.xml

    Dopo la creazione del certificato SSL dovrei settarlo a mano?



    mercoledì 5 novembre 2014 16:17
    |
  • Question
    Registrati per votare
    0
    Registrati per votare
    Puoi settarlo dalla emc anche, il record esterno naturalmente deve esistere.
    mercoledì 5 novembre 2014 18:52
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    2) Ti compri un certificato che contenga i nomi che ti servono

    Rileggendo mi è venuto un altro dubbio... Avendo differenti indirizzi tra server interno ed esterno, quando genero il certificato, devo inserire anche l'indirizzo interno del server tra gli indirizzi validi? Cioè in sequenza: mail.nomedominio.com autodiscover.nomedominio.com SERVER01.nomedominio.local
    giovedì 6 novembre 2014 19:13
    |
  • Question
    Registrati per votare
    0
    Registrati per votare
    Gli emittenti dei certficati ssl online da gennaio 2013 non fanno più inserire i nomi dei .local, quindi no. Ciao. A.
    giovedì 6 novembre 2014 20:30
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Ho cominciato la configurazione del certificato sul Server.

    Il problema è che avendo indirizzi delle Vdir interni ed esterni diversi, credo si possano creare die problemi quando vado a spostare i servizi iis,smtp,imap,pop dal vecchio certificato Standard self-signed al nuovo esternamente autorizzato.

    Nella mia request ho lasciato come indirizzi ammessi solo autodiscover.nomedominio.com e mail.nomedominio.com e come da voi suggerito, ho eliminato tutte le voci netbios, dominio.local e server01.local.

    I Client che usano Exchange in locale non avranno problemi con la connessione?



    venerdì 7 novembre 2014 09:40
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Ciao Davide Collica,

    Non abbiamo ricevuto alcun aggiornamento e mi chiedevo se possiamo aiutarti ulteriormente o se il tuo quesito è stato risolto.
    Se così fosse ti saremmo grati di condividere il feedback in questo spazio ricordandoti che altri membri della community potrebbero riscontrare comportamenti simili.

    Grazie in anticipo,

    Maria

    • Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è e non comporta alcuna responsabilità da parte dell’azienda.

    giovedì 13 novembre 2014 14:27
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Ciao Maria,

    ho aperto un post parallelo un po' più dettagliato qui Exchange 2013, certificato SSL per indirizzi esterni ed interni diversi.

    Domani dovrei configurare il server, mi muoverò come segue, scrivo qui i passaggi che penso di fare anche per tutti gli altri utenti:

    1. Redirect dell'indirizzo mail.dominioesterno.it e autodiscover.dominioesterno.it dal DNS esterno all'ip pubblico della rete interna.
    2. Creazione di due zone sul DNS interno (mail.dominioesterno.it e autodiscover.dominioesterno.it) con record A che punta all'indirizzo interno del Server Exchange.
    3. modifica degli indirizzi delle Virtual Directory con gli indirizzi esterni che adesso puntano all'interno (mail dominioesterno.it)
    4. Creazione nuovo certificato SSL SAN valido per gli indirizzi mail.dominioesterno.it e autodiscover.dominioesterno.it.
    5. Completamento certificato e attivazione sul servizio IIS
    6. Modifica indirizzi di Outlook Anywhere (mail.dominioesterno.it)
    7. Configurazione indirizzi autodiscover interni ed esterni (autodiscover.dominioesterno.it) con il cmdlet Set-ClientAccessServer -Identity Exchange-Server -AutoDiscoverServiceInternalUri https://autodiscover-dominioesterno.it/Autodiscover/Autodiscover.xml
    8. Restart IIS con iisreset /noforce + Test con Browser
    9. Test con un Outlook Client con il tools "Test configurazione automatica Mail"

    Questo è quanto, ditemi se ho sbagliato qualcosa.

    • Contrassegnato come risposta Davide Collica sabato 15 novembre 2014 17:02
    venerdì 14 novembre 2014 00:07
    |