none
Разные SSL сертификаты для одного Exchange сервера RRS feed

  • Вопрос

  • Здравствуйте!

    Подскажите пожалуйста, как настроить работу почтовых сервисов таким образом, что бы внутренние пользователи использовали сертификат mail.domain.local (самоподписанный), а внешние работали с купленным сертификатом mail.domain.ru (подписанный Comodo)?

    Сервер Exchange 2010

    Можно ли решить данную задачу по этой статье?

    https://blogs.technet.microsoft.com/exchange/2015/02/11/configuring-multiple-owaecp-virtual-directories-on-the-exchange-2013-client-access-server-role/


    • Изменено dyukarev92 28 января 2018 г. 16:52
    28 января 2018 г. 16:51

Ответы

  • split dns - решение вашей проблемы.

    Создайте на серверах dns доп. зону mail.domain.ru и в неё добавьте пустые А-записи с адресами ваших серверов Exchange. Перенастройте виртуальные каталоги и будет вам счастье

    29 января 2018 г. 8:48
  • Виртуальные каталоги можно тоже через Powershell сделать. Также не забудьте поправить mapi - https://technet.microsoft.com/ru-ru/library/mt634322%28v=exchg.160%29.aspx?f=255&MSPPError=-2147217396 - там тоже есть указатели на внутренний/внешний url

    По ссылке на codetwo, которую я кидал выше, в последнем разделе все очень подробно расписано.

    Выполняйте работы в нерабочее время. Вам все равно придется рестартовать iis, что на серверах в продакшене может занять от пары до десятков минут. Можете на период проведения работ заранее предупредить юзеров, что в случае отсутствия подключения у аутлука, они бы обращались к ова.

    29 января 2018 г. 10:16

Все ответы

  • Уточните, пожалуйста, какую задачу вы хотите решить подобным "разделением" сертификатов? Для чего?
    29 января 2018 г. 6:23
  • Здравствуйте!

    Подскажите пожалуйста, как настроить работу почтовых сервисов таким образом, что бы внутренние пользователи использовали сертификат mail.domain.local (самоподписанный), а внешние работали с купленным сертификатом mail.domain.ru (подписанный Comodo)?

    Сервер Exchange 2010

    Можно ли решить данную задачу по этой статье?

    https://blogs.technet.microsoft.com/exchange/2015/02/11/configuring-multiple-owaecp-virtual-directories-on-the-exchange-2013-client-access-server-role/


    А почему вы пытаетесь решать задачу по статье для Exchange 2013, если у вас сервер Exchange 2010? Ведь есть же аналогичная статья по Exchange 2010 https://blogs.technet.microsoft.com/exchange/2011/01/17/configuring-multiple-owaecp-virtual-directories-on-exchange-2010-client-access-server/  (о ней упомянуто в тексте статьи по вашей ссылке).

    Судя по этой статье, то, что вы хотите сделать, сделать можно: вариант с несколькими виртуальными серверами (сертификат привязывается к виртуальному сайту) с разными именами DNS и адресами IP и одинаковыми именами виртуальных директорий на каждом сайте является поддерживаемым.


    Слава России!

    29 января 2018 г. 7:34
  • Необходимо руководству подключить почту на iphone, новые версии iphone не подключаются к серверу из за самоподписанного сертификата. При установки сертификата на exchange почта на телефонах работает, но клиенты outlook ругаются, что сертификат не подтверждает имя exchange.domain.local
    29 января 2018 г. 7:47
  • Правильнее было бы назначить коммерческий сертификат и поправить URL для Outlook Anywhere, OAB, Autodiscover и т.д., чем пытаться городить отдельные папки для веб-директорий.
    29 января 2018 г. 8:33
  • Правильнее было бы назначить коммерческий сертификат и поправить URL для Outlook Anywhere, OAB, Autodiscover и т.д., чем пытаться городить отдельные папки для веб-директорий.
    А чем - "правильнее"-то?

    Слава России!

    29 января 2018 г. 8:37
  • Константин большое вам спасибо за подсказку, но я побаиваюсь делать это на продакшн сервере. Вы не могли бы описать что нужно поменять на сервере?
    Не сочтите за наглость, просто боюсь что то сделать не так.
    29 января 2018 г. 8:44
  • Ознакомьтесь с вот этой статьёй.
    29 января 2018 г. 8:46
  • split dns - решение вашей проблемы.

    Создайте на серверах dns доп. зону mail.domain.ru и в неё добавьте пустые А-записи с адресами ваших серверов Exchange. Перенастройте виртуальные каталоги и будет вам счастье

    29 января 2018 г. 8:48
  • Эти папки при установке обновлений сами обновляться не будут, лишний костыль.
    29 января 2018 г. 9:14
  • т.е мне необходимо в exchange зайти в "конфигурация сервера" - "клиентский доступ" и там править внешние URL для всех виртуальных каталогов?
    Потом сконфигурировать виртуальный каталок для autodiscover с помошью команды

    set-clientaccessserver –autodiscoverserviceinternaluri “https://Your External Domain/autodiscover/autodiscover.xml”

    Настройку DNS я опустил тк там нет вопросов.

    Правильный порядок действий?

    29 января 2018 г. 10:01
  • Виртуальные каталоги можно тоже через Powershell сделать. Также не забудьте поправить mapi - https://technet.microsoft.com/ru-ru/library/mt634322%28v=exchg.160%29.aspx?f=255&MSPPError=-2147217396 - там тоже есть указатели на внутренний/внешний url

    По ссылке на codetwo, которую я кидал выше, в последнем разделе все очень подробно расписано.

    Выполняйте работы в нерабочее время. Вам все равно придется рестартовать iis, что на серверах в продакшене может занять от пары до десятков минут. Можете на период проведения работ заранее предупредить юзеров, что в случае отсутствия подключения у аутлука, они бы обращались к ова.

    29 января 2018 г. 10:16
  • Огромное Вам спасибо Егор.
    Подскажите еще один момент, какие  действия предпринять если что то пойдет не так (ну мало ли)?

    Может как то можно посмотреть существующие  настройки до их изменения?

    29 января 2018 г. 10:58
  • Конечно можно. Виртуальные каталоги просматривают как в еср, так и в powershell (вместо Set- подставляйте Get- , например Get-OABVirtualDirectory).

    Если есть лаба, можете для уверенности обкатать все на ней.

    29 января 2018 г. 11:41
  • Все получилось! Большое спасибо Егору Васильеву и Алексею Богомолову(http://www.alexxhost.ru/) за помощь и советы!
    3 февраля 2018 г. 10:23