none
Domain.local - Domain.ru и его настройка для autodiscover, сертификаты и RRS feed

  • Вопрос

  • Здравствуйте.

    Вопросы будут совсем нубские, потому что я совсем в этом не разбираюсь.

    Суть задачи в следующем: Есть внутренний домен AD вида domain.local. Есть внешне купленный domain.ru.

    Настроен Exchange Server 2010 согласно рекомендациям с techdays. В результате прописаны все необходимые коннекторы, правила и политики, позволяющие пользователям user@domain.local иметь почтовые ящики вида user@domain.ru и отправлять/получать почту с внутренних и внешних адресов.

    Одной из наиболее удобных функций является автонастройка клиента (MS Office Outlook) для доменных пользователей.

    Следующий этап - это возможность быстрого подключения извне, например быстрая настройка клиентов аутлука с домашних компьютеров и мобильных телефонов.

    Технологически на DNS сервере провайдера, обслуживающего domain.ru присутствует записи для почтовика - mail.domain.ru и autodiscover.domain.ru с указанием белого адреса почтового сервера (да, он опубликован в интернет). 

    При запуске клиента, для быстрой автонастройки нам нужны следующие данные: Имя пользователя (просто отображение в клиенте, а также отметки "от кого" в исходящих письмах), почтовый адрес вида user@domain.ru и пароль.

    После чего, судя по всему, происходит следующий алгоритм:

    1. Клиент определяет MX записи домена domain.ru, а также A запись autodiscover.domain.ru, плюс то, что нашлось по MX.

    2. Клиент обращается к почтовому серверу по белому адресу, пытаясь установить SSL соединение. Появляется два предупреждения - сертфикат выдан для другого узла (mail.domain.local, в то время как мы пытаемся подключиться к domain.ru, а также то, что сертификат самовыданный). 

    3. и делает попытку авторизоваться по логину user@domain.ru (равносильно domain.ru\user), и получает отказ. Система настроена на авторизацию user@domain.local, как вариант user@domain (ну или соответствующие им domain.local\user и domain\user).

    4. Если сменить имя пользователя на user@domain.local, выявляется ошибка, что зашифрованное соединение с серверов недоступно и происходит попытка подключиться через нешифрованное соединение.

    5. В итоге попытка признается неудачной и предлагается возможность ввести данные вручную, выбрав вариант "подключение к службе почты IMAP/POP3" иди "Подключение к Exchange Server".

    6. При вводе параметров подключения с проверкой подлинностью или без оной, все равно фейл при проверке коннекта.

    В общем и целом "выход в свет" вышел неудачным, в силу нехватки моих базовых знаний. Поэтому вопросы:

    Вопрос 1: можно ли принимать в домене попытку логина user@domain.ru как user@domain.local.

    Подозреваю что вопрос не совсем по теме - это скорее не ньюанс работы Exchange сервера, а работа службы DNS в AD.

    Вопрос 2: Какие порты должны быть открыты на фаерволах, а также какие дополнительные настройки необходимы для установления зашифрованного соединения?

    Вопрос 3: есть ли практические советы как настраивается пусть даже самовыданный (для начала) сертификат с корректным именем внешнего узла и как впоследствии решить еще и вопрос доверенного центра сертификации, выдавшего сертификат, когда я приобрету его (где покупать, как интегрировать в сервер и что дополнительно настраивать необходимо).

    Вопрос 4. Возможна ли работа извне с сервером в режиме Exchange, или стоит рассчитывать только на режим "служба почты IMAP/POP3".

    Вопрос 5. Какие записи кроме имеющихся (одна MX запись для домена domain.ru с адресом mail.domain.ru и две A записи mail.domain.ru + autodiscover.domain.ru с указанием белого IP сервера почты) необходимы для корректной работы автонастройки служб и нужны ли они?

    Вопросы для многих будут совсем элементарными, но я даже не знаю с чего начать. Поэтому был бы рад даже простенькому гайду или записи в чьем-нибудь блоге об успешной реализации подобной задачи.

    В общем и целом все сводится к изначальному желанию сотрудников введя минимальное количество данных, персональное мобильное устройство могло получать/отправлять письма в корпоративной сети и за ее пределы.

    Буду благодарен за любой ответ или совет. 

    Заранее спасибо

    13 августа 2014 г. 13:21

Ответы

Все ответы