none
имя сертификата не допустимо или не соответствует имени узла RRS feed

  • Вопрос

  • Доброго времени суток, есть купленый сертификат типа *.domen.ru при установке из вне всё работает отлично но в нутри при старте outlook начинает ругатся на то что не возможно его проверить так как в нутри организации сервер имеет другое имя hub.domen.lan TMG отсутствует есть только контроллер доменов, сервер сертификации. соответственно если прописывать внутренний самоподписной сертификат внутри всё отлично а с наружи ругается что не возможно этот сертификат отследить. прописывание msstd:*.domen.ru на клиентах проблему тоже не решает. win2008 R2, Exchange 2010
    • Изменено Solovev A 25 декабря 2013 г. 4:42
    25 декабря 2013 г. 4:40

Ответы

  • День добрый.

    В DNS пропишите дополнительную зону domain.com.

    Внесите изменения для Exchange CAS.

    Пример.

    Windows - Setting Up Split DNS

    Установка WildCard SSL сертификата в Exchange 2010

    Set-OutlookProvider -Identity EXPR -CertPrincipalName msstd:*.domain.com
    Set-OutlookProvider -Identity EXCH -CertPrincipalName msstd:*.domain.com
    
    Get-OutlookProvider | Set-OutlookProvider -InternalClientsRequireSsl $true -InternalClientAuthenticationMethod:NTLM, Basic

    Обязательно создайте CAS Array, даже если у вас один сервер и настройте на нее CAS URL.

    Например. Имя CAS Array mail.domain.com.



    MCITP, PSLP. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    26 декабря 2013 г. 6:48
    Модератор

Все ответы

  • внутри организации используйте сертификаты, выпущенные вашим собственным центом сертификации (CA). Вы, видимо, назначили коммерческий сертификат службам Exchange, но он же у вас в зоне domen.lan, а не domen.ru, естественно клиенты будут ругаться на несовпадающие имена. Сгенерируйте на Exchange запрос нового сертификата, выпустите его и назначьте службам IIS, SMTP и при необходимости POP3, IMAP. Так как у вас 2 сервера Exchange, то при создании запроса можете добавить имя второго сервера в этот запрос.

    Do not multiply entities beyond what is necessary

    25 декабря 2013 г. 5:24
  • Добрый день.

    Вы можете, например, настроить внутренние url как внешние, а на внутреннем DNS прописать запись, чтобы внешнее имя разрешалось во внутренний IP.


    Blog - Smtp25.ru

    25 декабря 2013 г. 5:26
    Отвечающий
  • Генерация 2 сертификата не помогает, почта настроена через Exchange 2 сертификата не могут одновременно работать с IIS, я читал что можно реализовать это через ladp но как это сделать через домен контроллер даже не представляю (очень мало опыта) было бы проще с ТМГ но его нету.

    внутри организации 2 сервера MB и Hub 


    25 декабря 2013 г. 6:01
  • для публикации наружу можете использовать IIS ARR, установив на него коммерческий сертификат. А в такой как сейчас конфигурации у вас так и будут возникать проблемы с сертификатами.

    Do not multiply entities beyond what is necessary

    25 декабря 2013 г. 8:47
  • А средствами IIS можно такое сделать без установки доп модуля ? или ARR нормально влезет на IIS?
    26 декабря 2013 г. 6:20
  • День добрый.

    В DNS пропишите дополнительную зону domain.com.

    Внесите изменения для Exchange CAS.

    Пример.

    Windows - Setting Up Split DNS

    Установка WildCard SSL сертификата в Exchange 2010

    Set-OutlookProvider -Identity EXPR -CertPrincipalName msstd:*.domain.com
    Set-OutlookProvider -Identity EXCH -CertPrincipalName msstd:*.domain.com
    
    Get-OutlookProvider | Set-OutlookProvider -InternalClientsRequireSsl $true -InternalClientAuthenticationMethod:NTLM, Basic

    Обязательно создайте CAS Array, даже если у вас один сервер и настройте на нее CAS URL.

    Например. Имя CAS Array mail.domain.com.



    MCITP, PSLP. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    26 декабря 2013 г. 6:48
    Модератор