none
Замена сертификата и переименование виртуальных каталогов в Exchange2013 для доступа внешних пользователей RRS feed

  • Общие обсуждения

  • Добрый день!

    Имеется сервер Exchange 2013 MBX01.<внутр-домен> и сервер клиентского доступа  CAS01.<внутр-домен>, который опубликован наружу по 443 порту, для доступа к почте внешними пользователями.  На серверах используются самоподписанные сертификаты, которые были установлены по умолчанию при развертывании системы. В сертификатах, сответственно, присутствуют только имена внутреннего домена.

    Затем был добавлен к обслуживанию домен <внешний домен>.  Все пользователи сейчас имеют e-mail  Username@<внешний домен>. Клиенты используют Outlook2010/2016.

    Чтобы внешние пользоватли могли работать с Outlook, на CAS1 все виртуальные каталоги (внутренние и внешние), а также имя внутреннего и внешнего узла мобильного Outlook изменены на mail.<внешний домен>. Все DNS записи на внутреннем DNS сервере и DNS сервере провайдера созданы, в т.ч. mail.<внешний домен>, autodiscover.<внешний домен>.

    От сертифицированного центра получен сертификат на весь домен: "*.<внешний домен>". Этот сертификат установлен на CAS1 и привязан только к службе IIS (к другим службам его привязать нельзя, т.к. в нем отсутсвует информация о внутреннем домене и внутренних именах серверов).

    Вопрос: Достаточно ли этого, чтобы при таких настройках Outlook внутри домена обращался ко всем службам CAS1 только по имени mail.<внешний домен>, а не по внутреннему имени CAS1.<внутр-домен>? Можно ли для остальных служб на CAS1 (smtp, imap, pop) оставить привязку к старому сертификату с внутренними доменными именами? Насколько я понимаю  в Exchange 2013 Outlook эти протоколы не использует и общается с сервером только по HTTP (HTTPS)?

    --------------------------------------------------------------

    У меня почему то после привязки на CAS1 нового сертификата "*.<внешний домен>" к службе IIS и перезапуска Outlook,  иногда всплывало окошко в Outlook о несоответствии имени сервера в сертификате (получалось, что Outlook в некоторых случаях обращался к каким то службам CAS1 по имени CAS1.<внутр-домен>, а сертификат уже выдавался от имени "*.<внешний домен>" ). И в настройках соединения в Outlook в качестве прокси иногда автоматом выставлялся "https://CAS1.<внутр-домен>" вместо "https://mail.<внешний домен>"   - из-за этого опять шла ошибка на несоответствие имени в сертификате.

    Пришлось откатиться на старый сертификат и вернуть внутридоменные имена виртуальным каталогам.

    Не понятно к каким службам Outlook мог обращаться по старому имени, если все виртуальные каталоги были переименованы, или Outlook брал какие то настройки из кэша и через некоторое время все пришло бы в норму?


    4 марта 2017 г. 22:25

Все ответы

  • Доброго времени года.

    Вопрос: Достаточно ли этого, чтобы при таких настройках Outlook внутри домена обращался ко всем службам CAS1 только по имени mail.<внешний домен>, а не по внутреннему имени CAS1.<внутр-домен>? Можно ли для остальных служб на CAS1 (smtp, imap, pop) оставить привязку к старому сертификату с внутренними доменными именами? Насколько я понимаю  в Exchange 2013 Outlook  эти протоколы не использует и общается с сервером только по HTTP (HTTPS)?

    Все правильно понимаете, достаточно. Можно.

    И также можно повесть все эти сервисы на имя, которое Вы получили в сертификате, для смтп и имап. Дело хозяйское, решать Вам.

    У меня почему то после привязки на CAS1 нового сертификата "*.<внешний домен>" к службе IIS и перезапуска Outlook,  иногда всплывало окошко в Outlook о несоответствии имени сервера в сертификате (получалось, что Outlook в некоторых случаях обращался к каким то службам  CAS1 по имени CAS1.<внутр-домен>, а сертификат уже выдавался от имени "*.<внешний домен>" ). И в настройках соединения в Outlook в качестве прокси иногда автоматом выставлялся "https://CAS1.<внутр-домен>" вместо "https://mail.<внешний домен>"   - из-за этого опять шла ошибка на несоответствие имени в сертификате.

    Пришлось откатиться на старый сертификат и вернуть внутридоменные имена виртуальным каталогам.

    Не понятно к каким службам Outlook мог обращаться по старому имени, если все виртуальные каталоги были переименованы, или Outlook брал какие то настройки из кэша и через некоторое время все пришло бы в норму?

    Ошибка довольно стандартная, забыли какой-то каталог.

    1) Возьмите настройки всех каталогов, выгрузите их.

    Поменяйте их скриптом (поищите ссылку на такой скрипт в этом посте)

    Далее, как только Вы их поменяли, настройки уходят в применение. Для ускорения этого процесса вполне достаточно сделать только очистку пула автодискавера. После этого, запускаете аутлук, и с зажатым ctrl делаете проверка конфигурации электропочты.  Копируете текст в блокнот, проверяете глазами. Ищете старые fqdn, которые выгрузили ранее. Все должно быть корректно.

    2) Это вторая типовая ошибка тех, кто делает все руками )

    Называется она "прописали все ссылки, смотрим проверку с aka.ms/rca или внутри аутлуком, а все равно печаль, все ссылки верные, но спрашивает старое имя, мы его не видим, а где-то оно есть".

    Лечится в 99% процентах случаев

    Set-OutlookAnywhere

    или

    Set-ClientAccessServer -AutodiscoverServiceInternalUri

    5 марта 2017 г. 17:36