none
Разные имена сервера и служб Exchange RRS feed

  • Вопрос

  • Доброго всем вечера.

    Имеется сервер Exchange установленный на контроллере домена dc00.contoso.com.

    Захотелось сделать следующее, так как не логично в настройках почтового клиента писать dc00.contoso.com, то появилась идея сделать так, чтобы имя CAS было mail.contoso.com.

    Подскажите пожалуйста куда смотреть и где поменять, дабы не было конфликтов.

    Соответственно сертификат так же будет перевыпущен на имя mail.comntoso.com.

    А как быть со службами RPC и др.?

    Как быть с уже работающими клиентами? (чтобы не ругался на сертификат)


    ТЕСТ

    14 апреля 2015 г. 17:45

Ответы

  • Виртуальные каталоги настраиваются только для вэб-служб. Но вы скорее всего спрашивали про сертификат. Он может использоваться для IMAP,POP3 и SMTP. Первые два редко используют. В последнем случае используется самоподписанный сертификат сгенерированный при установке сервера и менять его не нужно.

    Для настройки вэб-каталогов вам нужно установить InternalURL и ExternalURL для них, а для autodiscover только внутреннее имя https://technet.microsoft.com/en-us/library/hh529912(v=exchg.150).aspx -оно может быть любым в принципе, но лучше сохранить autodiscover."internaldomain", а вот снаружи в любом случае будет autodiscover.domain.ru - и это имя должно быть в сертификате, если он SAN.

    Если у вас нет публикации с помощью reverse proxy, то сертификат даже внутри у вас будет один, и он будет коммерческий.


    Сазонов Илья

    https://isazonov.wordpress.com/

    16 апреля 2015 г. 13:43
    Модератор

Все ответы

  • Сгенерируйте сертификат с нужными именами web-служб, привяжите его к ним, пропишите в DNS эти имена.

    Сазонов Илья

    https://isazonov.wordpress.com/

    15 апреля 2015 г. 3:44
    Модератор
  • И все-таки лучше не устанавливать Exchange на контроллере домена. Может возникнуть множество проблем.

    А имена доступа конфигурируются за счет настроек виртуальных каталогов Exchange.


    Do not multiply entities beyond what is necessary


    • Изменено Dmitry.I 15 апреля 2015 г. 4:26
    15 апреля 2015 г. 4:25
  • Добрый день.

    Спасибо за быстрый ответ.

    Я так понимаю при генерировании сертификата как раз можно настроить параметры виртуальных каталогов Exchange?

    Хочется сделать следующим образом, выпустить сертификат у Thawte и прикрутить его к ко всем службам. Да бы на компьютерах вне домена не было ругани на него. Но Thawte не выпускает сертификат с SAN записью, поэтому покую обычный SSL Web server с именем хоста mail.contoso.com.

    Но как быть автообнаружением и  уже работающими доменными компьютерами? С не доменными все понятно, пусть сами меняют.


    ТЕСТ

    15 апреля 2015 г. 9:47
  • Если сертификат коммерческий, то ему будут доверять все компьютеры и доменные, и недоменные. Он должен быть wildcard или SAN со всеми именами вэб-служб в том числе autodiscover.

    Если настроен autodiscover, то все клиенты перенастроятся автоматически.


    Сазонов Илья

    https://isazonov.wordpress.com/

    15 апреля 2015 г. 12:08
    Модератор
  • Илья, спасибо за разъяснение.

    Возможно ли реализовать схему с 2-мя сертификатами?

    Так как Wildcard сертификат достаточно дорог, около 500 долларов на год, возможно ли для Интранета использовать сертификат выпущенный доменным CA, а для Интернета (не предполагается использование autodiscover) использовать коммерческий сертификат.

    И не могли бы вы еще подсказать, при создании запроса на сертификат Wizard предлагает указать имя узла для служб CAS, после установки сертификата на этот запрос, поменяются ли имена виртуальных каталогов Exchange?

    И еще не понятен процесс изменения имени Exchange в AD? Доменные компьютеры тянут информация как раз из AD, а не через Autodiscover?


    ТЕСТ


    15 апреля 2015 г. 20:57
  • Имена, включаемые в сертификат зависят от того, как вы сконфигурировали виртуальные каталоги Exchange. Если для внешнего доступа вы используете обратный прокси, то можно использовать обычный коммерческий сертификат вида mail.domain.com для внешнего доступа и SAN, выпущенный вашим корпоративным СА для внутреннего.

    Do not multiply entities beyond what is necessary

    16 апреля 2015 г. 5:48
  • Wildcard за $500 в год? Это слишком дорого. Может это цена на пять лет? Поищите другие предложения. Кстати если пишут, что сертификат специально для Exchange, то он дороже, но фактически вам нужет простой сертификат для Web - он намного дешевле. Плюс продавцы идут на отложенный плотеж: получаете сертификат, тестируете, потом платите, если не платите, то сертификат отзывают.

    В принципе да: внутри вы можете использовать свой сертификат, а наружу опубликовать используя коммерческий.


    Сазонов Илья

    https://isazonov.wordpress.com/

    16 апреля 2015 г. 8:18
    Модератор
  • Илья, добрый день.

    https://www.thawte.com/ssl/wildcard-ssl-certificates/index.html

    Виртуальные каталоги настраиваются только для Web служб exchange?

    Скорее всего я просто туплю)

    Настройку autodiscover сделал на mail.contoso.com, но в спустя сутки в настройка Outlook так и осталось dc00.contoso.com. Так и в AD, атрибуты остались для dc00.contoso.com.

    Может подкините статейку по аналогичному вопросу?

    >>>Илья "фактически вам нужет простой сертификат для Web"

    Я так думаю что нужен обычный, так как autodiscover нужен только внутри.

    Снаружи, доступ тока по https. Обратный прокси не используем. Просто Exchange за NAT в Интернет.

    Подскажите, как перенастроить все каталоги с dc00.contoso.com на mail.contoso.com?


    ТЕСТ

    16 апреля 2015 г. 8:49
  • Виртуальные каталоги настраиваются только для вэб-служб. Но вы скорее всего спрашивали про сертификат. Он может использоваться для IMAP,POP3 и SMTP. Первые два редко используют. В последнем случае используется самоподписанный сертификат сгенерированный при установке сервера и менять его не нужно.

    Для настройки вэб-каталогов вам нужно установить InternalURL и ExternalURL для них, а для autodiscover только внутреннее имя https://technet.microsoft.com/en-us/library/hh529912(v=exchg.150).aspx -оно может быть любым в принципе, но лучше сохранить autodiscover."internaldomain", а вот снаружи в любом случае будет autodiscover.domain.ru - и это имя должно быть в сертификате, если он SAN.

    Если у вас нет публикации с помощью reverse proxy, то сертификат даже внутри у вас будет один, и он будет коммерческий.


    Сазонов Илья

    https://isazonov.wordpress.com/

    16 апреля 2015 г. 13:43
    Модератор