none
2 сертификата в Exchange 2016 RRS feed

  • Вопрос

  • Добрый лень.

    Имеется Win 2016+Exch 2016.

    Домен into.loc

    Почтовый сервер ps.into.loc

    Почта создается *.intokomplekt-pro.ru 

    По белому IP в интернет смотрит Gate Mikrotik. http://001.001.001.001

    OWA\ECP доступны из интернета по httpS://001.001.001.001/ecp или же https://mail.intokomplekt-pro.ru/ecp

    OWA\ECP\mapi доступны из локальной сети https://ps.into.loc/*

    Локальный сертификат выписан своим КД на адрес https://ps.into.loc

    Сертификат SAN у GeoTrust куплен на имя *.intokomplekt-pro.ru 

    Если сменить сертификат с локального на сертификат геотраста для IIS то сервер (https://mail.intokomplekt-pro.ru/ecp) становится защищен по внешнему доступу (SSL горит зеленым) но почтовые клиенты внутри сети ругаются что сайт ps.into.loc не соответствует имени сертификата. Далее если сменить доступ по mapi во внешнем и внутреннем виртуальном каталоге на Exchange на чисто внешний доступ для которого выписан сертификат (https://mail.intokomplekt-pro.ru/mapi ) то оутлук и не ругается на сертификат но и не подключается к почтарю.

    Так вот вопрос. Как заставить использовать одно имя подключения ( внешнее ,для которого есть серт геотраст) для всех служб и что бы они при этом работали.

    Заранее благодарен.


    10 июля 2018 г. 13:54

Ответы

Все ответы

  • Не мучайтесь, за вас все уже давно изобрели и сто раз обкатали. То, что вам нужно, называется Split DNS (split brain dns в терминологии Microsoft).

    Вот вам готовый гайд по настройке: https://www.codetwo.com/admins-blog/san-certificates-and-split-brain-dns-in-exchange-2013/

    • Помечено в качестве ответа Dmitriy_Dubnov 11 июля 2018 г. 17:01
    10 июля 2018 г. 16:28
  • есть ещё один вариант настройки, когда внутренний DNS не трогается вообще, и как следствие никаких угроз доступности корпоративных веб-сайтой из локальной сети нет.
    На этом шаге в строке Internal URL записывается к примеру mail2.example.com. Такое же имя используется и для autodiscoverserviceinternaluri.

    А вот дальше во внешнем DNS создаём одну запись А mail2 указывающую на внутренних IP адрес сервера.

    И есть третий вариант, когда после настройки URL настраивается роутер. Но не все роутеры это умееют.

    10 июля 2018 г. 18:04
    Модератор
  • Спасибо большое. Сегодня после работы буду пробовать. Отпишу по результатам.
    11 июля 2018 г. 6:52
  • Огромное спасибо , все заработало.
    11 июля 2018 г. 17:04