none
Exchange 2016 (local + external). Переход с хостинга, DNS, SSL сертификаты. RRS feed

  • Вопрос

  • Добрый день, коллеги!

    Развернул сейчас тестовую среду exchange 2016, сделал хостинг поддомен на внешнем DNS.

    И того, что волнует:

    1. В домене локал, сделал DNS зону mail.mx.firma.ru, autodiscovery.mx.firma.ru

    Две записи A mail.mx.firma.ru на mx01.local и mx02.local (IP адреса)

    SRV autodiscovery_tcp 443 mail.mx.firma.ru

    Поменял все подключения (mapi, autodiscovery, Anywhere, ClientAccessService, owa, ecp) на mail.mx.firma.ru

    Создал самоподписный сертификат на mail.mx.firma.ru, autodiscovery.mx.firma.ru.

    Итог:

    При подключении из домена, все проходит хорошо, спрашивает про сертификаты mail.mx.firma.ru, autodiscovery.mx.firma.ru, но при повторном подключении выдает запрос про сертификат mx02.local!

    Откуда он вообще берет это имя?

    2. Во внешнем DNS сделал запись mail.mx.firma.ru, SRV autodiscovery.mx.firma.ru.

    Почтовый сервер хостинга mail.firma.ru пока у провайдер.

    Итог:

    При подключении из дома, спрашивате про сертификаты mail.mx.firma.ru, autodiscovery.mx.firma.ru, но при повторном подключении спрашивает про сертификат mail.firma.ru!

    Откуда он вообще берет это имя?

    Я просто хочу сделать так, чтобы из нутри сети можно было спокойно перемещаться во вне с ноутбуками и не терять связи с почтой. Сертификат *.firma.ru уже заказан, но боюсь за сюрпризы.

    3. Планираю сделать, как делал раньше, переход на Exchange, путем групповых политик подключить профиль Exchange и сказать пользователям перенести всю почту с хостинга на наш сервер, путем драг&дропа писем.

    Есть ли какие еще простые способы автоматизировать такой перенос в нынешнем году? Что будет с контактами после удаления профиля хостинга и как их перенести в профиль Exchange?

    Буду благодарен за советы, ссылки! :) 

    24 января 2017 г. 9:32

Ответы

  • >При подключении из домена, все проходит хорошо, спрашивает про сертификаты mail.mx.firma.ru, autodiscovery.mx.firma.ru, но при повторном подключении выдает запрос про сертификат mx02.local!

    Откуда он вообще берет это имя?

    https://technet.microsoft.com/ru-ru/office/dn756393.aspx

    Запустите помошник по развертыванию. Вы не заполнили Exchange URLs, такие как OAB, EWS и остаьные. Проблема там.

    • Помечено в качестве ответа Oleg.A 27 января 2017 г. 8:32
    • Снята пометка об ответе Oleg.A 1 февраля 2017 г. 7:16
    • Помечено в качестве ответа Oleg.A 1 февраля 2017 г. 8:39
    26 января 2017 г. 17:40

Все ответы

  • Хоть 1 из пунктов?! :)
    26 января 2017 г. 11:44
  • привет

    1.Две записи A mail.mx.firma.ru на mx01.local и mx02.local (IP адреса) - что это и где это, а так же зачем это?

    3. если сейчас у клиентов почта по pop3/imap, то контакты хранятся в локальном outlook, значит они там и останутся. ручками админ екча может добавить их в gal. и вы уверены, что через административные шаблоны можно заставить outlook автоматом подключить почту екч? я такого найти не могу.

    26 января 2017 г. 12:51
  • привет

    1.Две записи A mail.mx.firma.ru на mx01.local и mx02.local (IP адреса) - что это и где это, а так же зачем это?

    3. если сейчас у клиентов почта по pop3/imap, то контакты хранятся в локальном outlook, значит они там и останутся. ручками админ екча может добавить их в gal. и вы уверены, что через административные шаблоны можно заставить outlook автоматом подключить почту екч? я такого найти не могу.

    Привет!

    1. Это называется DNS round robin.

    3. Ручками удаленно? Политикой? В гал точно не нужно, нужно чтобы они были в "personal store", но на сервере Exch.

    Через шаблоны, конечно можно, а иначе как вводить 1к пользователей (например) в Exchange? :)

    Ждем...

    26 января 2017 г. 14:46
  • 1. я не понимаю, как вы на А запись привязали доменное имя, а не IP адрес. кто такие mx01.local и mx02.local, два сервера екча, или один сервер с двумя сетевыми картами?

    2. mail.mx.firma.ru, autodiscovery.mx.firma.ru, mail.firma.ru - это все один внешний IP адрес на котором опубликован екч?

    3. тогда так же руками выделять все контакты и переносить уже в ящик екча.

    я не говорил, что нельзя. сказал, что не нашел этого в шаблонах для outlook 2016.

    26 января 2017 г. 15:09
  • 1. я не понимаю, как вы на А запись привязали доменное имя, а не IP адрес. кто такие mx01.local и mx02.local, два сервера екча, или один сервер с двумя сетевыми картами?

    2. mail.mx.firma.ru, autodiscovery.mx.firma.ru, mail.firma.ru - это все один внешний IP адрес на котором опубликован екч?

    3. тогда так же руками выделять все контакты и переносить уже в ящик екча.

    я не говорил, что нельзя. сказал, что не нашел этого в шаблонах для outlook 2016.

    1. Две записи A mail.mx.firma.ru на mx01.local и mx02.local (IP адреса)

    Вы не винмательно прочитали, именно IP, это 2 сервера - DAG.

    2. Это все один IP,  только mail.firma.ru - это IP провайдера, не наше, я для этого и делал поддомен для теста.

    3. Я делал это в 2010 оутлуке, пока на 16 не смотрел, но думаю, что ничего не изменилось! :)


    26 января 2017 г. 15:28
  • >При подключении из домена, все проходит хорошо, спрашивает про сертификаты mail.mx.firma.ru, autodiscovery.mx.firma.ru, но при повторном подключении выдает запрос про сертификат mx02.local!

    Откуда он вообще берет это имя?

    https://technet.microsoft.com/ru-ru/office/dn756393.aspx

    Запустите помошник по развертыванию. Вы не заполнили Exchange URLs, такие как OAB, EWS и остаьные. Проблема там.

    • Помечено в качестве ответа Oleg.A 27 января 2017 г. 8:32
    • Снята пометка об ответе Oleg.A 1 февраля 2017 г. 7:16
    • Помечено в качестве ответа Oleg.A 1 февраля 2017 г. 8:39
    26 января 2017 г. 17:40
  • я не говорил, что нельзя. сказал, что не нашел этого в шаблонах для outlook 2016.

    Уточнение... setup.exe /admin

    27 января 2017 г. 8:30
  • Запустите помошник по развертыванию. Вы не заполнили Exchange URLs, такие как OAB, EWS и остаьные. Проблема там.

    Похоже правда, я поспешил и поленился все дозаполнить, спасибо большое! :)

    По переходу, наверное, ладно... Сам буду ковыряться.

    Спасибо всем за участие! :)

    27 января 2017 г. 8:31
  • А Вы запомните ссылку, помошник по развертыванию- лучший друг администратора )
    27 января 2017 г. 8:34
  • Коллеги, беда... :)

    Выписал сертификат *.firma.ru, импортировал в локальную почту, подписал сервисы IIS, SMTP  но...

    HubTransport  Unhealthy

    Connector: 'Default Frontend MX01' Error: 'SmtpInSession(id=56397). Can't load STARTTLS certificate for mx01.firma.local' Probe Exception: '' Failure Context: ''

    Коннектор хочет именно локальный fqdn, которого нет в сертификате, это нормально?

    1 февраля 2017 г. 8:39
  • Новую тему откройте, пожалуйста.
    1 февраля 2017 г. 8:45
  • А в новой теме абсолютно законно сослаться на старую, для те кто заинтересуется.

    >Коннектор хочет именно локальный fqdn, которого нет в сертификате, это нормально?

    Абсолютно. Более того, это очень удобно при отладке, вы видите глазами с какого именно сервера ставится сессия. "Хочет" он его потому, что вы скорее всего, баннер не поменяли на приветствии на этом коннекторе, и он выглядит mx01.firma.local'.

    (в скобках замечу, что грех это, домен firma.local)  

    Вы расскажите, что именно хотите сделать, поскольку информации внятной нет.

    Пока могу сказать, что нет проблем в настройке TLS с wildcard сертификатов в общем случае.

    1 февраля 2017 г. 8:59