none
Exchange 2016 и дочерний домен RRS feed

  • Вопрос

  • Доброго времени суток, уважаемые знатоки.

    Прошу подсказать направление в какую сторону копать.

    Есть гибридная среда Exchange 2016, обслуживает домен domain.com

    Есть дочерний домен city17.domain.com

    city17.domain.com добавлен в Exchange в обслуживаемые домены, для этого поддомена в AD создан сайт и подсеть. в AD вроде как все хорошо.

    Проблема в том, что за пределами организации не удается настроить outlook для работы с почтовыми учетками поддомена city17.domain.com.

    Wildcard сертификат вида *.domain.com проходит проверку.

    The Microsoft Connectivity Analyzer is attempting to obtain the SSL certificate from remote server autodiscover.city17.domain.com on port 443.
     	The Microsoft Connectivity Analyzer successfully obtained the remote SSL certificate.
     	
    	Additional Details
     	
    Remote Certificate Subject: CN=*.domain.com, OU=Domain Control Validated, Issuer: CN=GlobalSign Domain Validation CA - SHA256 - G2, O=GlobalSign nv-sa, C=BE.
    Elapsed Time: 658 ms.
    	Validating the certificate name.
     	The certificate name was validated successfully.
     	
    	Additional Details
     	
    The host name that was found, autodiscover.city17.domain.com, is a wildcard certificate match for common name *.domain.com.
    Elapsed Time: 0 ms.

     

    А IIS ругается

    Checking the IIS configuration for client certificate authentication.
     	The test passed with some warnings encountered. Please expand the additional details.
     	
    	Additional Details
     	
    Client certificate authentication couldn't be determined because an unexpected failure occurred. WinHttpSendRequest failed with error 12175.
    Elapsed Time: 662 ms.

    The Microsoft Connectivity Analyzer is attempting to retrieve an XML Autodiscover response from URL https://autodiscover.city17.domain.com:443/Autodiscover/Autodiscover.xml for user headcrab@city17.domain.com.

    Правильно ли я понимаю, что IIS не может предоставить XML-файл автонастройки потому что каталога autodiscover.city17.domain.com не существует? Надо ли в этом случае наряду с Default-Web-Site в IIS создать каталог City17? Или можно каким-то образом реализовать это через виртуальные каталоги в ECP?

    12 февраля 2019 г. 7:06

Ответы

  • Решил проблему использовав метод autodiscover через srv записи.

    На внешнем DNS хостинге, где прописаны зоны для основного и поддоменов, добавил srv записи вида -_autodiscover Протокол: _tcp Номер порта: 443 Хост: mail.domain.com Приоритет: 0 Вес: 0 для каждого поддомена.

    Спасибо Алексею за участие.

    • Помечено в качестве ответа ivs81 12 февраля 2019 г. 10:05
    12 февраля 2019 г. 10:05

Все ответы

  • 1. Отмечу, что сертификат *.domain.com не покрывает autodiscover.city17.domain.com, как домен 4-го уровня.

    2. ПЯ headcrab@city17.domain.com создан? для city17.domain.com прописаны A, PTR, SPF-записи?

    3. Outlook Anywhere работает для  domain.com, но не работает для city17.domain.com? Или вообще не работает?

    12 февраля 2019 г. 7:22
  • Алексей, спасибо за ответ.

    Да, я понимаю, что *.domain.com не покрывает домен 4-го уровня. 

    Почтовый ящик создан, внутри сети работает. Изнутри вовне отправляет и получает.

    Созданы следующие записи - 

    autodiscover CNAME autodiscover.domain.com.

    @ MX mail.domain.com.

    @ A <ip of mail.domain.com>

    @ TXT v=spf1 include:spf.protection.outlook.com -all

    PTR запись не создавалась. Ни на локальном DNS ни у провайдера.

    UPD. Проверил, PTR запись существует и верна.

    Outlook Anywhere работает для domain.com, но не работает для city17.domain.com

    Возможно это имеет значение - MX запись для domain.com ведет на domain-com.mail.protection.outlook.com. но если для city17.domain.com прописать аналогичную MX запись, как предлагает панель управления 365, то почта не доходит до адресата из city17, т.к. 365 не видит в нем пользователей. Хотя домен добавлен, ошибок нет, синхронизация Azure AD Connect проходит без ошибок и схема обновлена. Это еще одна проблема, помощи по которой хотел попросить чуть позже, а пока хорошо бы решить озвученную выше.


    • Изменено ivs81 12 февраля 2019 г. 8:12 UPD
    12 февраля 2019 г. 7:56
  • Решил проблему использовав метод autodiscover через srv записи.

    На внешнем DNS хостинге, где прописаны зоны для основного и поддоменов, добавил srv записи вида -_autodiscover Протокол: _tcp Номер порта: 443 Хост: mail.domain.com Приоритет: 0 Вес: 0 для каждого поддомена.

    Спасибо Алексею за участие.

    • Помечено в качестве ответа ivs81 12 февраля 2019 г. 10:05
    12 февраля 2019 г. 10:05