none
Wildcard сертификат для внешнего имени + локальное внутреннее имя сервера RRS feed

  • Вопрос

  • Всем привет!

    Имеем: два сайта AD, в каждом по Exchange 2010. Сейчас установили в каждом сайте по Exchange 2013, т.е. 2010 и 2013 на данный момент сосуществуют. Для 2010 у нас куплен wildcard сертификат, который валиден до 2015 года, и никто не собирается покупать новый. Из-за wildcard сертификатов на 2010-х серверах были сделаны одинаковыми внешние и внутренние адреса вэб служб. Все отлично работало. После установки 2013 серверов wildcard сертификаты были импортированы, URL вэб служб были изменены так, что внешние и внутренние адреса совпадают, и содержат в себе имя внешнего домена.

    Вот список вэб служб, у которых были изменены внешние и внутренние адреса:

    1. ecp

    2. ews

    3. Active Sync

    4. OAB

    5. OWA

    6. PoweShell

    7. AutoDiscoverServiceInternalUri (командлетом Set-ClientAccessServer -AutoDiscoverServiceInternalUri ...)

    Проблема. При коннекте клиента, ящик которого перенесен на 2013 сервер, вылазит сообщение, что имя узла не совпадает с именем в сертификате. Оно и понятно, имя внутреннего домена не совпадает с именем домена в wildcard сертификате.

    Вопрос. Понимаю, что вопрос не новый, но конкретного ответа я не нашел. Что еще нужно сделать в организации, чтобы 2013 сервер корректно работал с WildCard сертификатом?

    Заранее спасибо!


    • Изменено centneroff 9 июня 2014 г. 12:39
    9 июня 2014 г. 12:38

Ответы

Все ответы

  • а сами то записи DNS  щас куда направлены на старый  2010 сервер или уже на новый 2013?

    чей автодискавер то срабатывает?

    9 июня 2014 г. 13:32
  • В Exchange 2013 SP1 появился новый протокол - MAPI over HTTP Посмотрите по таблице используемых протоколов для серверов и клиентов (по ссылке), не он ли у вас используется? Если используется - используйте для настройки URL  командлет Set-MapiVirtualDirectory (см. предыдущую ссылку тоже).


    Слава России!


    • Изменено M.V.V. _ 9 июня 2014 г. 13:44
    9 июня 2014 г. 13:43
  • Автодискавер смотрит естесственно на 2010 Exchange, т.к. львиная доля клиентов еще на нем. А это разве плохо?

    Сегодня попробую MapiVirtualDirectory поменять, о результатах отпишу.

    9 июня 2014 г. 14:05
  • Настроил в организации MAPI. По состоянию подключения все красиво за исключением одной строчки:

    Последняя строчка указывает на 2010 сервер по RPC. Автодискавер сейчас работает на 2010, так же сенд коннектор во внешний мир тоже на 2010. И так же по прежнему вылазит ошибка сертификата из-за того, что в нем не используется ВНУТРЕННЕЕ имя 2013 сервера, хотя по состоянию подключения видно, что клиент подключается по внешнему...

    Критично ли это, что DNS имя автодискавера до сих пор указывает на 2010? И почему клиент все так же выдает ошибку, содержащую внутреннее имя 2013 сервера?

    10 июня 2014 г. 5:55
  • Я только одного не пойму. Для чего вы используете коммерческий сертификат внутри домена, раз имя домена отличается от прописанного в сертификате. В таких случаях просто выпускается новый сертификат Exchange (внутренним СА), а коммерческий используется для публикации веб-сервисов Exchange наружу.

    Do not multiply entities beyond what is necessary

    10 июня 2014 г. 7:00
  • Во-первых, так было сделано при внедрении 2010 эксченджа. Во-вторых, так, мне кажется, удобнее, всегда используются одинаковые имена, никакой путиницы. В-третьих - я не совсем в курсе, как cертификаты разделить между внутренними и внешними, ведь сертификатом подписываются все службы IIS.

    • Изменено centneroff 10 июня 2014 г. 9:54
    10 июня 2014 г. 9:54
  • Тут как раз все просто. Внутренние сертификаты устанавливаются на серверах Exchange, коммерческие - на публикующих (обратный прокси). В вашем же случае не удовлетворяются требования к сертификатам, установленные в документации по планированию, поскольку у вас публичное и внутреннее имя домена различаются. Отсюда и трудности.

    Do not multiply entities beyond what is necessary

    10 июня 2014 г. 10:03
  • У нас нет обратного прокси, инфраструктура небольшая.

    Тем не менее, в 2010 с wildcard сертификатом все прекрасно работает. Т.е. все внешние и внутренние адреса вэб служб одинаковы, и содержат только внешнее имя, домен которого присутствует в wildcard сертификате.

    Так же есть интересный момент. При проверке автоконфигурации почты с клиента 2013 сервера смотрю xml. Там нет ни одного упоминания о внутреннем имени.

    10 июня 2014 г. 10:09
  • Сертификат, устанавливаемый на сервер Exchange, включает среди прочих имен, <имя сервера>.domain.local, а у вас, как я понимаю, *.domain.com(ru). И что значит нет публикации? У вас Exchange непосредственно в инет смотрит? Все клиенты коннектятся как External Users?

    Do not multiply entities beyond what is necessary

    10 июня 2014 г. 10:21
  • Ошибка появляется когда клиенты подключаются изнутри или снаружи ? 
    10 июня 2014 г. 13:26
  • Процедура миграции с 2010 на 2013 уже [хорошо отработана и расписана.

    Используйте помощника http://technet.microsoft.com/en-us/exchange/jj657516.aspx и check list http://technet.microsoft.com/en-us/library/ee332309(v=exchg.150).aspx

    Все проще чем было при миграции на 2010.

    Что касается Mapi-HTTP, то лучше отключите: он пока не пригоден для использования в рабочей среде. По крайней мере без помощи тех.поддержки некоторые вопросы пока невозможно решить.


    Сазонов Илья http://isazonov.wordpress.com/

    10 июня 2014 г. 15:10
    Модератор