none
Недоверие к сертификату от пользователей использующих внутренние ссылки. RRS feed

  • Вопрос

  • День добрый!

    Есть домен, при нём развёрнут S4B + Reverse Proxy + Edge + Exchange...

    Суть проблемы - при создании собрания к нему подключаются несколько типов пользователей :
    - Внешние (всё окей, коммерческий сертификат, которому они доверяют)
    - Внутренние 1 тип доменные ПК (всё окей, внутренний центр сертификации которому они доверяют)
    - Внутренние 2 тип не доменные ПК (всё печально, внутренний центр сертификации которому они не доверяют)

    Суть вопроса, возможно ли каким-либо образом заставить внутренних пользователей 2-го типа ходить через внешние ссылки, при которых они будут использовать коммерческий сертификат?

    P.S. вариант с установкой корневого сертификата на каждый ПК не подходит, большая текучка.

    16 сентября 2019 г. 7:04

Ответы

  • Что именно у вас вызывает не понимание?

    Вот схема DNS записей S4B. Эта схема рекомендована на этапе планирования и внедрения S4B.

    Split DNS это когда публичные DNS имена ссылаются на IP EDGE/Proxy, а внутренняя DNS zona contoso.com ссылается на внутренние сервера и FE пул.

    1. Вам надо создать DNS зону contoso.com в вашем внутреннем DNS сервере и прописать имена, IP, srv для вашей архитектуры.

     2. Подписать FE S4B новым сертификатом можно публичным, если есть все имена.

     

    Если это вам не подходит, то можно создать GPO для распространения ваших сертификатов на все комьпютеры.

    Distribute Certificates to Client Computers by Using Group Policy

    На мобильные устройства вам надо будет импортировать сертификаты вручную. Я рекомендую обновить публичный для  внутреннего S4B FE и других имен, так как при >200>2000> мобильных клиентах (iPhone,iPad, SmartRoom, IoT Secretar, etc) бегать обновлять вручную глупо.

      Importing and using your Email or Personal Authentication certificate with iOS


    MCITP, MCSE. Regards, Oleg

    17 сентября 2019 г. 17:33
    Модератор

Все ответы

  • Почему бы вам не использовать для внутренних клиентов тоже публичный сертификат?
    16 сентября 2019 г. 12:33
  • К сожалению в нём не предусмотрено имя s4b.local , или это как-то обходится?
    16 сентября 2019 г. 14:18
  • К сожалению в нём не предусмотрено имя s4b.local , или это как-то обходится?

    День добрый.

    DNS requirements for Skype for Business Server

    Split brain DNS

    Split brain DNS is a DNS configuration where you have two DNS zones with the same namespace. The first DNS zone handles internal requests, while the second DNS zone handles external requests, as mentioned in these tables. For more about this see Split-brain DNS.


    MCITP, MCSE. Regards, Oleg

    16 сентября 2019 г. 16:11
    Модератор
  • А сколько таких не доменных внутренних клиентов?

    Проблема решается добавлением на них корневого сертификата внутреннего CA в Trusted Root.

    Либо это делается руками для небольшого числа клиентов, либо каким-то скриптом.

    17 сентября 2019 г. 5:45
  • Прочитав о разделении ДНС так  и не понял, как это применимо в моём случае... 
    17 сентября 2019 г. 12:35
  • к сожалению много
    17 сентября 2019 г. 12:35
  • Что именно у вас вызывает не понимание?

    Вот схема DNS записей S4B. Эта схема рекомендована на этапе планирования и внедрения S4B.

    Split DNS это когда публичные DNS имена ссылаются на IP EDGE/Proxy, а внутренняя DNS zona contoso.com ссылается на внутренние сервера и FE пул.

    1. Вам надо создать DNS зону contoso.com в вашем внутреннем DNS сервере и прописать имена, IP, srv для вашей архитектуры.

     2. Подписать FE S4B новым сертификатом можно публичным, если есть все имена.

     

    Если это вам не подходит, то можно создать GPO для распространения ваших сертификатов на все комьпютеры.

    Distribute Certificates to Client Computers by Using Group Policy

    На мобильные устройства вам надо будет импортировать сертификаты вручную. Я рекомендую обновить публичный для  внутреннего S4B FE и других имен, так как при >200>2000> мобильных клиентах (iPhone,iPad, SmartRoom, IoT Secretar, etc) бегать обновлять вручную глупо.

      Importing and using your Email or Personal Authentication certificate with iOS


    MCITP, MCSE. Regards, Oleg

    17 сентября 2019 г. 17:33
    Модератор