none
多林多域名环境部署exchange的证书问题 RRS feed

  • 问题

  • 由于环境问题现在必须采用多林的方式来部署exchange server2016,部署拓扑图如下:

    用户的AD信息存在abc.com这个根域中,但是由于这个域在客户环境中进行了深度二次发,一些属性已经被占用且无法修改,修改这些属性会直接影响用户的其他系统,所以无法直接在该域上进架构的扩展并部署exchange server。现采取多林的架构来进行部署。新建一个bcd.com的林,在该林上进行架构扩展并部署exchange server2016,同时abc.com和bcd.com建立单向信任关系。最后客户的用于收发邮件的域名为123.com。我想请教一下,这种环境使用公网证书需要包含哪些域名?如果采用自建的CA服务器下发证书,这个CA服务器该部署在在abc.com这个林中还是bcd.com这个林中,林外采用自建CA的话证书中要包含哪些域名,谢谢!

    2016年12月12日 3:29

答案

  • 你好,

    应使用abc\username的方式进行身份验证。

    谢谢!


    Niko Cheng
    TechNet Community Support


    Please remember to mark the replies as answers.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 冰風 2016年12月17日 16:12
    2016年12月16日 6:40
    版主

全部回复

  • 你好,

    根据需求,公网证书可以包含:mail.123.com\autodiscover.123.com即可。

    如果自建CA证书服务器,应部署在bcd.com这个林中,证书应包括内部服务器的FQDN,以及公网域名和autodiscover名,为了让外部计算机信任该证书,你需要导出该证书,然后导入到公网计算机信任的根CA下。

    谢谢!


    Niko Cheng
    TechNet Community Support


    Please remember to mark the replies as answers.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年12月13日 7:06
    版主
  • 你好,

    根据需求,公网证书可以包含:mail.123.com\autodiscover.123.com即可。

    如果自建CA证书服务器,应部署在bcd.com这个林中,证书应包括内部服务器的FQDN,以及公网域名和autodiscover名,为了让外部计算机信任该证书,你需要导出该证书,然后导入到公网计算机信任的根CA下。

    谢谢!


    Niko Cheng
    TechNet Community Support


    Please remember to mark the replies as answers.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    另外使用自建CA证书的的话客户端是否要导入包含abc.com和bcd.com两张根证书,以及包含内部服务器的FQDN以及公网域名和autodiscover名的自签名证书?
    2016年12月14日 1:43
  • 你好,

    不需要abc.com的证书,需要导入的是在bcd.com中申请的证书,该证书应该包含内部服务器的FQDN,autodiscover名,以及外部域名,具体可以参考下面的文章:

    Exchange2013专题系列(七)SSL多域名证书的配置

    谢谢!


    Niko Cheng
    TechNet Community Support


    Please remember to mark the replies as answers.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年12月14日 3:27
    版主
  • 你好,

    不需要abc.com的证书,需要导入的是在bcd.com中申请的证书,该证书应该包含内部服务器的FQDN,autodiscover名,以及外部域名,具体可以参考下面的文章:

    Exchange2013专题系列(七)SSL多域名证书的配置

    谢谢!


    Niko Cheng
    TechNet Community Support


    Please remember to mark the replies as answers.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    另外是否还要在bcd.com这个林中的DNS上创建对应两个区域,分别对应123.com和abc.com。然后在对应区域中分别创建mail.abc.com和autodiscover.abc.com以及mail.123.com和autodiscover.123.com的记录。
    2016年12月14日 7:22
  • 你好,

    不需要创建abc.com区域,该林只用来做身份验证,用户是不会连接到abc.com的,Exchange所有服务都在bcd.com林中。

    是否需要创建123.com对应的区域,这个取决于你的需求。

    如果你也想直接通过内部IP地址访问exchange的话,你可以部署split DNS,同时包含两个区域,一个外部域123.com,一个内部域bcd.com. 否则就不需要另外配置。

    具体如何配置split dns,你可以参考下面的文章:

    Configure Split DNS for a specific Host

    谢谢!


    Niko Cheng
    TechNet Community Support


    Please remember to mark the replies as answers.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年12月15日 2:12
    版主
  • 你好,

    不需要创建abc.com区域,该林只用来做身份验证,用户是不会连接到abc.com的,Exchange所有服务都在bcd.com林中。

    是否需要创建123.com对应的区域,这个取决于你的需求。

    如果你也想直接通过内部IP地址访问exchange的话,你可以部署split DNS,同时包含两个区域,一个外部域123.com,一个内部域bcd.com. 否则就不需要另外配置。

    具体如何配置split dns,你可以参考下面的文章:

    Configure Split DNS for a specific Host

    谢谢!


    Niko Cheng
    TechNet Community Support


    Please remember to mark the replies as answers.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    由于账号信息全部来自于abc.com这个林中而且所有启用的邮箱账号均为链接邮箱。配置好outlookanywhere后使用outlook进行邮件收发配置。在弹出的身份验证框中改用username@123.com的方式进行身份验证还是使用abc\username的形式进行身份验证呢?

    2016年12月15日 2:58
  • 你好,

    应使用abc\username的方式进行身份验证。

    谢谢!


    Niko Cheng
    TechNet Community Support


    Please remember to mark the replies as answers.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 冰風 2016年12月17日 16:12
    2016年12月16日 6:40
    版主