Exchange 2010 內部自動發現從目前的 .local DNS 名稱遷移
我們有一個 Exchange 2010 Server,在我們的 Active Directory 域中執行,內部主機名為
server.example.local.該伺服器配置為在任何地方進行 Exchange,但目前有一個名為
server.example.localinstalled 的自簽名證書。在內部,客戶端連接並正常工作,但在外部,我們遇到了您所期望的證書錯誤。
我即將購買 UCC SSL 證書以安裝在伺服器上,證書上有所有相關的 SAN 以糾正此問題,但由於獲取具有
.local主題替代名稱的受信任證書存在明顯問題,我正在尋找配置客戶端在內部網路上,以便他們不使用對.local主機名的任何引用。我已將伺服器的外部 DNS 名稱配置為
exchange.example.com,並創建了一個 CNAME ,autodiscover.example.com它也(正確)指向exchange.example.com. 我還為這兩個主機名配置了內部 DNS 記錄,它們指向同一伺服器的內部介面。我預計這裡不會有任何問題。我現在嘗試在內部重新配置 Auto Discover,以便 Outlook 嘗試連接到
exchange.example.com. 我已經按照KB940726中的步驟為此做準備,這似乎工作正常。沒有產生任何錯誤,我能夠使用 ADSI 編輯驗證 AD 中的 CAS 名稱。我剛剛嘗試使用帶有新 Exchange 郵箱的新創建的測試使用者帳戶對此進行測試,並且 Outlook 2007 在內部網路上連接良好,但在 Exchange 配置文件中更深入地查看,Outlook 仍將伺服器名稱解析為
server.example.local.可能是自簽名證書導致 Outlook 將伺服器名稱顯示為
server.example.local,還是我的內部自動發現配置仍有問題?編輯
我已經證明它不是負責 Outlook 返回的證書,方法是
server.example.local安裝另一個名為test.example.com. 在創建新的 Outlook 配置文件時,我得到了我期望的不匹配錯誤,但是在接受證書並完成 Outlook 配置文件的配置後,它仍然顯示server.example.local為伺服器名稱。這意味著如果我現在購買 UCC 證書,外部客戶端可以正常工作,但內部客戶端會顯示證書名稱不匹配。任何想法從哪裡開始診斷?
我相信我已經設法使用 ADSI 編輯解決了這個問題。
儘管我執行了我在問題中連結的知識庫文章中的命令,但我發現兩個使用 ADSI 編輯的自動發現條目。
- CN=exchange.example.com
- CN=伺服器
我已刪除該
CN=server條目,並且必須修改對serviceBindingInformation property像CN=exchange.example.com以反映正確的外部 URL。現在,當我為現有使用者設置新的交換配置文件或打開 Outlook 時,我收到證書名稱不匹配錯誤。這是意料之中的,因為我的證書仍然是只有名稱的自簽名證書
server.example.local。我現在可以清楚地看到內部客戶正在尋找exchange.example.com證書上的名稱。我現在要訂購 UCC 證書,帶有正確的 SAN 名稱
exchange.example.com和autodiscover.example.com,我相信現在它會給我留下一個工作系統。更新
我現在訂購併安裝了一個名稱為 的受信任證書
exchange.example.com,加上一個 SANautodiscover.example.com,我可以報告任何地方的 Outlook 在以下情況下執行良好
- 在
example.local公司網路內部與域連接的 PC。- 外部與漫遊域連接的筆記型電腦
- 外部使用移動設備(iPhone 和 iPad)
- 外部與非域連接的 PC。
- OWA 不再給出 SSL 錯誤。