我们有一个在我们的Active Directory域中运行的Exchange 2010服务器,其内部主机server.example.local 。
服务器configuration为Exchange的任何地方,但目前有一个名为server.example.local安装的自签名证书。
在内部,客户端连接和工作正常,但在外部,我们有证书错误,如你所期望的。
我即将购买一个UCC SSL证书安装在服务器上与证书上的所有相关的SAN来纠正这一点,但由于明显的问题获得与.local作为替代名称的可信的证书,我期待configuration内部networking上的客户端,以便它们不使用任何对.local主机名的引用。
我为服务器configuration了外部DNS名称exchange.example.com ,并为autodiscover.example.com创build了一个CNAME,同时也正确地指向了exchange.example.com 。 我还为这两个主机名configuration了内部DNSlogging,这两个主机名指向同一个服务器的内部接口。 我不希望这里有任何问题。
我现在正尝试在内部重新configuration自动发现,以便Outlook尝试连接到exchange.example.com 。 我已经按照KB940726中的步骤为此做准备,而且这似乎工作正常。 没有产生错误,我能够使用ADSI编辑在AD中validationCAS名称。
我刚刚尝试使用新创build的testing用户帐户完成一个新的Exchange邮箱的testing,并且Outlook 2007在内部networking上连接正常,但在Exchangeconfiguration文件中查看更深,Outlook仍然将服务器名称parsing为server.example.local 。
它可能是自签名的证书,这是导致Outlook显示为server.example.local的服务器名称,还是仍然有什么问题,我的内部自动发现configuration?
我已经certificate它不是负责outlook返回server.example.local的证书,通过安装另一个名为test.example.com自authentication证书。 当创build一个新的Outlookconfiguration文件时,我得到了我正在显示的不匹配错误,但在接受证书并完成Outlookconfiguration文件的configuration后,它仍然显示server.example.local作为服务器名称。 这意味着,如果我现在购买UCC证书,那么外部客户端可以正常工作,但内部客户端会显示证书名称不匹配。
任何想法从哪里开始诊断?
我相信我已经设法解决这个使用ADSI编辑。
尽pipe我运行在我的问题链接的知识库文章中的命令,我发现使用ADSI编辑两个自动发现条目。
我已经删除了CN=server条目,并且必须修改对象CN=exchange.example.com的serviceBindingInformation property以反映正确的外部URL。
现在,当我设置一个新的交易所configuration文件,或打开一个现有的用户的前景,我得到一个证书名称不匹配的错误。 这是预期的,因为我的证书仍然是自签名证书,只有名称server.example.local 。 我现在可以清楚地看到,虽然内部客户正在证书上查找名称exchange.example.com 。
我现在要订购UCC证书,并且有exchange.example.com和autodiscover.example.com这些正确的SAN名称,我相信这些名称会让我有一个工作系统。
我现在已经订购并安装了名为exchange.example.com的可信证书,以及autodiscover.example.com的SAN,并且我可以在以下任何场景中报告任何位置的工作都很好
example.local企业networking与域连接的个人电脑。