我有一个内部托pipeExchange 2010服务器与一个内部域, EXCHANGE0.COMPANY.COM 。
我已经configuration所有用户使用Outlook-over-HTTP访问Outlook(甚至内部)。 为此,我为外部域名mail.company.com设置了客户端访问证书。
问题是,无论何时用户打开Outlook,他们都会立即通过mail.company.com和EXCHANGE0.COMPANY.COM之间的不匹配的证书警告迎接。 我想消除这些警告,我觉得有一种方法可以通过DNS或通过交换。 我只是不知道该怎么做。
自动发现configuration使用SRV方法,如果有关系的话。
编辑:客户端上的configuration如下所示
Exchange Server:EXCHANGE0.COMPANY.COM使用Outlook Anywhere(HTTP)进行连接:在连接速度较慢的情况下,连接到mail.company.com并仅信任msstd:mail.company.com
证书上的名称是mail.company.com,但Outlook期待EXCHANGE0.COMPANY.COM
您可以通过设置各种Exchange组件的InternalURL属性来匹配您的外部名称(mail.company.com)来解决此问题。 一旦你这样做了,你可以创build一个DNSlogging(可能是“mail.company.com”的CNAME到“exchange0.company.com” – 这听起来像你命名你的AD域,就像你真正的互联网域名),以便客户端可以连接到“mail.company.com”并定向到Exchange Server计算机。
下面是您需要运行的每个组件的“set”命令。 您可以使用这些命令的“Get-”版本来查看它们现在的设置。
Set-ActiveSyncVirtualDirectory -InternalURL Set-AutodiscoverVirtualDirectory -InternalURL Set-ClientAccessServer -AutodiscoverServiceInternalUri Set-ECPVirtualDirectory -InternalURL Set-OABVirtualDirectory -InternalURL Set-OWAVirtualDirectory -InternalURL Set-WebservicesVirtualDirectory -InternalURL
为了解决这个问题,你需要一个新的证书! 这是为什么? 因为您需要证书符合mail.company.com,exchange0.company.com以及autodiscover.company.com。
解决方法是对所有服务使用通配符证书(* .company.com)
如果我理解正确,你想重新configuration你的交换服务,使用这个KB940726或这个链接 (都涵盖相同的事情)在一个域(甚至内部)下工作。 该错误对于Exchange 2007/2010服务器是一致的。 否则,您将需要一个SAN证书(或通配符证书)来覆盖同一证书下的多个域(这是昂贵的)。
另外,如果你的钱less或支持小公司,我会build议你使用autodiscover.domain.com作为你的所有东西的主域(即使你的Outlook客户端连接到OWA等)。 这可能看起来不方便,但是这将节省您需要覆盖多个域(SAN证书)的证书的成本。 我发现这是我的小时间客户的最具成本效益的解决scheme,他们不需要每年支付100-1000美元才能获得可以在一个IP /端口下处理多个域的证书。
而完成这个,你可以免费获得(真正的免费!)从StartSSL SSL证书每年更新,不收取任何费用。 只有撤销是不是免费的,但只要你正确地生成证书,不松动的钥匙,你应该是安全的。
我有一个问题,那天我在一个客户端(当时)无法弄清楚如何让NATreflection工作,以便用户访问Outlook 2010中的mail.example.com(这显然是默认添加Outlook的HTTP通过HTTP )被redirect到防火墙的内部接口(它有一个自签名的somefirewall.local证书)。
我通过设置拆分DNS解决了这个问题:我在Active Directory DNS中为example.com创build了一个Zone(并添加了所有相应的logging和子域,如A,CNAME,MX,TXT等),并确保mail.example.comparsing为Exchange Server的内部IP地址。 没有问题的工作,但如果没有信任/自动化的方法,必须记住保持两个区域(实际的和内部的)是最新的,这是一个痛苦。
编辑
如果您为mail.company.com创build区域并为(内部)创buildAlogging以parsing您的内部Exchange服务器,这应该适用于您,因为如果mail.company.com证书安装在Exchange上,它应该是有效的/信任。
我用这4个命令修复了我的(根据需要更改服务器名称/url)
Set-ClientAccessServer -Identity EXCHANGE-SERVER -AutoDiscoverServiceInternalUri https://exchange-server.example.com/Autodiscover/Autodiscover.xml Enable-OutlookAnywhere -Server EXCHANGE-SERVER -ExternalHostname "exchange-server.example.com" -DefaultAuthenticationMethod "Basic" -SSLOffloading:$False Set-OABVirtualDirectory -identity "EXCHANGE-SERVER\OAB (Default Web Site)" -externalurl https://exchange-server.example.com/OAB -RequireSSL:$true -InternalUrl https://exchange-server.example.com/OAB Set-WebServicesVirtualDirectory -identity "EXCHANGE-SERVER\EWS (Default Web Site)" -externalurl https://exchange-server.example.com/EWS/Exchange.asmx -BasicAuthentication:$True -InternalUrl https://exchange-server.example.com/EWS/Exchange.asmx
为了好的措施,我修复了IIS。
通过在Outlook中切换到离线模式并返回在线工作来修复奇怪的安全警报。 打开Outlook后一分钟popup警报。 证书上的名称与连接的名称不匹配。 所有的webservices,oab,ecp,autodiscover,activesync,owa,um都被正确设置了。