ユーザーが分割ドメイン設定でOutlook / Exchange 2010にアクセスするときの証明書の警告を排除
内部ドメインEXCHANGE0.COMPANY.COMを内部でホストしているExchange 2010サーバーがあります。
Outlook-over-HTTPを使用してOutlookに(内部的にも)アクセスするようにすべてのユーザーを構成しました。そのために、外部向けドメインmail.company.comのクライアントアクセス証明書を設定しました。
問題は、ユーザーがOutlookを開くたびに、mail.company.comとEXCHANGE0.COMPANY.COMの不一致に関する証明書の警告が表示されることです。これらの警告を排除したいのですが、DNSまたはExchangeを使用してそれを行う方法があると思います。どうすればいいかわからない。
AutoDiscoverは、SRVメソッドを使用して構成されます。
編集:クライアントの構成は次のようになります
Exchange Server:EXCHANGE0.COMPANY.COM Outlook Anywhere(HTTP)を使用した接続:高速および低速の接続では、mail.company.comに接続し、msstd:mail.company.comのみを信頼します
証明書の名前はmail.company.comですが、OutlookはEXCHANGE0.COMPANY.COMを予期していました
さまざまなExchangeコンポーネントのInternalURL属性を外部名(mail.company.com)と一致するように設定することで、この問題に対処できます。それが完了したら、DNSレコード(おそらく「mail.company.com」のCNAMEを「exchange0.company.com」に作成できます。ADドメインに実際のインターネットドメイン名と同じ名前を付けたようです)クライアントが「mail.company.com」に接続して、Exchange Serverコンピュータにリダイレクトされるようにします。
実行する必要がある各コンポーネントの「設定」コマンドは次のとおりです。これらのコマンドの "Get-"バージョンを使用して、現在どのように設定されているかを確認できます。
Set-ActiveSyncVirtualDirectory -InternalURL
Set-AutodiscoverVirtualDirectory -InternalURL
Set-ClientAccessServer -AutodiscoverServiceInternalUri
Set-ECPVirtualDirectory -InternalURL
Set-OABVirtualDirectory -InternalURL
Set-OWAVirtualDirectory -InternalURL
Set-WebservicesVirtualDirectory -InternalURL
私はこれら4つのコマンドを使用して自分の問題を修正しました(サーバー名/ Web URLを必要に応じて変更します)
Set-ClientAccessServer -Identity EXCHANGE-SERVER -AutoDiscoverServiceInternalUri https://exchange-server.example.com/Autodiscover/Autodiscover.xml
Enable-OutlookAnywhere -Server EXCHANGE-SERVER -ExternalHostname "exchange-server.example.com" -DefaultAuthenticationMethod "Basic" -SSLOffloading:$False
Set-OABVirtualDirectory -identity "EXCHANGE-SERVER\OAB (Default Web Site)" -externalurl https://exchange-server.example.com/OAB -RequireSSL:$true -InternalUrl https://exchange-server.example.com/OAB
Set-WebServicesVirtualDirectory -identity "EXCHANGE-SERVER\EWS (Default Web Site)" -externalurl https://exchange-server.example.com/EWS/Exchange.asmx -BasicAuthentication:$True -InternalUrl https://exchange-server.example.com/EWS/Exchange.asmx
私はIISの後で、かなりの量のために再スタートしました。
私が正しく理解している場合は、この KB940726 またはこれ link を使用して、1つのドメインで(内部でも)動作するようにExchangeサービスを再構成する必要があります(どちらも同じものをカバーしています)。エラーはExchange 2007/2010サーバーで一貫しています。それ以外の場合は、SAN=証明書(またはワイルドカード証明書)が必要で、同じ証明書で複数のドメインをカバーします(コストがかかります)。
また、資金が少ない場合や小規模な会社をサポートしている場合は、autodiscover.domain.comをすべてのメインドメインとして使用することをお勧めします(Outlookクライアントが接続する場合も、OWAなど)。不便に思えるかもしれませんが、これにより、複数のドメインをカバーする必要がある証明書(SAN証明書)のコストを節約できます。これは、1つのIP /ポートで複数のドメインを処理できる証明書を取得するためだけに毎年100〜1000ドルを支払う必要がない、短時間の顧客にとって最も費用効果の高いソリューションであることがわかりました。
これを完了するには、free(実際には無料!)SSL証明書を StartSSL から毎年更新して取得できます無料で。取り消しは無料ではありませんが、証明書を正しく生成し、キーを紛失しない限り、安全である必要があります。
先日、クライアントでNATリフレクションを機能させる方法を理解できなかったため、Outlook 2010でmail.example.comにアクセスしているユーザーにこの問題が発生しました(どうやらデフォルトでOutlook over HTTPが追加されます)は、ファイアウォールの内部インターフェース(自己署名されたsomefirewall.local証明書があった)にリダイレクトされていました。
スプリットDNSを設定することで問題を解決しました。ActiveDirectory DNSにexample.comのゾーンを作成し(A、CNAME、MX、TXTなどの適切なレコードとサブドメインをすべて追加しました)、 mail.example.comは、Exchange Serverの内部IPアドレスに解決されました。問題なく動作しましたが、信頼/自動化された方法がない場合、両方のゾーン(実際のゾーンと内部のゾーン)を最新の状態に保つことを覚えておかなければなりません。
編集
これは、mail.company.comのゾーンを作成し、内部のExchangeサーバーに解決する(親)のAレコードを作成する場合に機能します。mail.company.com証明書がExchangeにインストールされている場合、それは有効であるためです。/trusted。
この問題を解決するには、will新しい証明書が必要です!何故ですか? mail.company.com、exchange0.company.com、できればautodiscover.company.comの両方に一致する証明書の件名が必要になるためです。
回避策は、すべてのサービス(* .company.com)にワイルドカード証明書を使用することです。
Outlookをオフラインモードに切り替え、オンラインで作業することによる奇妙なセキュリティ警告を修正しました。 Outlookを開いてから1分後にアラートがポップアップしていました。証明書の名前が接続の名前と一致しませんでした。すべてのWebサービス、OAB、ECP、自動検出、ActiveSync、OWA、UMが適切に設定されました。