上周末,我从 Exchange 2003 迁移到了 Exchange 2010。一切顺利,但现在我的用户收到了安全警报 ~ “安全证书上的名称无效或与网站的名称不匹配。” Web 邮件部分和内部部分都可以正常工作,但会显示该消息。
SSL 证书上的外部名称是 [mail.example.com],内部名称是 [exchange2010.local.example.com]。
我看到的唯一两个答案是将服务器的内部名称添加到 SSL。我宁愿不显示我的内部 DNS 名称。另一个答案是禁用 SSL,但我没有解释如何禁用它。有什么建议吗?
编辑我做了一个最佳实践分析器并发现了这一点......
SSL 证书的主题备用名称 (SAN) https://exchange2010.local.example.com/Autodiscover/Autodiscover.xml 似乎与主机地址不匹配。主机地址:exchange2010.local.example.com。当前 SAN:DNS 名称 = mail.example.com。
SSL 证书的主题备用名称 (SAN) https://exchange2010.local.example.com/EWS/Exchange.asmx似乎与主机地址不匹配。主机地址:exchange2010.local.example.com。当前 SAN:DNS 名称 = mail.example.com。
SSL 证书的主题备用名称 (SAN) https://exchange2010.local.example.com/Microsoft-Server-ActiveSync 似乎与主机地址不匹配。主机地址:exchange2010.local.example.com。当前 SAN:DNS 名称 = mail.example.com。
SSL 证书的主题备用名称 (SAN) https://exchange2010.local.example.com/owa似乎与主机地址不匹配。主机地址:exchange2010.local.example.com。当前 SAN:DNS 名称 = mail.example.com。
编辑它正在工作!您需要进行 DNS 更改;在我的情况下,CNAME mail.example.com -> exchange2010.local.example.com 您还需要执行以下 power shell 命令。
Set-AutodiscoverVirtualDirectory -Identity * –internalurl “https://mail.example.com/autodiscover/autodiscover.xml”
Set-ClientAccessServer –Identity * –AutodiscoverServiceInternalUri “https://mail.example.com/autodiscover/autodiscover.xml”
Set-webservicesvirtualdirectory –Identity * –internalurl “https://mail.example.com/ews/exchange.asmx”
Set-oabvirtualdirectory –Identity * –internalurl “https://mail.example.com/oab”
Set-owavirtualdirectory –Identity * –internalurl “https://mail.example.com/owa”
Set-ecpvirtualdirectory –Identity * –internalurl “https://mail.example.com/ecp”
Set-ActiveSyncVirtualDirectory -Identity * -InternalUrl "https://mail.example.com/Microsoft-Server-ActiveSync"
答案1
我们创建了一个 A 记录,指向与外部 DNS 条目匹配的服务器。在我们的例子中,内部是 mail..com,外部是 mail..com,但返回的 IP 取决于请求哪个 DNS(内部或外部)。这样,无论它们在哪里,都可以使用相同的证书。当笔记本电脑来回移动时,它也非常有用。
答案2
这可能是一个可行的解决方案:
将客户端配置为通过 HTTP 上的 RPC 进行连接,并在慢速和快速网络上使用 HTTPS。这样,它们将不会使用具有内部名称的内部 SCP,而是使用与您的证书匹配的外部名称。