我们目前在硬件平衡器后面有几台 CAS/Hub 服务器。Microsoft 和 Digicert 告诉我们,我们可能不需要将它们列为 UCC 证书中的 SAN,因为我们不会向用户公开它们的主机名。
但是,当我们尝试将 UCC 证书应用到我们的 CAS 服务器(没有将它们单独列为 SAN)时,我们从 Outlook 收到了如下错误:
有人知道什么配置或设置会导致 CAS 服务器主机名被暴露吗?
附言:我知道我们不应该使用假 TLD。我们正在努力尽快解决这个问题。
更新(2014 年 5 月 6 日)
我进行了大量配置:
Get-WebServicesVirtualDirectory | Fl Identity,InternalUrl,BasicAuthenticationExternalUrl
Get-OabVirtualDirectory | Fl Identity,InternalURL,ExternalURL
Get-ActiveSyncVirtualDirectory | Fl Identity,InternalUrl,ExternalUrl
Get-OutlookAnywhere | Fl Server,ExternalHostname
Get-ClientAccessServer | Fl Server,AutoDiscoverServiceInternalURI
唯一引用我们假冒 TLD 内部主机名的是最后一个。但这不只是为了自动发现吗?为什么内部客户端每次启动时都会引用它?
答案1
这是设计使然。自动发现在内部和外部进行,并且恰好默认使用内部 CAS 服务器名称。
正如您已经知道的那样,您需要将所有服务更改为使用外部 URL 作为内部 URL,否则您的内部客户端将收到证书错误。