我们最近不得不停用.localGoDaddy 的证书,因为它不再有效。新证书包含以下名称:
- mail.mydomain.com
- 自动发现.mydomain.com
此证书已应用于Exchange服务器并已为所有服务激活。
我原本以为客户端会在证书上遇到错误,因为它们与名称相关mail.mylocaldomain.local。我读了很多文档,它们几乎都说了同样的事情:
- 在本地 DNS 服务器上添加具有公共域的新区域(我添加了一个区域
mydomain.com) - 添加一条指向电子邮件服务器本地 IP 的记录 A(我添加了
mail.mydomain.com指向服务器本地 IP 的记录)
我已经发出了以下命令:
Set-ClientAccessServer -Identity EXCHANGE-MAIL -AutodiscoverServiceInternalUrihttps://mail.publicdomain.co.uk/autodiscover/autodiscover.xml
Set-WebServicesVirtualDirectory -Identity “EXCHANGE-MAIL\EWS (Default Web Site)” –InternalUrlhttps://mail.publicdomain.co.uk/EWS/Exchange.asmx
Set-OABVirtualDirectory -Identity “EXCHANGE-MAIL\OAB (Default Web Site)” -InternalURL https://mail.publicdomain.co.uk/OAB
Set-ActiveSyncVirtualDirectory -Identity “EXCHANGE-MAIL\Microsoft-Server-ActiveSync (Default Web Site)” -InternalURLhttps://mail.publicdomain.co.uk/Microsoft-Server-Activesync
Set-WebServicesVirtualDirectory –Identity ‘EXCHANGE-MAIL\EWS (Default Web Site)’ –ExternalUrlhttps://mail.publicdomain.co.uk/ews/exchange.asmx
其中包含正确的名称,但我的客户仍然收到证书错误。
为什么?
答案1
您的 Exchange 服务器的 FQDN(完全限定域名)仍然是hostname.domainname.local,因此客户端连接到它,看到他们连接到的服务器的名称与您拥有的证书上的名称或 SAN(主题备用名称)不匹配,并抛出该错误,正如它们的设计那样。
最简单的解决方案(远远超过其他解决方案)是执行 Exchange 迁移,将您的 Exchange 服务器转移到正确命名的域中,您可以从该域获得受信任的公共证书颁发机构颁发的证书。
请参阅有关 Active Directory 最佳实践的此主题,这是我们关于该主题的几个问题之一。您的 Active Directory DNS 名称应该是您公开注册的域名的未使用的子域。一旦您准备好了,请将您的 Exchange 服务器迁移到它,并颁发包含新 Exchange 服务器的 FQDN 的证书,您将能够获得该证书。
答案2
请记住,HopelessN00b 的回答并不正确。即使 Exchange 具有本地主机名,您也不需要迁移它。添加指向公共名称的内部 DNS 区域以及更改 autodiscoverinternaluri 开关即可。
答案3
请参阅以下 Microsoft KB 文章 (940726) 以获取解决方案: http://support.microsoft.com/en-us/kb/940726
Outlook 定期轮询 AD 以更新自动发现设置,因此 Outlook 可能需要长达 1 小时才能获取新设置(或者您可以重新启动 Outlook 以立即刷新设置)。
此外,请验证 mail.mydomain.com 是否指向 Outlook 客户端上 Exchange 服务器的内部 IP 地址,以及在应用新设置后是否已在 Exchange 服务器上的 IIS 中回收了 MSExchangeAutodiscoverAppPool。