我正在构建一个实验室,其中有两个 Exchange 2013 服务器,它们具有不同的内部名称和只有一个外部 URL,命名模式如下:
内部名称:
exchange1.local.example.com
exchange2.local.example.com
外部网址:
exchange.example.com
在此模式中local.example.com是 AD 区域并且example.com是我的外部域。
两台服务器都使用私有 IP 地址,并且有端口转发,以使服务器exchange1能够与 WAN 通信。
我现在的问题是如何在 Exchange 控制面板上配置内部和外部 URL,以避免配置错误和证书错误。
互联网上有很多指南都说使用外部名称将两个 URL 设置为相等,但我不确定这是否是正确的做法。两台服务器都有一个 DAG,我担心如何在不同的服务器上设置相等的内部和外部 URL。
另一件让我感到困惑的事情是关于证书。我有两个针对这些域名的通配符证书:
*.local.example.com
*.example.com
Exchange 将如何将这些证书与不同的 URL 架构进行匹配?在证书选择中,我必须选择证书将保证哪些服务,但我无法在 ECP 上为单个服务器使用多个证书。网络上的一些指南说证书将相应地匹配,但事实并非如此。
提前致谢,
答案1
在您的情形下使用通配符证书会存在问题,因为内部名称和外部名称位于不同的域中。与其使用通配符证书,不如为您的 Exchange 服务器申请 SAN(主题备用名称)证书,以涵盖您需要的所有主机名。
在您的示例中,证书的主题将是 exchange.example.com,而证书的主题备用名称列表将包括 exchange.example.com、exchange1.local.example.com、exchange2.local.example.com。
如果您想避免“拆分 DNS”情况(其中 exchange.example.com 在外部解析为公共 IP 地址而在内部解析为私有 IP 地址),您可以向证书添加第四个 SAN(exchange.local.example.com)并设置您的内部和外部 URL 适当地。