错误主机名未验证 - 测试证书 TLS Exchange 2016 cu21

经过多次测试，我理解了一些错误信息检查Tls。这是 Exchange 接收连接器使用的证书。我重新测试了检查Tls并且毫无错误地通过了整个测试。

谢谢建议@Lutz Willek，我会继续练习。

---

我与您分享我的解决方案，希望它能够帮助其他人解决这个问题。

我不知道这是否是一个好的程序，我正在使用的解决方案使用以下Microsoft 文档以供参考。

1. 验证 Let's Encrypt 证书是否已创建且服务已启用

    Get-ExchangeCertificate | Format-List FriendlyName,Thumbprint,Issuer,Subject,CertificateDomains,Services

2. 确定要分配的接收连接器，我更关注匿名用户

    Get-ReceiveConnector | where {$_.Bindings -like '*25' -AND $_.PermissionGroups -like '*AnonymousUsers*'} | Format-List Identity,Bindings,RemoteIPRanges,PermissionGroups

3. 识别连接器后，我继续分配证书

    $cert = Get-ExchangeCertificate -Thumbprint xxxxxxxx

    $tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)"

    Set-ReceiveConnector "Server_Name\Default Frontend Server_Name" -TlsCertificateName $tlscertificatename

4. 验证证书是否已分配给接收连接器

    Get-ReceiveConnector -Identity "Server_Name\Default Frontend Server_Name" | Format-List Name,Fqdn,TlsCertificateName

另一个回答100%正确。

发生的事情是，使用主机名创建了一个 (内部) 服务器。错误在于，如果使用 dns 名称连接到服务器，mail.lan.contoso.com则仍会显示为该主机创建的证书。mail.contoso.com

---

那么你需要执行以下操作，以创建功能服务：

• 删除 的拆分 DNS 配置autodiscover.contoso.com，因为您的内部网络不需要 的特定名称解析192.168.1.4。（因为可以始终使用公共名称解析）
• 配置您的客户端以连接到mail.contoso.com。（检查自动发现设置）
• 配置您的 Exchange 服务器以使用已创建的证书- 当前，已提供mail.contoso.com证书。mail.lan.contoso.com

---

你可以这样做是为了提高可靠性并减少维护工作量：（这允许将服务与服务器分离）

• 在服务器端，配置第二个 IP 内部 IP 地址192.168.1.5，并将内部名称解析指向mail.contoso.com此 IP 地址。（不要更改mail.lan.contoso.com，它仍然指向服务器本身）
• 192.168.1.5在服务器（交换）端，配置邮件服务以监听这个特定的 IP 192.168.1.4。

---

你至少可以考虑，不使用分割 DNS完全：

• 我的经验表明，如果没有彻底实施拆分 DNS，则会带来相当大的缺点，而且不幸的是，普通管理员的网络经验不足以监督和处理所有相关挑战。
• 另一个重要原因是简化的网络设计，这有助于（除其他优点外）在发生事故时更快地找出根本原因。
• 拆分 DNS 设置的实际优势并不多，可以使用其他方法更有效地实现。