错误主机名不验证 - 测试证书 TLS Exchange 2016 cu21

经过大量测试，我了解CheckTls中的一些错误消息。它是 Exchange 接收连接器使用的证书。我在CheckTls中重新测试并顺利通过了整个测试。

谢谢你的建议@Lutz Willek，我会继续练习的。

我与您分享我的解决方案，希望它可以帮助其他人解决这个问题。

不知道是不是一个好程序，我正在使用的解决方案参考下面的微软文档。

1. 验证已创建 Let's Encrypt 证书并启用服务

    Get-ExchangeCertificate | Format-List FriendlyName,Thumbprint,Issuer,Subject,CertificateDomains,Services

2. 确定要分配的接收连接器，我更关注匿名用户

    Get-ReceiveConnector | where {$_.Bindings -like '*25' -AND $_.PermissionGroups -like '*AnonymousUsers*'} | Format-List Identity,Bindings,RemoteIPRanges,PermissionGroups

3. 确定连接器后，我继续分配证书

    $cert = Get-ExchangeCertificate -Thumbprint xxxxxxxx

    $tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)"

    Set-ReceiveConnector "Server_Name\Default Frontend Server_Name" -TlsCertificateName $tlscertificatename

4. 验证证书是否已分配给接收连接器

    Get-ReceiveConnector -Identity "Server_Name\Default Frontend Server_Name" | Format-List Name,Fqdn,TlsCertificateName

另一个答案是 100% 正确的。

发生的事情是使用主机名创建了一个（内部）服务器mail.lan.contoso.com。mail.contoso.com错误是如果使用 dns 名称连接到服务器，仍然会显示为此主机创建的证书。

因此，您需要执行以下操作，以创建功能服务：

• 删除 的拆分 DNS 配置，因为在您的内部网络中不需要autodiscover.contoso.com特定的名称解析。192.168.1.4（因为总是可以使用公共名称解析）
• 配置您的客户端以连接到mail.contoso.com. （检查自动发现设置）
• 将您的交换服务器配置为使用已创建mail.contoso.com的证书 - 目前，已mail.lan.contoso.com提供证书。

您可以做些什么来提高可靠性并减少维护工作：（这允许将服务与服务器分离）

• 在服务器端，配置第二个 IP 内部 IP 地址192.168.1.5并将内部名称解析指向mail.contoso.com该 IP 地址。（不要更改mail.lan.contoso.com仍然指向服务器本身）
• 在服务器（交换）端，将邮件服务配置为侦听此特定192.168.1.5IP 192.168.1.4。

您至少可以考虑的是，根本不使用拆分 DNS：

• 我的经验表明，如果没有彻底实施拆分 DNS，则会有相当大的缺点，而且不幸的是，普通管理员的网络经验不足以监督和应对所有相关挑战。
• 另一个重要原因是简化的网络设计，这有助于（除其他优点外）在发生事件时更快地隔离根本原因。
• 使用其他方法无法更有效地实现拆分 DNS 设置的真正优势并不多。