我们有一个 Exchange 2010 服务器,在我们的 Active Directory 域中运行,内部主机名为server.example.local.
服务器配置为在任何地方进行 Exchange,但当前有一个名称为server.example.localinstalled 的自签名证书。
在内部,客户端连接并工作正常,但在外部,我们遇到了您所期望的证书错误。
我将购买 UCC SSL 证书以安装在服务器上,并在证书上安装所有相关的 SAN 以更正此问题,但由于在获取受信任的证书.local作为主题替代名称方面存在明显问题,我希望配置客户端在内部网络上,这样他们就不会使用任何对.local主机名的引用。
我已将服务器的外部 DNS 名称配置为exchange.example.com,并创建了一个autodiscover.example.com也(正确)指向的 CNAME exchange.example.com。我还为这两个指向同一服务器内部接口的主机名配置了内部 DNS 记录。我预计这里不会有任何问题。
我现在正在尝试在内部重新配置自动发现,以便 Outlook 尝试连接到exchange.example.com. 我已按照KB940726中的步骤为此做准备,这似乎工作正常。没有生成错误,我能够使用 ADSI edit 验证 AD 中的 CAS 名称。
我刚刚尝试使用新创建的测试用户帐户和新的 Exchange 邮箱对此进行测试,Outlook 2007 在内部网络上连接良好,但在 Exchange 配置文件中更深入地查看,Outlook 仍在将服务器名称解析为server.example.local.
可能是自签名证书导致 Outlook 将服务器名称显示为server.example.local,还是我的内部自动发现配置仍然存在问题?
编辑
我已经证明它不是负责 outlook 返回的证书,方法是server.example.local安装另一个名称为test.example.com. 创建新的 outlook 配置文件时,我收到了预期的不匹配错误,但在接受证书并完成 Outlook 配置文件的配置后,它仍然显示server.example.local为服务器名称。这意味着如果我现在购买 UCC 证书,外部客户端可以正常工作,但内部客户端会显示证书名称不匹配。
任何想法从哪里开始诊断这个?
我相信我已经设法使用 ADSI edit 解决了这个问题。
尽管我运行了我在问题中链接的知识库文章中的命令,但我发现了两个使用 ADSI 编辑的自动发现条目。
我已经删除了
CN=server条目,并且不得不修改serviceBindingInformation property对象CN=exchange.example.com以反映正确的外部 URL。现在,当我设置新的交换配置文件或为现有用户打开 outlook 时,我收到证书名称不匹配错误。不过这是预料之中的,因为我的证书仍然是自签名证书,只有名称
server.example.local. 我现在可以清楚地看到内部客户正在寻找exchange.example.com证书上的名称。我现在要订购 UCC 证书,其中包含正确的 SAN 名称
exchange.example.com和autodiscover.example.com,我相信这将使我拥有一个可以工作的系统。更新
我现在已经订购并安装了一个名为 的受信任证书
exchange.example.com,加上一个 SANautodiscover.example.com,我可以报告 outlook anywhere 在以下情况下运行良好example.local企业网络内部与域连接的 PC。