服务器在任何位置配置为Exchange,但当前具有自签名证书,其名称为server.example.local.
在内部,客户端连接并正常工作,但在外部,我们正如您所期望的那样出现证书错误.
我即将购买UCC SSL证书,以便在服务器上安装证书上的所有相关SAN来纠正这个问题,但是由于明显的问题获得了一个以.local作为主题替代名称的可信证书,我希望在内部网络上配置客户端,以便它们不使用对.local主机名的任何引用.
我已将服务器的外部DNS名称配置为exchange.example.com,并为autodiscover.example.com创建了一个CNAME,它也(正确地)指向exchange.example.com.我还为这两个主机名配置了内部DNS记录,这两个主机名指向同一服务器的内部接口.我不认为这里有任何问题.
我现在正在尝试在内部重新配置自动发现,以便Outlook尝试连接到exchange.example.com.我已按照KB940726中的步骤为此做准备,这似乎工作正常.没有生成错误,我能够使用ADSI编辑验证AD中的CAS名称.
我刚刚尝试使用新创建的测试用户帐户和新的Exchange邮箱进行测试,并且Outlook 2007在内部网络上连接正常,但是在Exchange配置文件中更深入,Outlook仍然将服务器名称解析为server.example .本地.
可能是自签名证书,导致Outlook将服务器名称显示为server.example.local,还是我的内部自动发现配置仍有问题?
编辑
我已经证明,通过安装另一个名为test.example.com的自我认证证书,它不是负责outlook返回server.example.local的证书.在创建新的Outlook配置文件时,我得到了我正在发生的不匹配错误,但在接受了证书并完成了Outlook配置文件的配置后,它仍然显示server.example.local作为服务器名称.这意味着如果我现在购买UCC证书,该外部客户端将正常工作,但内部客户端将显示证书名称不匹配.
任何想法从哪里开始诊断?
解决方法
尽管我在我的问题中链接的KB文章中运行了命令,但我发现了两个使用ADSI编辑的自动发现条目.
> CN = exchange.example.com
> CN =服务器
我删除了CN = server条目,并且必须修改对象CN = exchange.example.com的serviceBindingInformation属性以反映正确的外部URL.
现在,当我为现有用户设置新的交换配置文件或打开Outlook时,我收到证书名称不匹配错误.但这是预期的,因为我的证书仍然是自签名证书,其名称只有server.example.local.我现在可以清楚地看到内部客户端正在证书上寻找名称exchange.example.com.
我现在要订购UCC证书,使用正确的SAN名称exchange.example.com和autodiscover.example.com,我相信现在我将使用一个工作系统.
更新
我现在订购并安装了一个名为exchange.example.com的可信证书,以及一个autodiscover.example.com的SAN,我可以在以下场景中报告任何地方的Outlook工作正常
>在具有域连接PC的example.local公司网络内部.>外部与漫游域连接的笔记本电脑>外置移动设备(iPhone和iPad)>外部与非域连接的PC.> OWA不再提供SSL错误.