Windows XP Windows 7 Windows 2003 Windows Vista Windows教程綜合 Linux 系統教程
Windows 10 Windows 8 Windows 2008 Windows NT Windows Server 電腦軟件教程
 Windows教程網 >> 電腦軟件教程 >> 服務器技術 >> 郵件服務器 >> 修改Exchange內/外主機名為統一域名(outlook證書報錯)

修改Exchange內/外主機名為統一域名(outlook證書報錯)

日期:2017/1/21 9:55:16      編輯:郵件服務器

隨著Exchange郵件系統在越來越多的企業內部流行起來,員工們也很樂意去使用Office Outlook來收發郵件,大大的方便了工作郵件實時有效的傳遞。但是在用戶使用Outlook的同時,也會遇到越來越多的問題,比如Outlook證書報錯問題,導致的無法正常使用客戶端。今天我們就來說一說outlook證書報錯的問題。

眾所周知,企業Exchange郵件系統的公網收發必須配合公網證書的綁定,不然國內外的很多認證機構是無法判斷您企業郵箱是否是合法的發送源,從而導致郵件的無法正常收發。下圖就是我們證書管理其中默認的一些“授信認的根證書頒發機構”,只有這些機構頒發的公網證書或私有證書,才能使應用具有真正意義上的運行權限和訪問權限。

image

 

目前企業在搭建Exchange郵件服務器的同時,如果要進行公網的發布,通常會申請兩種證書,一種是“多域名證書”,另一種是“通配符”證書。通配符證書呈現形式是 *.contoso.com,意思是允許所有的二級域名的公網訪問,也是我們現在比較推薦的證書,由於這種證書使用面很廣,且認證面非常廣,所以基本不會出現本文提到的outlook證書報錯,所以不在此次討論的范圍中。

本文主要講的是“多域名證書”的范圍。目前國內從不同證書頒發機構購買的多域名證書默認是可以含有五個二級域名的證書,故命名為“多域名證書”。也就是說只有在使用此證書包含的二級域名發布服務,才能夠被有效、合法的訪問到。

在目前的Exchange Server部署中,我們一般情況采用微軟推薦的兩台前端CAS和兩台後端MBX來進行高可用DAG部署。

這種情況下,我們申請的“多域名證書”通常包含如下幾個二級域名:

image

我們可以看到,以上五個二級域名中,包含了兩個前端服務器的FQDN,這個的目的主要是使得用戶在通過內外網接入Exchange Server的時候,需要從前端客戶端訪問服務器進行身份驗證後方能進行下一步的接入服務。但是前端兩台CAS服務器也必須具有合法效應,換句話說,他們必須有屬於自己的公網證書條目。正因如此,我們才會將前端的兩台CAS服務器的FQDN也加入到多域名證書條目中。(如果是單台郵件服務器ALL in one部署的話,就申請此台服務器的FQDN即可)

如果我們在當初申請公網證書的時候忘記了將前端服務器的FQDN加入到多域名證書的條目中,或者沿用之前的老郵件服務器的證書(CAS名稱不存在或已改變),我們的客戶端outlook在訪問Exchange 郵件服務器的時候將會遇到如下報錯,使得用戶無法正常使用outlook客戶端。

wKiom1Tz05Si-tNiAAEPKpAdCpw195.jpg

image

那麼怎麼解決這樣的問題呢,我們接下來看。

首先我們可以思考一下,在用戶使用outlook訪問Exchange郵件服務器的時候,提示證書報錯,這個基本可以確定是客戶端接入的時候,無法通過驗證,那我們就以管理員身份打開EMS,使用get-outlookanywhere命令來查看一下outlookanywhere現在的設置。

image

果然,我們發現了,服務器在對outlook接入的時候,內部主機名和外部主機名是不一樣的,因為對外我們發布的郵件系統接入名一般都是mail.contoso.com或者其他,但是內部接入主機名赫然寫著我們的前端服務器FQDN,這樣在前端CAS服務器證書缺失的情況下,我們確實無法通過服務器驗證。那麼我們只能通過修改這個值來規避這個問題。

首先我們通過以下命令來開啟SSLOffloading功能

Get-OutlookAnywhere | Set-OutlookAnywhere -SSLOffloading $true

然後再通過以下兩條命令來統一內/外部主機名,並開啟內部和外部用戶的SSL驗證需求

Get-OutlookAnywhere | Set-OutlookAnywhere -InternalHostname mail.guochen.com -InternalClientsRequireSsl $ture Get-OutlookAnywhere | Set-OutlookAnywhere -ExternalHostname mail.guochen.com -ExternalClientsRequireSsl $true

image

之後在通過Exchange 2013 ECP控制台來檢查所有虛擬目錄的內部/外部 URL主機名是否統一為mail.xxx.com,如果不是的話,請更改URL為統一的域名。

image

image

這樣設置了之後,我們無論是內部或者外部的outlook訪問都將會尋找我們的統一主機名mail.xxx.com, 這樣的話就巧妙的避開了因為CAS證書不存在所導致的報錯,使得用戶可以能夠從內外網正常的訪問到CAS服務器進行驗證,從而鏈接到後端MBX郵箱數據庫,進行正常的郵件使用。

本文出自 “馬駿一的奔跑空間” 博客,請務必保留此出處http://horse87.blog.51cto.com/2633686/1616402

Copyright © Windows教程網 All Rights Reserved