Microsoft Exchange 2013 и сертификат с одним именем домена или wildcard.
В данном посте я хочу рассказать, как получить полностью работоспособную инсталляцию Exchange используя сертификат всего с одним поддоменом или wildcard (сертификат для домена и поддоменов, например *.lin.by). Причем количество доменных имен для почтовых ящиков значения не имеет. Их может быть неограниченное количество. Итак, поехали! :)
Дано:
1. Организация Exchange 2013
2. Доменные имена:
- lin.by
- minsk.lin.by
- contoso.com
- moscow.filial01.contoso.com
3. Сертификат от доверенного СА (например, geotrust):
exchange.lin.by
Мы знаем, что для каждого из доменов заводятся почтовые ящики с основным email вида user@domain (tema@lin.by, admin@moscow.filial01.contoso.com, etc.).
Для начала, предлагаю вспомнить, как работает автообнаружение Exchange. Для примера посмотрим скриншот из теста Outlook 2013:
Итак, Outlook поочередно проверяет наличие службы автообнаружения:
1. https://MAILDOMAIN/autodiscover/autodiscover.xml. Этот вариант используется довольно редко, так как домен MAILDOMAIN используется для сайта компании. В нашем случае он совсем не подходит, так как требует наличие всех доменных имен в сертификате.
2. https://autodiscover.MAILDOMAIN/autodiscover/autodiscover.xml. Так же нам не подходит.
3. Локальное автообнаружение. Будет работать только внутри домена.
4. Автообнаружение с помощью с редиректа http://autodiscover.MAILDOMAIN/autodiscover/autodiscover.xml. Как видим, тут HTTPS не используется (первоначально). Значит этот вариант нам подойдет.
5. Поиск SRV записи _autodiscover._tcp.MAILDOMAIN. Тоже наш вариант.
Подготовка
Настройка автообнаружения с помощью HTTP редиректа
1. Создаем A запись в DNS для домена autodiscover.lin.by. Как я писал выше, желательно чтобы IP был выделенный.
2. Настраиваем редирект как на скриншоте:
Итого, все запросы, которые пришли на 80 порт IP адреса, указанного для домена autodiscover.lin.by, будут перенаправляться на адрес https://exchange.lin.by/AutoDiscover/AutoDiscover.xml.
3. Создаем для наших дополнительных доменов CNAME записи в DNS:
autodiscover.minsk.lin.by CNAME exchange.lin.by
autodiscover.contoso.com CNAME exchange.lin.by
autodiscover.moscow.filial01.contoso.com CNAME exchange.lin.by
Настройка автообнаружения с помощью SRV записи
Сервис: _autodiscover
Протокол: tcp
Имя: @ (если для поддомена нет отдельной зоны, то надо его указать отдельно)
Приоритет: 10
Вес: 10
Порт: 443
Цель (target): exchange.lin.by
TTL: 3600 (default)
Важно, чтобы для домена отсутствовал поддомен autodiscover, иначе будут отображаться ошибки. Так же это сильно замедлит скорость получения настроек при автообнаружении. Проверить, корректно ли создалась запись, можно с помощью запроса:
nslookup -q=srv _autodiscover._tcp.MAILDOMAIN
Пример:
nslookup -q=srv _autodiscover._tcp.moscow.filial01.contoso.com
Важно! При настройке автообнаружения с помощью SRV могут возникнуть проблемы с автоматическим конфигурированием клиентов на iOS, поэтому обязательно убедитесь, что все работает корректно.
Как видите, настройки элементарны. Но если возникнут вопросы, оставляйте их в комментариях.
Комментариев нет:
Отправить комментарий