Exchange - změna lokálních (interních) názvů domén na FQDN
Následující návod vám pomůže změnit používané interní/lokální názvy domén na Exchange na plně kvalifikované domény (FQDN), které můžete zabezpečit SSL certifikátem.
Proč není možné používat nekvalifikované názvy domén?
Od 1.11.2015 není možné do certifikátů vkládat nekvalifikované DNS názvy, kterými jsou hostname, vlastní domény či rezervované (interní) IP adresy. Platnost pravidla a jeho vynucení pochází z Baseline Requirements CAB fora, které upravují podmínky pro vydávání certifikátů. Více informací najdete v článku Guidance on Internal Names.
Použití interních domén jako .local nebo .corp bylo běžnou praxí na serverech Microsoft Exchange. Tyto názvy však není možné certifikátem zabezpečit, protože autorita DNS názvy neodpovídající FQDN do certifikátu nevloží.
Jak vyřešit problém s nutností použít FQDN?
Z řádků výše vyplývá skutečnost, že není možné získat certifikát pro nekvalifikované domény a tyto domény nesmí být ani jako DNS názvy v SAN certifikátech.
Řešením problému je "přejmenování" nekvalifikovaných domén jako .local na domény kvalifikované; tedy takové, které jsou registrované pod některou z TLD (jejichž majitel je dohledatelný ve WHOIS dané TLD).
S přejmenováním vám pomůže náš návod níže. Využít ale můžete i bezplatný nástroj od DigiCertu, který si můžete stáhnout zde. S jeho pomocí si ušetříte manuální konfiguraci a zajistíte, aby váš exchange server splňoval podmínky použití FQDN domény v použitých názvech domén.
Přejmenování použité domény
K přejmenování domény používané serverem Exchange je potřeba spustit tyto příkazy v konzoli serveru. Spusťte Exchange Management Shell a postupně zadávejte:
Adresu pro službu Autodiscover změníte zadáním:
Set-ClientAccessServer -Identity Your_Server_Name -AutodiscoverServiceInternalUri https://mail.sslmarket.com/autodiscover/autodiscover.xml
Parametr InternalUrl pro službu EWS změníte zadáním:
Set-WebServicesVirtualDirectory -Identity "Your_Server_NameEWS (Default Web Site)" -InternalUrl https://mail.sslmarket.com/ews/exchange.asmx
Používáte-li službu Web-based Offline Address Book, tak atribut InternalUrl změníte zadáním:
Set-OABVirtualDirectory -Identity "Your_Server_Nameoab (Default Web Site)" -InternalUrl https://mail.sslmarket.com/oab
Používáte-li službu Unified Message service, tak atribut InternalUrl změníte zadáním:
Set-UMVirtualDirectory -Identity “Your_Server_Nameunifiedmessaging (Default Web Site)” -InternalUrl https://mail.sslmarket.com/unifiedmessaging/service.asmx
V závislosti na vaší konfiguraci může být potřeba zadat ještě tyto příkazy:
Set-ActiveSyncVirtualDirectory -Identity "HostNameMicrosoft-Server-ActiveSync (Default Web Site)" -InternalUrl https://mail.sslmarket.com/Microsoft-Server-ActiveSync
Set-OWAVirtualDirectory -Identity "HostNameowa (Default Web Site)" -InternalUrl https://mail.sslmarket.com/owa
Set-ECPVirtualDirectory -Identity "HostNameecp (Default Web Site)" -InternalUrl https://mail.sslmarket.com/ecp
Set-OutlookAnywhere -Identity "HostNameRpc (Default Web Site)" -InternalHostname mail.sslmarket.com -InternalClientsRequireSsl $true
Po dokončení restartujte aplikační pooly
Po provedení změn restartuje aplikační pooly v IIS. Tuto možnost najdete v IIS a u Application Pools . klikněte pravým tlačítkem na MSExchangeAutodiscoverAppPool a zvolte Recycle
V případě potřeby neváhejte kontaktovat naši zákaznickou podporu, která vám pomůže s výběrem certifikátu a jakýmkoliv dotazem.
Mrzí nás, že jste zde nenašli potřebné.
Pomůžete nám článek vylepšit? Napiště nám, co jste zde očekávali a nedozvěděli se.