понедельник, 10 августа 2015 г.

Microsoft Exchange 2013 и сертификат с одним именем домена или wildcard.


В данном посте я хочу рассказать, как получить полностью работоспособную инсталляцию Exchange используя сертификат всего с одним поддоменом или wildcard (сертификат для домена и поддоменов, например *.lin.by). Причем количество доменных имен для почтовых ящиков значения не имеет. Их может быть неограниченное количество. Итак, поехали! :)



Дано:

1. Организация Exchange 2013

2. Доменные имена:
- lin.by
- minsk.lin.by 
- contoso.com
- moscow.filial01.contoso.com

3. Сертификат от доверенного СА (например, geotrust):

exchange.lin.by

Мы знаем, что для каждого из доменов заводятся почтовые ящики с основным email вида user@domain (tema@lin.by, admin@moscow.filial01.contoso.com, etc.).

Для начала, предлагаю вспомнить, как работает автообнаружение Exchange. Для примера посмотрим скриншот из теста Outlook 2013:



Итак, Outlook поочередно проверяет наличие службы автообнаружения:

1. https://MAILDOMAIN/autodiscover/autodiscover.xml. Этот вариант используется довольно редко, так как домен MAILDOMAIN используется для сайта компании. В нашем случае он совсем не подходит, так как требует наличие всех доменных имен в сертификате.

2. https://autodiscover.MAILDOMAIN/autodiscover/autodiscover.xml. Так же нам не подходит.

3. Локальное автообнаружение. Будет работать только внутри домена.

4. Автообнаружение с помощью с редиректа http://autodiscover.MAILDOMAIN/autodiscover/autodiscover.xml. Как видим, тут HTTPS не используется (первоначально). Значит этот вариант нам подойдет.

5. Поиск SRV записи _autodiscover._tcp.MAILDOMAIN. Тоже наш вариант.

Подготовка


Изначально необходимо настроить Virtual Directory в IIS для использования единого домена. Как это выполнить отлично описано в официальной документации. В качестве внешнего адреса везде указываем exchagne.lin.by.

Настройка автообнаружения с помощью HTTP редиректа


Сразу уточню, что у данного метода есть один минус. Необходимо, чтобы домен autodiscover.lin.by размещался на выделенном IP, где закрыт 443 порт, иначе Outlook при автообнаружении будет ругаться на сертификат.

1. Создаем A запись в DNS для домена autodiscover.lin.by. Как я писал выше, желательно чтобы IP был выделенный.

2. Настраиваем редирект как на скриншоте:



Итого, все запросы, которые пришли на 80 порт IP адреса, указанного для домена autodiscover.lin.by, будут перенаправляться на адрес https://exchange.lin.by/AutoDiscover/AutoDiscover.xml.

3. Создаем для наших дополнительных доменов CNAME записи в DNS:

autodiscover.minsk.lin.by   CNAME    exchange.lin.by
autodiscover.contoso.com   CNAME    exchange.lin.by
autodiscover.moscow.filial01.contoso.com   CNAME    exchange.lin.by

Вот и все, проверяем. Если настройки выполнены корректно и сертификат доверенный, то Outlook подключится без проблем.


Настройка автообнаружения с помощью SRV записи


Для этого необходимо для наших доменов создать SRV записи со следующими параметрами:

Сервис: _autodiscover
Протокол: tcp
Имя: @ (если для поддомена нет отдельной зоны, то надо его указать отдельно)
Приоритет: 10
Вес: 10
Порт: 443
Цель (target): exchange.lin.by
TTL: 3600 (default)

Важно, чтобы для домена отсутствовал поддомен autodiscover, иначе будут отображаться ошибки. Так же это сильно замедлит скорость получения настроек при автообнаружении. Проверить, корректно ли создалась запись, можно с помощью запроса:

nslookup -q=srv _autodiscover._tcp.MAILDOMAIN

Пример:

nslookup -q=srv _autodiscover._tcp.moscow.filial01.contoso.com


Важно! При настройке автообнаружения с помощью SRV могут возникнуть проблемы с автоматическим конфигурированием клиентов на iOS, поэтому обязательно убедитесь, что все работает корректно.

Как видите, настройки элементарны. Но если возникнут вопросы, оставляйте их в комментариях.




Комментариев нет:

Отправить комментарий