Exchange - zmena lokálnych (interných) názvov domén na FQDN

Následujúci návod vám pomôže zmeniť používané interné/lokálne názvy domén na Exchange na plne kvalifikované domény (FQDN), ktoré môžete zabezpečiť SSL certifikátom.

Upozornenie: Tento postup platí pre Exchange 2007, 2010 a 2013. Mali by ho vykonávať len skúsení administrátori. Nevzťahuje sa na Windows Server 2012 alebo Microsoft Small Business Financials (SBF).

Prečo nie je možné používať nekvalifikované názvy domén?

Od 1.11.2015 nie je možné do certifikátov vkladať nekvalifikované DNS názvy, ktorými sú hostname, vlastné domény či rezervované (interné) IP adresy. Platnosť pravidla a jeho vynútenie pochádza z Baseline Requirements CAB fóra, ktoré upravuje podmienky pre vydávanie certifikátov. Viac informácií nájdete v článku Guidance on Internal Names.

Použitie interných domén ako .local alebo .corp bolo bežnou praxou na serveroch Microsoft Exchange. Tieto názvy však nie je možné certifikátom zabezpečiť, pretože autorita DNS názvy nezodpovedajúce FQDN do certifikátu nevloží.

Ako vyriešiť problém s nutnosťou použiť FQDN?

Z riadkov vyššie vyplýva skutočnosť, že nie je možné získať certifikát pre nekvalifikované domény a tieto domény nesmú byť ani ako DNS názvy v SAN certifikátoch.

Riešením problému je "premenovanie" nekvalifikovaných domén ako .local na domény kvalifikované; teda také, ktoré sú registrované pod niektorou z TLD (ktorej držiteľ je dohľadateľný vo WHOIS danej TLD).

Premenovanie použitej domény

K premenovaniu domény, používanej serverom Exchange, je potrebné spustiť tieto príkazy v konzole servera. Spustite Exchange Management Shell a postupne zadávajte:

Varovenie: Zmeny na serveri by mali vykonávať len skúsení administrátori. Ak nepoznáte význam nižšie uvedených príkazov, tak ich odporúčame nezadávať. Nenesieme zodpovednosť za prípadnú nefunkčnosť servera.

Adresu pre službu Autodiscover zmeníte zadaním:

Set-ClientAccessServer -Identity Your_Server_Name -AutodiscoverServiceInternalUri https://mail.sslmarket.com/autodiscover/autodiscover.xml

Parameter InternalUrl pre službu EWS zmeníte zadaním:

Set-WebServicesVirtualDirectory -Identity "Your_Server_NameEWS (Default Web Site)" -InternalUrl https://mail.sslmarket.com/ews/exchange.asmx

Ak používate službu Web-based Offline Address Book, tak atribút InternalUrl zmeníte zadaním:

Set-OABVirtualDirectory -Identity "Your_Server_Nameoab (Default Web Site)" -InternalUrl https://mail.sslmarket.com/oab

Ak používate službu Unified Message service, tak atribút InternalUrl zmeníte zadaním:

Set-UMVirtualDirectory -Identity “Your_Server_Nameunifiedmessaging (Default Web Site)” -InternalUrl https://mail.sslmarket.com/unifiedmessaging/service.asmx

V závislosti na vašej konfigurácii môže byť potrebné zadať ešte tieto príkazy:

Set-ActiveSyncVirtualDirectory -Identity "HostNameMicrosoft-Server-ActiveSync (Default Web Site)" -InternalUrl https://mail.sslmarket.com/Microsoft-Server-ActiveSync Set-OWAVirtualDirectory -Identity "HostNameowa (Default Web Site)" -InternalUrl https://mail.sslmarket.com/owa Set-ECPVirtualDirectory -Identity "HostNameecp (Default Web Site)" -InternalUrl https://mail.sslmarket.com/ecp Set-OutlookAnywhere -Identity "HostNameRpc (Default Web Site)" -InternalHostname mail.sslmarket.com -InternalClientsRequireSsl $true

Po dokončení reštartujte aplikačné pooly

Po vykonaní zmien reštartuje aplikačné pooly v IIS. Túto možnosť nájdete v IIS a pri Application Pools . kliknite pravým tlačidlom na MSExchangeAutodiscoverAppPool a zvoľte Recycle

V prípade potreby neváhajte kontaktovať našu zákaznicku podporu, ktorá vám pomôže s výberom certifikátu a akoukoľvek otázkou.