«

»

Основная настройка и конфигурация Exchange Server 2013 (post-install) - III

Получение и установка сертификата на Exchange 2013

Сначала создадим CSR (Certificate Signing Request) — запрос на получение сертификата от центра сертификации, который представляет собой текстовый файл, содержащий в закодированном виде информацию и открытый ключ. В данном примере создадим сертификат, с основным именем сертификата CN = mail.mailprm.ru и дополнительными именами используя расширение SAN (Subject Alternative Name). Расширение SAN добавляется следующим образом -DomainName. Параметр -PrivateKeyExportable $True позволяет экпортировать сертификат с приватным ключем сервера и последующей установке его на TMG или на другой CAS сервер.

Особенность TMG при публикации сервисов Exchange. Когда TMG Server устанавливает соединение SSL к (internal) веб-серверу, в сертификате которого содержатся имена SAN, он игнорирует имя CN и проверяет имя только в SAN. Если вы укажите на вкладке "To" правила имя CN сертификата а в SAN этого имени нет, то будет ошибка - Error Code: 500 Internal Server Error. The target principal name is incorrect. (-2146893022).  Чтoбы избежать этого, убедитесь, что имя CN продублированно и в SAN (или использовать имена в правиле "To" из SAN). Лучше всегда дублировать имя в целях обеспечения совместимости с другими приложениями. Поля для заполнения -SubjectName:

  • CN - полностью определенное доменное имя например - "mail.domain.com"
  • OU - название подразделения
  • O - название организации
  • L - местоположение компании
  • C - код страны, где расположена компания

PowerShell:

Set-Content -path "c:\certreq.txt" -Value (New-ExchangeCertificate -GenerateRequest -KeySize 2048 -SubjectName "c=RU, s=Perm, l=Perm, o=Corp, ou=IT, cn=mail.corp.local" -DomainName mail.corp.local, autodiscover.corp.local -PrivateKeyExportable $True)

ExchServer2013PostInstall21

Начинаем процесс подписи нашего запроса. Сохраняем подписанный сертификат.

certreq -submit -attrib "CertificateTemplate: WebServer"  c:\certreq.txt

ExchServer2013PostInstall22

Импортируем наш сертификат.

Import-ExchangeCertificate –Server prmlabmbx01 -FileData ([Byte[]]$(Get-Content -Path "C:\cert\MailCorpLocal.cer" -Encoding byte -ReadCount 0)) | Enable-ExchangeCertificate -Server prmlabmbx01 -Services IIS

ExchServer2013PostInstall23

Чтобы экспортировать созданный SSL сертификат в файл PFX для последующего импорта на prmlabmbx02 вы можете использовать следующую команду:

$Export = Get-ExchangeCertificate –DomainName "mail.corp.local" | Export-ExchangeCertificate –BinaryEncoded:$true –Password (Get-Credential).password

Set-Content –Path "c:/cert/MailCorpLocal.pfx"– Value $Export.FileData –Encoding Byte

ExchServer2013PostInstall24

Выполняем импорт на prmlabmbx02:

Import-ExchangeCertificate –Server prmlabmbx02 –FileData ([byte[]](Get-Content–Path "c:/cert/MailCorpLocal.pfx" –Encoding Byte –ReadCount 0)) –Password (Get-Credential).password  | Enable-ExchangeCertificate –Server prmlabmbx02 –Services IIS

ExchServer2013PostInstall25

Сертификаты установили.

Теперь будем запрашивать сертификат для TMG/ Лучше запрашивать сразу с исы что бы не святить ключ. Microsoft рекомендует использовать DNS сплит-модели. Это модель, в которой URL внутренне так же, как снаружи. Но внешний URL разрешен к, например, 178.251.192.12 в то время как тот же URL внутренне решает 192.168.0.51.

При использовании модели разделения DNS нет необходимости добавить дополнительные имена сервера SSL сертификата.

Вы также можете использовать консоль Exchange для настройки виртуальных каталогов. Как вы уже догадались, это мое предпочтение

  • Webmail.exchangelabs.nl for OWA, ECP, Powershell and OAB;
  • Mobile.exchangelabs.nl for ActiveSync;
  • Services.exchangelabs.nl for Exchange Web Services;
  • Autodiscover.exchangelabs.nl for Autodiscover;
  • Oa.exchangelabs.nl for Outlook Anywhere.

Set-Content -path "c:\cert\certreqtmg.txt" -Value (New-ExchangeCertificate -GenerateRequest -KeySize 2048 -SubjectName "c=RU, s=Perm, l=Perm, o=Corp, ou=IT, cn=mail.mailprm.ru" -DomainName mail.mailprm.ru, autodiscover.mailprm.ru, mobile.mailprm.ru, oa.mailprm.ru, services.mailprm.ru -PrivateKeyExportable $True)

ExchServer2013PostInstall26

  • Начинаем процесс подписи нашего запроса. Сохраняем подписанный сертификат.

certreq -submit -attrib "CertificateTemplate: WebServer" c:\cert\certreqtmg.txt

ExchServer2013PostInstall27

  • Импортируем наш сертификат.

Import-ExchangeCertificate –Server prmlabmbx01 -FileData ([Byte[]]$(Get-Content -Path "C:\cert\MailMailprmRu.cer" -Encoding byte -ReadCount 0))

ExchServer2013PostInstall28

  • Чтобы экспортировать созданный SSL сертификат в файл PFX для последующего импорта на TMG вы можете использовать следующую команду. Вводим любое имя пользователя и пароль главное запомнить.

$Export = Get-ExchangeCertificate –DomainName "mail.mailprm.ru" | Export-ExchangeCertificate –BinaryEncoded:$true –Password (Get-Credential).password

Set-Content –Path "c:/cert/MailMailprmRu.pfx" –Value $Export.FileData –Encoding Byte

ExchServer2013PostInstall29

Переносим и импортируем сертификат на TMG.

Настройка виртуальные каталоги

По умолчанию бирже 2013 CAS сервер не настроен с любого внешнего домена. Это означает, что виртуальные каталоги InternalUrl и ExternalUrl не (правильно) настроить. Хорошо, InternalUrl в настраиваются с местными полное доменное имя сервера, но ExternalUrl свойства должны быть настроены с настройки внешнего domainwizard доступ в EAC.

Get-OWAVirtualDirectory | fl name,server,internalurl,externalurl

Get-OWAVirtualDirectory | Set-OWAVirtualDirectory -ExternalURL https://mail.mailprm.ru/owa -InternalURL https://autodiscover.mailprm.ru/OWA

ExchServer2013PostInstall30

  • Настраиваем также и другие каталоги пути. ECP;

Get-ECPVirtualDirectory | Set-ECPVirtualDirectory -ExternalURL https://mail.mailprm.ru/ecp -InternalURL https://autodiscover.mailprm.ru/ecp

  • Powershell;

Get-PowershellVirtualDirectory | Set-PowershellVirtualDirectory -ExternalURL https://mail.mailprm.ru/Powershell -InternalURL https://mail.corp.local/Powershell

  • OAB;

Get-OABVirtualDirectory | Set-OABVirtualDirectory -ExternalURL https://mail.mailprm.ru/OAB -InternalURL https://mail.corp.local/OAB

  • ActiveSync;

Get-ActiveSyncVirtualDirectory | Set-ActiveSyncVirtualDirectory -ExternalURL https://mobile.mailprm.ru/Microsoft-Server-ActiveSync -InternalURL https://autodiscover.mailprm.ru/Microsoft-Server-ActiveSync

  • Exchange Web Services;

Get-WebServicesVirtualDirectory | Set-WebServicesVirtualDirectory -ExternalURL https://services.mailprm.ru/ews/exchange.asmx -InternalURL https://mail.corp.local/ews/exchange.asmx

  • Autodiscover;

Чтобы настроить CAS серверов с нормальным URL для автообнаружения введите следующую команду в Exchange Management Shell:Повторите этот шаг для сервера 2ndCAS 2012E15FE04.

Этот шаг настраивает CAS серверов Service Connection Point (ADSI) с правильным автообнаружения URL. Таким образом, внутренняя домену клиенты найдут правильный URL-адрес автообнаружения для получения информации о конфигурации биржи использованием автоматического обнаружения процесса.

Set-ClientAccessServer -Identity prmlabmbx01 -AutoDiscoverServiceInternalUri https://autodiscover.mailprm.ru/autodiscover/autodiscover.xml

Set-ClientAccessServer -Identity prmlabmbx02 -AutoDiscoverServiceInternalUri https://autodiscover.mailprm.ru/autodiscover/autodiscover.xml

ExchServer2013PostInstall31

ExchServer2013PostInstall32

  • Outlook Anywhere;

Exchange Server 2013 не использует прямой MAPI для клиентов Outlook, Outlook Anywhere только сейчас используется. Это означает, что всех клиентов подключиться к серверу CAS использованием протокола HTTPS. Outlook Anywhere включена по умолчанию (конечно же), но нужна дополнительная настройка. Откройте консоль Exchange и введите следующие команды: ДОбавить имена в DNS/ mail.corp.local

Get-OutlookAnywhere | fl servername,externalhostname,internalhostname

Get-OutlookAnywhere | Set-OutlookAnywhere -InternalHostname "mail.corp.local" -ExternalHostname "oa.mailprm.ru" -ExternalClientsRequireSsl $True -InternalClientsRequireSsl $True

ExchServer2013PostInstall33

Permanent link to this article: http://www.blogss.ru/basic-configuration-exchange-server-2013-post-install-3

Добавить комментарий

Your email address will not be published.