7 errores que no querrás cometer trabajando con Exchange


Descarga gratis el ebook y accede a material exclusivo, 
actualizaciones y novedades sobre Exchange.
 
 

Qué nombres debo tener en un certificado de Exchange 2010?

La respuesta es como en muchas otras ocasiones, “depende”.

Depende de si tengo múltiples sitios con Exchange, de la cantidad de dominios SMTP que soporte y si existen usuarios utilizando SMTP primarios de estos distintos dominios. Adicionalmente esto puede variar en función al mecanismo utilizado para el servicio de Autodiscover.

Si tengo varios servidores con el rol de CAS voy a querer incluir en el certificado el nombre “balanceadoque redireccione el tráfico HTTPS, POP o IMAP a uno u otro (sea por utilizar Round Robin con DNS o una VIP si utilizo NLB, HLB o similar).

Este caso se da usualmente cuando requiero alta disponibilidad. Incluso con un único servidor esto sería una buena práctica. /* En este caso VIP hace referencia a una dirección IP virtual, NLB a balancear la carga mediante el servicio de Windows Load Balancing y HLB a balanceador por hardware, usualmente este último costoso para pequeñas o mediana empresas. En adición existen virtual appliances a un costo muy accesible*/

A continuación vamos a ver algunos de los escenarios más comunes.


Escenario A (no recomendado)

Organización con un único servidor de Exchange con los roles de una instalación típica

Datos:

  • FQDN de la zona DNS del dominio interno: contoso.local
  • FQDN de la zona DNS externa: contoso.com
  • FQDN del servidor: mail01.contoso.local
  • URL externa de autodiscover: autodiscover.contoso.com
  • URL de servicios web (externo): Webmail.contoso.com
  • URL de servicios web (interno): Mail01.contoso.local
  • Dominio SMTP primario de los usuarios: contoso.com

Nombres a incluir en el certificado:

  • Webmail.contoso.com
  • Autodiscover.contoso.com
  • Mail01.contoso.local      

Si bien este escenario es bastante común en pequeñas empresas, se debe tener en cuenta que no es recomendado utilizar nombres internos en un certificado público, de hecho en un tiempo esto ya no se podrá hacer. Una de las alternativas podría ser utilizar un Split DNS o múltiples certificados, uno emitido por una CA interna y para los nombres accesibles desde internet otro por una CA externa. Hay que tener en cuenta que a mayor cantidad de certificados, mayor cantidad de sitios web, mayor complejidad de administración,etc.

Actualización 1/2015: Al momento de escribir este artículo, el escenario A era no recomendado pero posible. Actualmente ya no se pueden solicitar certificados públicos con nombres internos. La alternativa podría ser crear múltiples sitios web; 1 orientado a clientes internos incluyendo el certificado con los nombres internos y otro con el certificado público. Dependiendo del producto utilizado para publicar los servicios de Exchange pueden haber otras opciones, de cualquier modo el escenario donde se utilizan nombres internos no es recomendado.

Adicionalmente no se recomienda utilizar los mismos FQDNs para el servidor de acceso de clientes RPC (RPC Client Access) y los servicios web (en este caso mail01.contoso.local). Entre otras cosas esto puede derivar en problemas al migrar a Exchange 2013.

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

6 Responses to Qué nombres debo tener en un certificado de Exchange 2010?

  1. Hola, en el caso de tener varios certificados, uno emitido por el servidor local y otro emitido para las conexiones externas de owa, que roles debemos asignar a cada certificado? Muchas gracias

    • Aprendiendo Exchange says:

      Hola Joan, el tema es que podemos usar 1 certificado por sitio web. Para utilizar 2 certificados; 1 emitido por una CA interna y otro por una entidad externa, es necesario crear un sitio adicional y configurar la publicación externa para que vaya al sitio con el certificado externo asociado y los registros DNS internos para que vayan al sitio con el certificado interno.

      Lo ideal sería no utilizar nombres internos, utilizar un único sitio web y configurar el DNS interno para que resuelva el nombre “externo” (internamente) a la IP privada del servidor. Esto se puede hacer utilizando un split DNS o pinpoint DNS.

      saludos!
      daniel

  2. rafael rondon says:

    hola, tengo un problema ya que tengo trabajando perfectamente OWA, ACTIVE SYNC
    todos con un mismo certificado emitido localmente, intento configurar outlook anywhere y no funciona ni interno ni externo, internamente queda pidiendo usuario y clave y no autentifica, externamente con autodiscover pide usuario y clave y el TMG da el sigueinte error 12309 The server requires authorization to fulfill the request. Access to the Web server is denied. Contact the server administrator, usando la configuracion manul el TMG no toma la regla y la conexion es cerrada

    muchas gracias por adelantado

  3. Buenos Días, en el caso de que el cliente outlook, muestre una alerta en de certificado en reiteradas ocasiones, debido a que el nombre del servidor no esta incluido, ya que es es un dominio .local, podría crear un certificado interno solo a ese rol? ya configure un DNS SPLIT y el OWA trabaja sin inconvenientes, el certificado esta firmado por un tercero.

    Muchas Gracias de antemano
    Saludos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Registrarse