Exchange INTENSIVO. 10 días de entrenamiento

  • Implementación de Exchange
  • Administración de la plataforma
  • Mantenimiento del servidor
 
 

Qué nombres debo tener en un certificado de Exchange 2010?


Escenario B

Este escenario va a ser muy similar al anterior con la diferencia de que utiliza lo que se llama un Split DNS, es decir que tanto la zona DNS interna como externa tienen el mismo nombre.

Supongamos el caso donde el nombre del dominio interno de Active Directory sea contoso.com y mis registros públicos utilicen también el mismo espacio de nombre.

En este caso cuando los usuarios externos acceden a www.contoso.com este nombre se resolvería a la IP externa donde tenemos publicado el servicio, quizás en un proxy o un firewall.

Cuando los usuarios internos escriben www.contoso.com este nombre se resolvería con un DNS interno devolviendo la IP privada del servidor.

Una de las ventajas de este escenario es que requiere incluir una menor cantidad de nombre el certificado a utilizar. En contrapartida la principal desventaja es que debo mantener actualizada la zona interna con cada registro que agregue o elimine en la zona del DNS externo (esto se puede evitar utilizando pinpoint DNS).

Datos:

  • FQDN de la zona DNS del dominio interno: contoso.com
  • FQDN de la zona DNS externa: contoso.com
  • FQDN del servidor: mail01.contoso.com
  • URL externa de autodiscover: autodiscover.contoso.com
  • URL de servicios web (externo e interno): Webmail.contoso.com
  • Dominio SMTP primario de los usuarios:
    • contoso.com
    • adatum.com

Nombres a incluir en el certificado:

  • Webmail.contoso.com    /* En la zona DNS interna se resuelve a la IP privada del CAS (o del balanceo si son varios servidores), externamente a la IP pública donde tengo publicado el servicio. */
  • Autodiscover.contoso.com
  • Autodiscover.adatum.com           /* Como tengo usuarios que utilizan como SMTP primario Adatum.com, lo debo incluir en el certificado dado que es parte del proceso de autodiscover el anexar autodiscover al dominio del SMTP Primario del cliente. Si bien hay varias formas de configurar los registros de autodiscover, como por ejemplo mediante registros SRV en el DNS, el dejar el predeterminado es lo más sencillo y el más utilizado salvo casos puntuales que realmente lo ameriten (por ejemplo si tengo muchos dominios de correo). */

Escenario C

Este caso contempla una organización con 2 Mailbox Servers dentro de un DAG y 2 CAS formando un CAS Array (que pueden o no coexistir con los mismos Mailbox Servers).

Datos:

  • FQDN de la zona DNS del dominio interno: contoso.com
  • FQDN de la zona DNS externa: contoso.com
  • FQDN de los servidores:
    • mail01.contoso.com
    • mail02.contoso.com
  • FQDN del CAS Array: Outlook.contoso.com         /* A este nombre se conectan los clientes Outlook internos mediante el protocolo MAPI   */
  • URL externa de autodiscover: autodiscover.contoso.com
  • URL de servicios web (interno y externo): Webmail.contoso.com
  • Dominio SMTP primario de los usuarios:
    • contoso.com
    • adatum.com

Nombres a incluir en el certificado:       /* Todos estos nombres deberían ser balanceados entre los CAS */

  • Webmail.contoso.com         /* Se deben configurar las propiedades de URLs en los directorios virtuales, de lo contrario seguirían apuntando al nombre de un servidor  y no al balanceo  */
  • Autodiscover.contoso.com
  • Autodiscover.adatum.com

Como podrán ver no incluimos el nombre Outlook.contoso.com ya que este lo vamos a estar utilizando para conectarnos al servicio de RPC Client Access en los CAS mediante MAPI (RPC). En el certificado solo debemos incluir nombres de servicios que utilicemos por HTTP/HTTPS. /* Si preciso encriptar POP, IMAP o SMTP lo mismo aplicaría. Pero no así el caso de clientes MAPI (RPC). Esto es motivo de confusión usualmente */

Adicionalmente tener en cuenta de que no es recomendado hacer coincidir el nombre del CAS Array con el nombre que utilizamos para acceder a Outlook Anywhere ya que esto derivaría en demoras y time out de clientes externos.

Una vez tengamos decididos que nombres vamos a utilizar podemos proceder con la solicitud del certificado como se explica en el siguiente artículo. 

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

6 Responses to Qué nombres debo tener en un certificado de Exchange 2010?

  1. Hola, en el caso de tener varios certificados, uno emitido por el servidor local y otro emitido para las conexiones externas de owa, que roles debemos asignar a cada certificado? Muchas gracias

    • Aprendiendo Exchange says:

      Hola Joan, el tema es que podemos usar 1 certificado por sitio web. Para utilizar 2 certificados; 1 emitido por una CA interna y otro por una entidad externa, es necesario crear un sitio adicional y configurar la publicación externa para que vaya al sitio con el certificado externo asociado y los registros DNS internos para que vayan al sitio con el certificado interno.

      Lo ideal sería no utilizar nombres internos, utilizar un único sitio web y configurar el DNS interno para que resuelva el nombre “externo” (internamente) a la IP privada del servidor. Esto se puede hacer utilizando un split DNS o pinpoint DNS.

      saludos!
      daniel

  2. rafael rondon says:

    hola, tengo un problema ya que tengo trabajando perfectamente OWA, ACTIVE SYNC
    todos con un mismo certificado emitido localmente, intento configurar outlook anywhere y no funciona ni interno ni externo, internamente queda pidiendo usuario y clave y no autentifica, externamente con autodiscover pide usuario y clave y el TMG da el sigueinte error 12309 The server requires authorization to fulfill the request. Access to the Web server is denied. Contact the server administrator, usando la configuracion manul el TMG no toma la regla y la conexion es cerrada

    muchas gracias por adelantado

  3. Buenos Días, en el caso de que el cliente outlook, muestre una alerta en de certificado en reiteradas ocasiones, debido a que el nombre del servidor no esta incluido, ya que es es un dominio .local, podría crear un certificado interno solo a ese rol? ya configure un DNS SPLIT y el OWA trabaja sin inconvenientes, el certificado esta firmado por un tercero.

    Muchas Gracias de antemano
    Saludos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Registrarse