Hướng dẫn cấu hình Exchange dùng tên miền chính thức (FQDN) thay cho tên miền nội bộ (Local name)

Gần đây CAB Forum, tổ chức quản lý các nhà cung cấp dịch vụ chứng thực (CA) đã công bố một số thay đổi trong các tiêu chuẩn cấp phát chứng thư số SSL. Theo đó các CA không được phép cấp phát các chứng thư số SSL hỗ trợ các tên miền nội bộ (ví dụ CAS01.yourdomain.local), vốn thường được dùng thiết lập khi cài đặt Exchange Server.

Trong trường hợp bạn đã triển khai Exchange trước đây với các tên miền nội bộ và không thể mua chứng thư số SSL hỗ trợ các tên miền nội bộ này, bạn cần phải cấu hình lại Exchange Server để chuyển các dịch vụ từ tên miền nội bộ (Local domain name) sang tên miền chính thức (FQDN). Nếu không, khi user kết nối đến máy chủ bằng

Outlook sẽ bị báo lỗi "The name on the security certificate is invalid or does not match the name on the site” như hình dưới đây:

Trong hình trên, tên miền mà Outlook nhận dạng là EXCH1.bcbc.local. Còn tên miền chính thức trong chứng thư số SSL là mail.bcbc.com.vn. Khách hàng không thể mua chứng thư số SSL cho tên miền exch1.bcbc.local được nữa. Đây chính là lý do mà Outlook hiển thị thông báo lỗi chứng thư số SSL.

Để cập nhật cho các máy chủ chạy Exchange 2007, Exchange 2010 hay Exchange 2013, bạn cần sử dụng công cụ Exchange Management Shell để thực hiện việc cập nhật URL cho các dịch vụ Autodiscover, Exchange Web Services (EWS) và OWA Web-based Offline Address book.

Các lệnh bắt buộc:
 

Set-ClientAccessServer -Identity HostName -AutodiscoverServiceInternalUri https://mail.yourdomain.com/autodiscover/autodiscover.xml

Set-WebServicesVirtualDirectory -Identity "HostName\EWS (Default Web Site)" -InternalUrl https://mail.yourdomain.com/ews/exchange.asmx -ExternalUrl https://mail.yourdomain.com/ews/exchange.asmx

Set-OABVirtualDirectory -Identity "HostName\oab (Default Web Site)" -InternalUrl https://mail.yourdomain.com/oab -ExternalUrl https://mail.yourdomain.com/oab

Bạn cần thay thế "HostName" thành tên máy tính phù hợp và "mail.yourdomain.com" thành tên miền mà bạn đã mua chứng thư số SSL. Bạn có thể biết HostName bằng cách chạy lệnh sau:

Get-ClientAccessServer | fl Name,AutoDiscoverServiceInternalUri

Get-WebServicesVirtualDirectory | fl Name,InternalUrl,ExternalUrl

Get-OABVirtualDirectory | fl Server,Name,Internalurl,ExternalUrl

Tùy vào cấu hình của máy chủ Exchange của bạn, có thể cần phải chạy thêm các lệnh sau:

Set-ActiveSyncVirtualDirectory -Identity "HostName\Microsoft-Server-ActiveSync (Default Web Site)" -InternalUrl https://mail.yourdomain.com/Microsoft-Server-ActiveSync

Set-OWAVirtualDirectory -Identity "HostName\owa (Default Web Site)" -InternalUrl https://mail.yourdomain.com/owa

Set-ECPVirtualDirectory -Identity "HostName\ecp (Default Web Site)" -InternalUrl https://mail.yourdomain.com/ecp

Set-OutlookAnywhere -Identity "HostName\Rpc (Default Web Site)" -InternalHostname mail.yourdomain.com -InternalClientsRequireSsl $true

Sau khi chạy các lệnh trên, bạn cần phải refresh lại Exchange Application Pool trong IIS.

1. Mở IIS

2. Chọn mục Application Pools.

3. Nhấp chuột phải vào MSExchangeAutodiscoverAppPool và chọn Recycle.

  • 0 Người dùng thấy hướng dẫn này hữu ích
Hướng dẫn này có hữu ích?

Những hướng dẫn liên quan

Tổng hợp cập nhật vá lỗi SSL trên Windows Server

Hướng dẫn cập nhật vá các lỗi và lổ hổng SSL trên Windows Server. Vô hiệu giao thức SSL v3...

Vô hiệu hoá SSLv3 trong Nginx

1) Mở file cấu hình SSL cho các virtual host, tìm dòng “ssl_protocols” xem khai báo ở đâu:...

Vô hiệu hoá SSLv3 trong IIS

Tùy thuộc vào phiên bản máy chủ Windows để có thể vô hiệu hóa SSL v3 hay không. Lưu ý các phiên...

Kích hoạt Forward Secrecy cho Apache

Before you configure your Apache server for Forward Secrecy, your web server and SSL/TLS library...

Kích hoạt Forward Secrecy cho Nginx

Before you configure your Nginx server for Forward Secrecy, your web server and SSL/TLS library...