Chia Sẽ Kinh Nghiệm Về IT



Tìm Kiếm Với Google
-


Gởi Ðề Tài Mới  Gửi trả lời
 
Công Cụ Xếp Bài
Tuổi 23-09-2009, 09:27 AM   #1
hoctinhoc
Guest
 
Trả Lời: n/a
Giải quyết các phát sinh khi đổi certificate mặc định của exchange server 2007
GIẢI QUYẾT CÁC PHÁT SINH KHI ĐỔI CERTIFICATE MẶC ĐỊNH CỦA EXCHANGE SERVER 2007

DẪN NHẬP

Quá trình cài đặt Exchange Server 2007 sẽ phát sinh 01 self-signed certificate trên Client Access Server (CAS). Certificate này được cấp phát bởi NetBIOS name của CAS và cấp phát cho NetBIOS name của CAS với thời hiệu chỉ là 01 năm.
Ví dụ khi CAS có FQDN là DC.NhatNghe.local thì certificate sẽ được cấp phát bởi "DC" và cấp phát cho "DC".



Self-signed certifcate này được gán cho Default Web Site trên CAS để triển khai giao tiếp SSL của CAS với client.

Xin liệt kê 04 giao tiếp chủ yếu:
- Giao tiếp 1: Cơ chế AutoDiscover và quá trình download Offline Address Book của MS Outlook client
- Giao tiếp 2: Outlook Web Access
- Giao tiếp 3: RPC over HTTPS (Outlook Anywhere)
- Giao tiếp 4: Internet client check mail POP3S

Certificate self-signed này đương nhiên sẽ không thể được tin cậy (trust) bởi bất cứ ứng dụng nào, từ đó nảy sinh nhu cầu gán 01 certificate khác để tránh cho người dùng những phiền toái trong quá trình truy cập mailbox.

Điều khó chịu là người dùng sẽ liên tục gặp các cảnh báo bảo mật nếu certificate mới có common name (giá trị "issued to") khác với FQDN (Fully Qualified Domain Name) của CAS. Các giao tiếp diễn tiến trôi chảy khi và chỉ khi certificate mới có common name trùng với FQDN của CAS.

Một trong những điều kiện tiên quyết để giao tiếp SSL có thể diễn ra là tên mà client dùng truy cập phải trùng với common name trên certificate của server. Ngoại trừ giao tiếp 1, 03 giao tiếp còn lại chủ yếu phục vụ internet client, nghĩa là client phải dùng public name. Vậy khi public name khác với FQDN của CAS (tình huống rất phổ biến, ví dụ public name là Mail.NhatNghe.com và FQDN là DC.NhatNghe.local) thì chuyện gì sẽ xảy ra?

Bài viết này hướng đến mục tiêu thay đổi certificate mặc định của Exchange và điều chỉnh cấu hình để có thể triển khai cả 4 loại giao tiếp vừa nêu trên. Các bước chủ yếu:
- Gán cho CAS 01 certificate có common name trùng public name.
- Điều chỉnh một số thông số cấu hình Exchange để tránh các thông báo lỗi và có thể download OAB.
- Bổ sung dữ liệu DNS để phân giải public name ra private IP address của CAS.
- Thực hiện một số động tác kiểm tra kết quả.

TÌNH HUỐNG

Doanh nghiệp có public host name là Mail.NhatNghe.com

03 role Hub Transport, Client Access và Mailbox được cài trên server có FQDN là DC.NhatNghe.local, thuộc internal domain NhatNghe.local.

TRIỂN KHAI

1. Khảo sát cấu hình mặc định

Xem certficate trên CAS:
- Trên console Internet Information Service (IIS), gọi properties của Default Web Site

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 659x525

- Chọn View certificate





User check mail dùng:
- MS Outlook:



- OWA: Dùng URL https://dc/OWA và gặp cảnh báo "CA không được trust"





2. Gán cho Default Web Site 01 certificate có common name trùng public host name
(bài viết này chọn phương án xin certificate trial từ Verisign, có thể tham khảo tại đây: http://nhatnghe.com/forum/showthread.php?t=24899)

Remove certificate mặc định

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 659x525











Xin certificate từ Verisign và gán cho Default Web Site (common name: Mail.NhatNghe.com)



Tạo zone và host cần thiết để internal client có thể phân giải tên Mail.NhatNghe.com

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x230

3. Khảo sát hoạt động của cấu hình mới

User check mail dùng:
- MS Outlook: Gặp cảnh báo, chọn View Certificate





Chọn OK và Yes để tiếp tục, lại gặp cảnh báo



Chọn Yes để tiếp tục

- OWA: Dùng URL https://mail.nhatnghe.com/OWA



4. Đổi URL của Offline Address Book Distribution point:

Exchange Management Console: Server Configuration > Client Access > tab Offline Address Book Distribution > Click phải OAB > Properties

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 711x447

Khai báo Internal URL = External URL = https://mail.nhatnghe.com/OAB > OK



5. Đổi URL của Outlook Web Access

Exchange Management Console: Server Configuration > Client Access > tab Outlook Web Access > Click phải OWA > Properties

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 711x447

Khai báo Internal URL = External URL = https://mail.nhatnghe.com/OWA > OK



6. Đổi URL của các service tương tự Out of Office:

Exchange Management Shell:
Set-WebServicesVirtualDirectory –Identity "EWS*” –InternalURL https://mail.nhatnghe.com/EWS/Exchange.asmx -ExternalURL https://mail.nhatnghe.com/EWS/Exchange.asmx
Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 668x139

7. Đổi URL của AutoDiscover

Exchange Management Shell:
Set-ClientAccessServer –Identity DC –AutoDiscoverServiceInternalUri https://mail.nhatnghe.com/AutoDiscover/AutoDiscover.xml
Đối số của -Identity là tên NetBIOS của CAS. Ví dụ trong bài, tên của CAS là DC

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 668x139

8. Bổ sung dữ liệu DNS

- Tạo forward lookup zone

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x349

Loại primary





Tên zone: AutoDiscover.NhatNghe.com





- Trong zone AutoDiscover.NhatNghe.com, tạo alias

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x349

Bí danh để trống > chọn Browse



Chọn host Mail thuộc domain NhatNghe.com





Kết quả

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x349

- Đóng mọi ứng dụng và khởi động lại server.

GIẢI QUYẾT CÁC VẤN ĐỀ PHÁT SINH KHI ĐỔI CERTIFICATE MẶC ĐỊNH CỦA EXCHANGE SERVER 2007
(Phần tiếp theo)

9. Điều chỉnh Default e-mail address policy để đổi địa chỉ e-mail của mọi recipients thành Alias@NhatNghe.com

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 745x272

10. Kiểm tra:

User check mail MS Outlook: không còn bị báo lỗi
Kiểm tra các URL:
- Giữ phím CTRL + Click phải biểu tượng MS Outlook trên System Tray > chọn Test E-mail AutoConfiguration

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 808x665

- Khai báo password > chọn nút Test

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 664x430

- Kết quả

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 664x430

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 664x430

Lưu ý: vỉ không triển khai Unified Messaging Server (UMS) nên trong các bước trên, không cần điều chỉnh URL của UMS

11. Gán certificate cho service POP & SMTP

- Kiểm tra: Exchange Management Shell: Get-ExchangeCertificate

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 668x223

- Copy thumbprint của cert Mail.NhatNghe.com:
Click phài màn hình > chọn Mark
Kéo trỏ chuột trên chuỗi thumbprint để chọn > Enter

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 668x223

- Gán certificate: Exchange Management Shell:
Enable-ExchangeCertificate -Thumbprint {click phải > chọn Paste để dán chuỗi thumbprint} -Services "POP, SMTP"

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 668x235

12. Điều chỉnh service POP3


- Exchange Management Shell: Set-POPSettings -LoginType PlainTextLogIn

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 668x127

- Kích hoạt service POP3



13. User cấu hình Outlook Express gửi và nhận mail dùng SMTPS và POPS







14. Khi triển khai Outlook Anywhere:

Đương nhiên Admin phải khai báo External Host name là Mail.NhatNghe.com.
Khi người dùng cấu hình Outlook Anywhere trong LAN:
- Người đã có profile MS Outlook: Khai báo RPC server: Mail.NhatNghe.com.
- Người dùng mới: MS Outlook sẽ tự nhận RPC server: Mail.NhatNghe.com.

Rất cảm ơn Quý Vị đã xem bài viết!
__________________
Theo: Lê Ngọc Hiếu (Nhất Nghệ)






  Trả lời ngay kèm theo trích dẫn này
Gửi trả lời


Công Cụ
Xếp Bài

Quyền Hạn Của Bạn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Hình Cảm xúc đang Mở
[IMG] đang Mở
Mã HTML đang Tắt




Bây giờ là 02:57 AM. Giờ GMT +7



Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.