|
Giải quyết các phát sinh khi đổi certificate mặc định của exchange server 2007
GIẢI QUYẾT CÁC PHÁT SINH KHI ĐỔI CERTIFICATE MẶC ĐỊNH CỦA EXCHANGE SERVER 2007 DẪN NHẬP Quá trình cài đặt Exchange Server 2007 sẽ phát sinh 01 self-signed certificate trên Client Access Server (CAS). Certificate này được cấp phát bởi NetBIOS name của CAS và cấp phát cho NetBIOS name của CAS với thời hiệu chỉ là 01 năm. Ví dụ khi CAS có FQDN là DC.NhatNghe.local thì certificate sẽ được cấp phát bởi "DC" và cấp phát cho "DC". http://hien.nhatnghe.vn/images/ExchC...chCert-003.png Self-signed certifcate này được gán cho Default Web Site trên CAS để triển khai giao tiếp SSL của CAS với client. Xin liệt kê 04 giao tiếp chủ yếu: - Giao tiếp 1: Cơ chế AutoDiscover và quá trình download Offline Address Book của MS Outlook client - Giao tiếp 2: Outlook Web Access - Giao tiếp 3: RPC over HTTPS (Outlook Anywhere) - Giao tiếp 4: Internet client check mail POP3S Certificate self-signed này đương nhiên sẽ không thể được tin cậy (trust) bởi bất cứ ứng dụng nào, từ đó nảy sinh nhu cầu gán 01 certificate khác để tránh cho người dùng những phiền toái trong quá trình truy cập mailbox. Điều khó chịu là người dùng sẽ liên tục gặp các cảnh báo bảo mật nếu certificate mới có common name (giá trị "issued to") khác với FQDN (Fully Qualified Domain Name) của CAS. Các giao tiếp diễn tiến trôi chảy khi và chỉ khi certificate mới có common name trùng với FQDN của CAS. Một trong những điều kiện tiên quyết để giao tiếp SSL có thể diễn ra là tên mà client dùng truy cập phải trùng với common name trên certificate của server. Ngoại trừ giao tiếp 1, 03 giao tiếp còn lại chủ yếu phục vụ internet client, nghĩa là client phải dùng public name. Vậy khi public name khác với FQDN của CAS (tình huống rất phổ biến, ví dụ public name là Mail.NhatNghe.com và FQDN là DC.NhatNghe.local) thì chuyện gì sẽ xảy ra? Bài viết này hướng đến mục tiêu thay đổi certificate mặc định của Exchange và điều chỉnh cấu hình để có thể triển khai cả 4 loại giao tiếp vừa nêu trên. Các bước chủ yếu: - Gán cho CAS 01 certificate có common name trùng public name. - Điều chỉnh một số thông số cấu hình Exchange để tránh các thông báo lỗi và có thể download OAB. - Bổ sung dữ liệu DNS để phân giải public name ra private IP address của CAS. - Thực hiện một số động tác kiểm tra kết quả. TÌNH HUỐNG Doanh nghiệp có public host name là Mail.NhatNghe.com 03 role Hub Transport, Client Access và Mailbox được cài trên server có FQDN là DC.NhatNghe.local, thuộc internal domain NhatNghe.local. TRIỂN KHAI 1. Khảo sát cấu hình mặc định Xem certficate trên CAS: - Trên console Internet Information Service (IIS), gọi properties của Default Web Site http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 659x525http://hien.nhatnghe.vn/images/ExchC...chCert-001.png - Chọn View certificate http://hien.nhatnghe.vn/images/ExchC...chCert-002.png http://hien.nhatnghe.vn/images/ExchC...chCert-003.png User check mail dùng: - MS Outlook: http://hien.nhatnghe.vn/images/ExchC...chCert-004.png - OWA: Dùng URL https://dc/OWA và gặp cảnh báo "CA không được trust" http://hien.nhatnghe.vn/images/ExchC...chCert-005.png http://hien.nhatnghe.vn/images/ExchC...chCert-006.png 2. Gán cho Default Web Site 01 certificate có common name trùng public host name (bài viết này chọn phương án xin certificate trial từ Verisign, có thể tham khảo tại đây: http://nhatnghe.com/forum/showthread.php?t=24899) Remove certificate mặc định http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 659x525http://hien.nhatnghe.vn/images/ExchC...chCert-001.png http://hien.nhatnghe.vn/images/ExchC...chCert-007.png http://hien.nhatnghe.vn/images/ExchC...chCert-008.png http://hien.nhatnghe.vn/images/ExchC...chCert-009.png http://hien.nhatnghe.vn/images/ExchC...chCert-010.png http://hien.nhatnghe.vn/images/ExchC...chCert-011.png Xin certificate từ Verisign và gán cho Default Web Site (common name: Mail.NhatNghe.com) http://hien.nhatnghe.vn/images/ExchC...chCert-012.png Tạo zone và host cần thiết để internal client có thể phân giải tên Mail.NhatNghe.com http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x230http://hien.nhatnghe.vn/images/ExchC...chCert-013.png 3. Khảo sát hoạt động của cấu hình mới User check mail dùng: - MS Outlook: Gặp cảnh báo, chọn View Certificate http://hien.nhatnghe.vn/images/ExchC...chCert-014.png http://hien.nhatnghe.vn/images/ExchC...chCert-015.png Chọn OK và Yes để tiếp tục, lại gặp cảnh báo http://hien.nhatnghe.vn/images/ExchC...chCert-016.png Chọn Yes để tiếp tục - OWA: Dùng URL https://mail.nhatnghe.com/OWA http://hien.nhatnghe.vn/images/ExchC...chCert-017.png 4. Đổi URL của Offline Address Book Distribution point: Exchange Management Console: Server Configuration > Client Access > tab Offline Address Book Distribution > Click phải OAB > Properties http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 711x447http://hien.nhatnghe.vn/images/ExchC...chCert-018.png Khai báo Internal URL = External URL = https://mail.nhatnghe.com/OAB > OK http://hien.nhatnghe.vn/images/ExchC...chCert-019.png 5. Đổi URL của Outlook Web Access Exchange Management Console: Server Configuration > Client Access > tab Outlook Web Access > Click phải OWA > Properties http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 711x447http://hien.nhatnghe.vn/images/ExchC...chCert-020.png Khai báo Internal URL = External URL = https://mail.nhatnghe.com/OWA > OK http://hien.nhatnghe.vn/images/ExchC...chCert-021.png 6. Đổi URL của các service tương tự Out of Office: Exchange Management Shell: Set-WebServicesVirtualDirectory –Identity "EWS*” –InternalURL https://mail.nhatnghe.com/EWS/Exchange.asmx -ExternalURL https://mail.nhatnghe.com/EWS/Exchange.asmx http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 668x139http://hien.nhatnghe.vn/images/ExchC...chCert-022.png 7. Đổi URL của AutoDiscover Exchange Management Shell: Set-ClientAccessServer –Identity DC –AutoDiscoverServiceInternalUri https://mail.nhatnghe.com/AutoDiscover/AutoDiscover.xml Đối số của -Identity là tên NetBIOS của CAS. Ví dụ trong bài, tên của CAS là DC http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 668x139http://hien.nhatnghe.vn/images/ExchC...chCert-023.png 8. Bổ sung dữ liệu DNS - Tạo forward lookup zone http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x349http://hien.nhatnghe.vn/images/ExchC...chCert-024.png Loại primary http://hien.nhatnghe.vn/images/ExchC...chCert-025.png http://hien.nhatnghe.vn/images/ExchC...chCert-026.png Tên zone: AutoDiscover.NhatNghe.com http://hien.nhatnghe.vn/images/ExchC...chCert-027.png http://hien.nhatnghe.vn/images/ExchC...chCert-028.png - Trong zone AutoDiscover.NhatNghe.com, tạo alias http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x349http://hien.nhatnghe.vn/images/ExchC...chCert-029.png Bí danh để trống > chọn Browse http://hien.nhatnghe.vn/images/ExchC...chCert-030.png Chọn host Mail thuộc domain NhatNghe.com http://hien.nhatnghe.vn/images/ExchC...chCert-031.png http://hien.nhatnghe.vn/images/ExchC...chCert-032.png Kết quả http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x349http://hien.nhatnghe.vn/images/ExchC...chCert-033.png - Đóng mọi ứng dụng và khởi động lại server. GIẢI QUYẾT CÁC VẤN ĐỀ PHÁT SINH KHI ĐỔI CERTIFICATE MẶC ĐỊNH CỦA EXCHANGE SERVER 2007 (Phần tiếp theo) 9. Điều chỉnh Default e-mail address policy để đổi địa chỉ e-mail của mọi recipients thành Alias@NhatNghe.com http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 745x272http://hien.nhatnghe.vn/images/ExchC...chCert-034.png 10. Kiểm tra: User check mail MS Outlook: không còn bị báo lỗi Kiểm tra các URL: - Giữ phím CTRL + Click phải biểu tượng MS Outlook trên System Tray > chọn Test E-mail AutoConfiguration http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 808x665http://hien.nhatnghe.vn/images/ExchC...chCert-035.png - Khai báo password > chọn nút Test http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 664x430http://hien.nhatnghe.vn/images/ExchC...chCert-036.png - Kết quả http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 664x430http://hien.nhatnghe.vn/images/ExchC...chCert-037.png http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 664x430http://hien.nhatnghe.vn/images/ExchC...chCert-038.png Lưu ý: vỉ không triển khai Unified Messaging Server (UMS) nên trong các bước trên, không cần điều chỉnh URL của UMS 11. Gán certificate cho service POP & SMTP - Kiểm tra: Exchange Management Shell: Get-ExchangeCertificate http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 668x223http://hien.nhatnghe.vn/images/ExchC...chCert-039.png - Copy thumbprint của cert Mail.NhatNghe.com: Click phài màn hình > chọn Mark Kéo trỏ chuột trên chuỗi thumbprint để chọn > Enter http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 668x223http://hien.nhatnghe.vn/images/ExchC...chCert-040.png - Gán certificate: Exchange Management Shell: Enable-ExchangeCertificate -Thumbprint {click phải > chọn Paste để dán chuỗi thumbprint} -Services "POP, SMTP" http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 668x235http://hien.nhatnghe.vn/images/ExchC...chCert-041.png 12. Điều chỉnh service POP3 - Exchange Management Shell: Set-POPSettings -LoginType PlainTextLogIn http://nhatnghe.com/forum/undefined/.../wol_error.gifHình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 668x127http://hien.nhatnghe.vn/images/ExchC...chCert-046.png - Kích hoạt service POP3 http://hien.nhatnghe.vn/images/ExchC...chCert-047.png 13. User cấu hình Outlook Express gửi và nhận mail dùng SMTPS và POPS http://hien.nhatnghe.vn/images/ExchC...chCert-043.png http://hien.nhatnghe.vn/images/ExchC...chCert-044.png http://hien.nhatnghe.vn/images/ExchC...chCert-045.png 14. Khi triển khai Outlook Anywhere: Đương nhiên Admin phải khai báo External Host name là Mail.NhatNghe.com. Khi người dùng cấu hình Outlook Anywhere trong LAN: - Người đã có profile MS Outlook: Khai báo RPC server: Mail.NhatNghe.com. - Người dùng mới: MS Outlook sẽ tự nhận RPC server: Mail.NhatNghe.com. Rất cảm ơn Quý Vị đã xem bài viết! __________________ Theo: Lê Ngọc Hiếu (Nhất Nghệ) :battay: |
| Bây giờ là 04:37 AM. Giờ GMT +7 |
Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.