Forum
Merhaba,
Herkese iyi günler.
Tek sunucu üzerinde CAS ve HTS bulunan bir Exchange 2010 yapımız var. Bu sunucuya local dışından erişilebilmesi için 3rd party sertifika kurdum ve DMZ'de bulunan ISA2004 ile dışarıya publish ettim. Dışarıdan erişimde bir problem yaşamıyorum.
Yalnız içeriden ilk Outlook 2007 ile erişim yapmak istediğim zaman sertifika hatası veriyor ve CAS.localdomain için sertifika hatası veriyor. sertifikaya baktığımda doğal olarak 3rd party sertifikam görünüyor. verdiği hata da "içerideki isim ile üzerinde yüklü sertifika isimleri tutmuyor." hatası.
Aynı CAS ile hem içerideki kullanıcılara doğru sertifika yayını, hemde sışarıdaki kullanıcıalrı doğru sertifika yayınını nasıl yaparım?
Microsoft'un sitesinde Autodiscover adresini vs. dış domain adına çevirmekten bahsediyor. fakat iç DNS'imde dış DNS adresimi tanımlamam gerekir fakat bunu yapamam, bu sefer içeriden dış DNS sorguladığımda problem yaşarım. Yaşarmıyım? dışarıdan aldığımız DNS hizmetindeki bütün kayıtları içeridede tanımlamam gerekir değil mi?
Bu işin üslubu bedir?
Teşekkürler.
Merhaba;
Sertifikanız içinde yer alan SAN bilgileri içinde, bağlantı bilgileriniz olmadığı için bu hatayı almaktasınız.
ayrıca 3rdParty firmayı domaininiz için güvenilen bir otorite yaptınız mı ? Firmanın Kök hücre sertifikasını domain ortamında yetkili kılmanız gerekmektedir.
Merhaba Fatih bey,
Cevap için teşekkürler. Aslında 3rd party sertifikanın trusted domain olması ile ilgili bir problem yaşamıyorum. Kullanıcılar https://icdomain.local.com/owa adresine girdiklerinde mail.disdomain.com.tr adresine ait sertifika ile karşılaşıyorlar. Bu şekildede isimler uymadığında sertifika hatası alıyorlar.
Ben şu şekilde bir yol izlemeye çalıştım, sizin yorumlarınız nedir?
IIs üzerinde yeni bir External site yarattım. Bu site üzerinde owa ve ecp virtual directory'lerini yarattım. bu site'i offline yaptım.
yeni bir certication authority kurup icdomain.local.com sertifikasını Default site üzerine yükledim. yüklerken IIS'de Bindings kısmında https-All IP Addresses-443-icdomain.local.com olarak ekledim. burada https://icdomain.local.com/owa adresine girerken br problem yok.
External site üzerinde mail.disdomain.com.tr sertifiasını binding'de set ettiğimde de https://mail.disdomain.com.tr/owa adresine girdiğimde de problem yok. ama bu seferde https://icdomain.local.com/owa adresine girdiğimde disdomain'e ait sertifika karşıma çıkıyor ve yine isim farklılığı sebebiyle hata alıyorum.
Bu yolla nasıl çözebilirim? değerli yorumlarınızı bekliyorum. Teşekkürler.
Merhaba;
Çözümünüzü Tam olarak anlamadım ama yapılacak olan çözüm yolu sahip olduğunuz sertifikaya veya yeni alacak olduğunuzsertifika içine Exchange erişim bilgilerini SAN bölümüne yazmanızdır.
Tek bir sertifika içine birden fazla SAN ismi yazabilmektesiniz.
[img] http://blogs.technet.com/photos/isablog/images/3046571/original.aspx [/img]
Bunun için de wildcard sertifika almam gerekiyor sanırım.
Problemi çözdüm. Belki benzer probelmi yaşayan arkadaşlar olur diye yazayım dedim.
Dediğim
gibi CAS üzerindeki IIS'de ikinci site'ı oluşturup buna External adını
verdim. Yalnız bindings kısmında Ip adresi kısmına aynı IP'yi yada *
olarak girdiğimde lokalden erişim sağlamak isteyen kullanıcılar bu dış
alan adına ait sertifikayla karşılaşıyorlar ve alan adları
uyuşmadığından sertifika hatası alıyorlar. Önceki post'da belirtiklerime
ek olarak karışıklık yaşamayayım diye Default site'daki owa ve ecp
virtual directory'lerini sildim.
Sunucuya ikincil IP verdim ve default site'a birincil IP
adresini, External site'a da ikincil IP'yi verdim. Fakat bu ikincil IP
DNS'de güncellenince lokaldeki kullanıcılar yaptığım ayarlara rağmen
yine dış domain sertifikayla karşılaştılar.
http://support.microsoft.com/kb/2386184/en-us
adresinde microsoft'un hotfix'i bulunuyor. Normalde Windows 2008'de
2003'teki gibi Primary IP adres atayamıyoruz. Fakat bu hotfix'i
uyguladıktan sonra ikincil yaratılan IP'nin DNS kaydı yapılmsını
engelliyoruz. böylece yaptığım ayarlarda lokal kullanıcılar hep default
site'in IP'sine bakacaklar ve her iç alan adı girdiklerinde doğru site'a
erişim sağlayacaklar.
Dış alan adımıda ikincil IP'ye atadım.
içerideki kullanıcıların bu IP'den haberi olmayacak. DNS'te kayıdı
olmayan ikincil IP'mide sadece ISA2004 server'ım bilecek ve bu External
site üzerinden dışarıya yayın yapacak.
Bu sistem bende çalıştı.
Not: Bu kadar zahmete katlanmamın sebebi bir wildcard sertifikası yerine tek alan adı için sertifikaya sahip olmamız. yoksa Fatih beyin dediği gibi SAN içerisine birden falza DNS girerek kolayca çözülebilir.
Saygılar.