Exchange2016多租户方式单SSL证书登录(1)前期环境准备

xinjiang

一.概述
　　参考资料:
　　https://technet.microsoft.com/zh-cn/library/bb310764(v=exchg.141).aspx
　　写这篇文档初衷是项目有这个需求

• 　　1.  企业内部原来含有多个域名后缀，a.com,b.cn,c.net,用户需要在不改变后缀的前提下，使用原来的后缀登录OWA和Outlook，例如OWA地址是https://mail.contoso.com/owa，用户可以用c@c.net或b@b.cn登录？
  
• 　　2.  Exchange需要多域名证书，用户只申请了mail.a.com的证书，能不能单SSL的证书来做证书信任？
  

　　用户的需求其实是多租户的方式登录，创建多个接受域就可以解决，而单SSL证书的问题，对于登录OWA问题不大，对于Outlook来说，就要通过添加一台IIS服务器来做Outlook重定向了。这里我记录下实验环境和配置方法以便学习和交流。以下是实验环境的拓扑和配置信息

　　计算机名称：DC.contoso.com
　　操作系统版本：Windows Server 2008 R2
　　角色:域控,CA
　　IP：10.0.0.10
　　网关：10.0.0.1
　　计算机名称: Ex2016.contoso.com
　　操作系统版本:Windows Server 2012 R2
　　角色:Exchange 2016 Mailbox
　　IP:10.0.0.11
　　网关：10.0.0.1
　　计算机名称：IIS Server
　　操作系统版本：Windows Server 2008 R2
　　角色：Autodiscover重定向服务器，处于工作组
　　IP：10.0.0.12
　　网关：10.0.0.1
　　计算机名称：03Router
　　操作系统版本： Windows Server 2003
　　角色：连接内外网路由器
　　IP：10.0.0.1/192.168.0.1
　　计算机名称：03DNS
　　操作系统版本: Windows Server 2003
　　角色：公网DNS服务器
　　IP：192.168.0.11
　　客户端
　　内网客户端
　　Win7
　　IP：10.0.0.7
　　网关:10.0.0.1
　　Win8
　　IP:10.0.0.8
　　网关:10.0.0.1
　　外网客户端
　　Win10
　　IP:192.168.0.10
　　网关：192.168.0.1
二.操作过程

• 　　ActiveDrivetory准备
  

　　创建域的过程省略，这里我们直接先准备相关的用户和UPN设置，打开“Active Driectory域和信任关系”，右键“属性”

　　建立三个UPN后缀,a.com,b.cn.c.net

　　“Active Directory用户和计算机”中建立三个OU,分别是A,B,C，在对应的OU下建立对应的安全组和用户，注意建立用户时，选择不同的UPN

　　如下图所示

　　创建三个DNS区域，a.com,b.cn,c.net 在a.com区域添autodiscover记录和redirect记录（指向IIS重定向服务器），而mail记录（指向Exchange服务器）

　　b.cn区域创建mail记录和MX解析记录，注意创建别名记录autodiscover.b.cn,目标主机是redirect.a.com

　　c.net区域同样的设置

　　DC上再安装证书角色下一步直到成功，就完成了ActiveDriectory的准备

• 　　Exchange准备
  

　　Exchange服务器加入域

　　安装mailbox角色，直到完成

　　安装完成后使用 https://mail.a.com/ecp登录管理中心，报证书没被信任，我们先添加证书

　　已管理员的身份运行Exchange Powershell

　　注意这里我们申请”mail.a.com“这个域名即可
　　New-ExchangeCertificate -FriendlyName"Ex certificate" -DomainName mail.a.com -GenerateRequest-PrivateKeyExportable $true -keySize 2048 -RequestFile"C:\ex2016.cer"

　　复制ex2016.cer文件里的内容

　　申请证书

　　下载证书到C盘根目录下

　　通过Powershell导入证书，复制好Thumbprint选项里的指纹
　　Import-ExchangeCertificate -FileNameC:\certnew.cer

　　激活证书
　　Enable-ExchangeCertificate -ThumbprintB7A0F8F7E673237E35466CB67EEEC7249E45DBF9 -Services POP,IMAP,SMTP,IIS

　　确认证书分配的服务。再次登录管理中心可以看到没有报错

　　创建好三个接受域

　　根据接受域新增对应的地址策略

　　启用用户邮箱，注意修改电子邮件地址，这用来建立三个域名后缀的邮箱

　　接下来我们测试用户登录OWA的邮件收发，通过a@a.com发送邮件给b@b.cn

　　用户b@b.cn成功收到邮件

　　我们已经做好了AD和Exchange的前期准备，下一步配置重定向服务器IISServer