一.概述

参考资料:

https://technet.microsoft.com/zh-cn/library/bb310764(v=exchg.141).aspx

写这篇文档初衷是项目有这个需求

  1. 1.  企业内部原来含有多个域名后缀,a.com,b.cn,c.net,用户需要在不改变后缀的前提下,使用原来的后缀登录OWA和Outlook,例如OWA地址是https://mail.contoso.com/owa,用户可以用c@c.net或b@b.cn登录?

  2. 2.  Exchange需要多域名证书,用户只申请了mail.a.com的证书,能不能单SSL的证书来做证书信任?

用户的需求其实是多租户的方式登录,创建多个接受域就可以解决,而单SSL证书的问题,对于登录OWA问题不大,对于Outlook来说,就要通过添加一台IIS服务器来做Outlook重定向了。这里我记录下实验环境和配置方法以便学习和交流。以下是实验环境的拓扑和配置信息

                           

wKiom1jOBQ2yXHEFAAGfWC_aW4g855.png

计算机名称:DC.contoso.com

操作系统版本:Windows Server 2008 R2

角色:域控,CA

IP:10.0.0.10

网关:10.0.0.1

 

计算机名称: Ex2016.contoso.com

操作系统版本:Windows Server 2012 R2

角色:Exchange 2016 Mailbox

IP:10.0.0.11

网关:10.0.0.1

 

计算机名称:IIS Server

操作系统版本:Windows Server 2008 R2

角色:Autodiscover重定向服务器,处于工作组

IP:10.0.0.12

网关:10.0.0.1

 

计算机名称:03Router

操作系统版本: Windows Server 2003

角色:连接内外网路由器

IP:10.0.0.1/192.168.0.1

 

计算机名称:03DNS

操作系统版本: Windows Server 2003

角色:公网DNS服务器

IP:192.168.0.11

 

客户端

内网客户端

Win7

IP:10.0.0.7

网关:10.0.0.1

Win8

IP:10.0.0.8

网关:10.0.0.1

外网客户端

Win10

IP:192.168.0.10

网关:192.168.0.1

 

二.操作过程

  • ActiveDrivetory准备


创建域的过程省略,这里我们直接先准备相关的用户和UPN设置,打开“Active Driectory域和信任关系”,右键“属性”

wKioL1jOBRqD3sEoAACWmRmacBo872.png

建立三个UPN后缀,a.com,b.cn.c.net

wKioL1jOBSWiDYhvAACp9sehmbE200.png

“Active Directory用户和计算机中建立三个OU,分别是A,B,C,在对应的OU下建立对应的安全组和用户,注意建立用户时,选择不同的UPN

wKiom1jOBTLxsCkKAADBfyNKCA4563.png

如下图所示


wKioL1jOBUGR0eK3AACTVYAJ9aM580.png

                                            wKioL1jOBYvzL4keAACYhbl2qH0931.png

                                            wKiom1jOBZqgJdPLAACX8HzWUHM360.png



创建三个DNS区域,a.com,b.cn,c.net a.com区域添autodiscover记录和redirect记录(指向IIS重定向服务器),而mail记录(指向Exchange服务器)

wKioL1jQ4B_CeQ8kAACx4reoJmg186.jpg

b.cn区域创建mail记录和MX解析记录,注意创建别名记录autodiscover.b.cn,目标主机是redirect.a.com

wKiom1jQ4HzQkQFYAACz0aj8lpM453.jpg

c.net区域同样的设置

wKiom1jQ4InTbcJiAAC3M46vm_Q090.jpg

DC上再安装证书角色下一步直到成功,就完成了ActiveDriectory的准备

wKioL1jOBdeAhvAoAAChOpVXSRk485.png


  • Exchange准备


Exchange服务器加入域

wKiom1jOBjCTwrHVAANgUCH7rZw660.png

安装mailbox角色,直到完成

wKioL1jOBkDASLVHAAGrxLgKRv8104.png

安装完成后使用 https://mail.a.com/ecp登录管理中心,报证书没被信任,我们先添加证书

wKiom1jOBlGiIUXgAACleLgWyG0461.png

已管理员的身份运行Exchange Powershell

wKiom1jOBmHSfXzcAAFu-qEioQg209.png

注意这里我们申请”mail.a.com“这个域名即可

New-ExchangeCertificate -FriendlyName"Ex certificate" -DomainName mail.a.com -GenerateRequest-PrivateKeyExportable $true -keySize 2048 -RequestFile"C:\ex2016.cer"

wKioL1jOBnKBnSsVAACoRsPYLLo188.png

复制ex2016.cer文件里的内容


                             

wKioL1jOBqjx5cpLAAEqrw10wPY080.png

                                        wKiom1jOBrmx7h8QAADiBQRv5rc741.png

申请证书

wKioL1jOBsvxVUZ8AACvWHv7DC0724.png

wKioL1jOBtvjOanYAABkhXL6TQY439.png

wKiom1jOBu3CmRSKAACC84GN7Ho477.png

 

wKioL1jOBv_x5xPJAAC0Cs9_LNI396.png

下载证书到C盘根目录下

wKiom1jOBxajMBMVAABxWDWHEWY990.png

wKioL1jOByvi9uiNAAEeeNFl0Mw298.png

通过Powershell导入证书,复制好Thumbprint选项里的指纹

Import-ExchangeCertificate -FileNameC:\certnew.cer

wKiom1jOBz_ist0FAAApzujA_G0760.png

激活证书

Enable-ExchangeCertificate -ThumbprintB7A0F8F7E673237E35466CB67EEEC7249E45DBF9 -Services POP,IMAP,SMTP,IIS

wKioL1jOB1WjNT5gAABGakwq4ws230.png

确认证书分配的服务。再次登录管理中心可以看到没有报错

wKioL1jOB2eR5aloAADxrjBlgkc546.png

创建好三个接受域

wKiom1jQ4QCSb9EsAADJYL4YspI418.jpg

根据接受域新增对应的地址策略

                         wKiom1jOB8GTEMfuAABmWKFROZ4461.png


启用用户邮箱,注意修改电子邮件地址,这用来建立三个域名后缀的邮箱

wKioL1jOB9CS03kYAAA8XowVUd8237.png

接下来我们测试用户登录OWA的邮件收发,通过a@a.com发送邮件给b@b.cn

                                            wKioL1jODBKjzqv3AABwhtw1tp4992.png

wKioL1jODDfBFVFuAACUvXAYZbA051.png

用户b@b.cn成功收到邮件

wKiom1jODEjx_tC5AACQkLfpC6Q691.png

wKioL1jODHDC6CfqAACQv0EkfYw127.png

我们已经做好了ADExchange的前期准备,下一步配置重定向服务器IISServer