Exchange: cambio de los nombres locales (internos) en FQDN

Las siguientes instrucciones te ayudarán a cambiar los nombres de dominios internos/locales utilizados en Exchange a los dominios completamente cualificados (FQDN), que puede asegurar con el certificado SSL.

Aviso: Este procedimiento se refiere a Exchange 2007, 2010 y 2013. Lo deberían realizar únicamente los administradores experimentados. No se refiere a Windows Server 2012 o Microsoft Small Business Financials (SBF).

¿Por qué no es posible utilizar los nombres de dominios no cualificados?

Desde el 1-11-2015 no es posible introducir en los certificados los nombres DNS no cualificados como hostname, dominios propios o direcciones IP reservadas (internas). La vigencia de la norma y la obligación de cumplir con ella se establece en Baseline Requirements del foro CAB, que modifican las condiciones para emisión de los certificados. Usted encontrará más información en el artículo Guidance on Internal Names.

Era muy frecuente utilizar los dominios internos como .local o .corp en los servidores Microsoft Exchange. Sin embargo, no es posible asegurar estos nombres con el certificado porque la autoridad no introducirá en el certificado los nombres DNS que no corresponden a FDQN.

¿Cómo resolver el problema con la necesidad de utilizar FDQN?

De lo mencionado anteriormente resulta que no es posible conseguir un certificado para dominios no cualificados y estos dominios no deben estar ni como los nombres DNS en los certificados SAN.

La solución del problema consiste en un "cambio de nombre" de los dominios no cualificados como por ejemplo .local a dominios cualificados, es decir, aquellos que están registrados bajo alguno de los TLD (cuyo titular está disponible en WHOIS del TLD en cuestión).

Cambio de nombre de un dominio utilizado

Para cambiar el nombre de un dominio utilizado por el servidor Exchange es necesario activar estos comandos en la consola del servidor. Activa Exchange Management Shell e indica sucesivamente:

Aviso: Los cambios en el servidor los deberían realizar solamente administradores experimentados. Si desconoces el significado de los comandos mencionados más abajo te recomendamos que no los indiques. Nosotros no asumimos la responsabilidad por una eventual falta de funcionalidad del servidor.

La dirección para el servicio Autodiscover la cambiarás indicando:

Set-ClientAccessServer -Identity Your_Server_Name -AutodiscoverServiceInternalUri https://mail.sslmarket.com/autodiscover/autodiscover.xml

El parámetro InternalUrl para el servicio EWS lo cambiarás indicando:

Set-WebServicesVirtualDirectory -Identity "Your_Server_NameEWS (Default Web Site)" -InternalUrl https://mail.sslmarket.com/ews/exchange.asmx

Si utilizas el servicio Web-based Offline Address Book el atributo InternalUrl lo cambiarás indicando:

Set-OABVirtualDirectory -Identity "Your_Server_Nameoab (Default Web Site)" -InternalUrl https://mail.sslmarket.com/oab

Si utilizas el servicio Unified Message service cambiarás el atributo InternalUrl indicando:

Set-UMVirtualDirectory -Identity “Your_Server_Nameunifiedmessaging (Default Web Site)” -InternalUrl https://mail.sslmarket.com/unifiedmessaging/service.asmx

En dependencia de tu configuración es posible que sea necesario indicar además estas órdenes:

Set-ActiveSyncVirtualDirectory -Identity "HostNameMicrosoft-Server-ActiveSync (Default Web Site)" -InternalUrl https://mail.sslmarket.com/Microsoft-Server-ActiveSync Set-OWAVirtualDirectory -Identity "HostNameowa (Default Web Site)" -InternalUrl https://mail.sslmarket.com/owa Set-ECPVirtualDirectory -Identity "HostNameecp (Default Web Site)" -InternalUrl https://mail.sslmarket.com/ecp Set-OutlookAnywhere -Identity "HostNameRpc (Default Web Site)" -InternalHostname mail.sslmarket.com -InternalClientsRequireSsl $true

Después de finalizar, reinicia pools de aplicaciones

Después de realizar los cambios reinicia pools de aplicaciones en IIS. Esta opción la encontrarás en IIS y en Application Pools haz clic con el botón derecho en MSExchangeAutodiscoverAppPool y elige Recycle

.

En caso de necesidad no dudes en contactar con nuestra Atención al Cliente, que te ayudará a elegir el certificado y a resolver cualquier pregunta.