Exchange: cambio de los nombres locales (internos) en FQDN

Las siguientes instrucciones le ayudarán a cambiar los nombres de dominios internos/locales utilizados en Exchange a los dominios completamente cualificados (FQDN), que puede asegurar con el certificado SSL.

Aviso: Este procedimiento se refiere a Exchange 2007, 2010 y 2013. Lo deberían realizar únicamente los administradores experimentados. No se refiere a Windows Server 2012 o Microsoft Small Business Financials (SBF).

¿Por qué no es posible utilizar los nombres de dominios no cualificados?

Desde el 1-11-2015 no es posible introducir en los certificados los nombres DNS no cualificados como hostname, dominios propios o direcciones IP reservadas (internas). La vigencia de la norma y la obligación de cumplir con ella se establece en Baseline Requirements del foro CAB, que modifican las condiciones para emisión de los certificados. Usted encontrará más información en el artículo Guidance on Internal Names.

Era muy frecuente utilizar los dominios internos como .local o .corp en los servidores Microsoft Exchange. Sin embargo, no es posible asegurar estos nombres con el certificado porque la autoridad no introducirá en el certificado los nombres DNS que no corresponden a FDQN.

¿Cómo resolver el problema con la necesidad de utilizar FDQN?

De lo mencionado anteriormente resulta que no es posible conseguir un certificado para dominios no cualificados y estos dominios no deben estar ni como los nombres DNS en los certificados SAN.

La solución del problema consiste en un "cambio de nombre" de los dominios no cualificados como por ejemplo .local a dominios cualificados, es decir, aquellos que están registrados bajo alguno de los TLD (cuyo titular está disponible en WHOIS del TLD en cuestión).

Cambio de nombre de un dominio utilizado

Para cambiar el nombre de un dominio utilizado por el servidor Exchange es necesario activar estas órdenes en la consola del servidor. Active Exchange Management Shell e indique sucesivamente:

Advertencia: Los cambios en el servidor los deberían realizar solamente administradores experimentados. Si usted desconoce el significado de las órdenes mencionadas más abajo le recomendamos que no las indique. Nosotros no asumimos la responsabilidad por una eventual falta de funcionalidad del servidor.

La dirección para el servicio Autodiscover la cambiará indicando:

Set-ClientAccessServer -Identity Your_Server_Name -AutodiscoverServiceInternalUri https://mail.sslmarket.com/autodiscover/autodiscover.xml

El parámetro InternalUrl para el servicio EWS lo cambiará indicando:

Set-WebServicesVirtualDirectory -Identity "Your_Server_NameEWS (Default Web Site)" -InternalUrl https://mail.sslmarket.com/ews/exchange.asmx

Si utiliza el servicio Web-based Offline Address Book el atributo InternalUrl lo cambiará indicando:

Set-OABVirtualDirectory -Identity "Your_Server_Nameoab (Default Web Site)" -InternalUrl https://mail.sslmarket.com/oab

Si utiliza el servicio Unified Message service cambiará el atributo InternalUrl indicando:

Set-UMVirtualDirectory -Identity “Your_Server_Nameunifiedmessaging (Default Web Site)” -InternalUrl https://mail.sslmarket.com/unifiedmessaging/service.asmx

En dependencia de su configuración es posible que sea necesario indicar además estas órdenes:

Set-ActiveSyncVirtualDirectory -Identity "HostNameMicrosoft-Server-ActiveSync (Default Web Site)" -InternalUrl https://mail.sslmarket.com/Microsoft-Server-ActiveSync Set-OWAVirtualDirectory -Identity "HostNameowa (Default Web Site)" -InternalUrl https://mail.sslmarket.com/owa Set-ECPVirtualDirectory -Identity "HostNameecp (Default Web Site)" -InternalUrl https://mail.sslmarket.com/ecp Set-OutlookAnywhere -Identity "HostNameRpc (Default Web Site)" -InternalHostname mail.sslmarket.com -InternalClientsRequireSsl $true

Después de finalizar, reinicie pools de aplicaciones

Después de realizar los cambios reinicie pools de aplicaciones en IIS. Usted encontrará esta opción en IIS y en Application Pools haga clic con el botón derecho en MSExchangeAutodiscoverAppPool y elija Recycle

.

En caso de necesidad no dude en contactar con nuestra Atención al Cliente, que le ayudará a elegir el certificado y a resolver cualquier pregunta.