Exchange - change local (internal) domain names to FQDN

The following instructions will help you change the internal/local domain names you are using to Exchange to fully qualified domains (FQDNs) that you can secure with an SSL certificate.

This procedure applies to Exchange 2007, 2010, and 2013. It should only be performed by experienced administrators. Does not apply to Windows Server 2012 or Microsoft Small Business Financials (SBF).

Why can't I use non-qualified domain names?

Since 1.11.2015 it is not possible to insert unqualified DNS names into the certificates, such as hostname, own domains or reserved (internal) IP addresses. The rule's validity and enforcement comes from the Baseline Requirements CAB Forum, which govern the conditions for issuing certificates. For more information, see the article Guidance on Internal Names.

Using internal domains like .local or .corp was common practice on Microsoft Exchange servers. However, these names cannot be secured by the certificate because the DNS authority does not include non-FQDN names in the certificate.

How to fix a problem with having to use FQDN?

The lines above indicate that it is not possible to obtain a certificate for unqualified domains and these domains may not even be DNS names in SAN certificates.

The solution to this problem is to "rename" non-qualified domains as .local to qualified domains; that is, those that are registered under one of the TLDs (whose owner is traceable in the WHOIS of that TLD).

S přejmenováním vám pomůže náš návod níže. Využít ale můžete i bezplatný nástroj od DigiCertu, který si můžete stáhnout zde. S jeho pomocí si ušetříte manuální konfiguraci a zajistíte, aby váš exchange server splňoval podmínky použití FQDN domény v použitých názvech domén.

Přejmenování použité domény

K přejmenování domény používané serverem Exchange je potřeba spustit tyto příkazy v konzoli serveru. Spusťte Exchange Management Shell a postupně zadávejte:

Změny na serveru by měli provádět pouze zkušení administrátoři. Pokud neznáte význam níže uvedených příkazů, tak je doporučujeme nezadávat. Neneseme odpovědnost za případnou nefunkčnost serveru.

Adresu pro službu Autodiscover změníte zadáním:

Set-ClientAccessServer -Identity Your_Server_Name -AutodiscoverServiceInternalUri https://mail.sslmarket.com/autodiscover/autodiscover.xml

Parametr InternalUrl pro službu EWS změníte zadáním:

Set-WebServicesVirtualDirectory -Identity "Your_Server_NameEWS (Default Web Site)" -InternalUrl https://mail.sslmarket.com/ews/exchange.asmx

Používáte-li službu Web-based Offline Address Book, tak atribut InternalUrl změníte zadáním:

Set-OABVirtualDirectory -Identity "Your_Server_Nameoab (Default Web Site)" -InternalUrl https://mail.sslmarket.com/oab

Používáte-li službu Unified Message service, tak atribut InternalUrl změníte zadáním:

Set-UMVirtualDirectory -Identity “Your_Server_Nameunifiedmessaging (Default Web Site)” -InternalUrl https://mail.sslmarket.com/unifiedmessaging/service.asmx

V závislosti na vaší konfiguraci může být potřeba zadat ještě tyto příkazy:

Set-ActiveSyncVirtualDirectory -Identity "HostNameMicrosoft-Server-ActiveSync (Default Web Site)" -InternalUrl https://mail.sslmarket.com/Microsoft-Server-ActiveSync Set-OWAVirtualDirectory -Identity "HostNameowa (Default Web Site)" -InternalUrl https://mail.sslmarket.com/owa Set-ECPVirtualDirectory -Identity "HostNameecp (Default Web Site)" -InternalUrl https://mail.sslmarket.com/ecp Set-OutlookAnywhere -Identity "HostNameRpc (Default Web Site)" -InternalHostname mail.sslmarket.com -InternalClientsRequireSsl $true

Po dokončení restartujte aplikační pooly

Po provedení změn restartuje aplikační pooly v IIS. Tuto možnost najdete v IIS a u Application Pools . klikněte pravým tlačítkem na MSExchangeAutodiscoverAppPool a zvolte Recycle

Feel free to contact our Customer Support to help you choose a certificate and ask any questions.