La respuesta es como en muchas otras ocasiones, “depende”.
Depende de si tengo multiples sitios con Exchange, de la cantidad de dominios SMTP que soporte y si existen usuarios utilizando SMTP primarios de estos distintos dominios.
Adicionalmente esto puede variar en función al mecanismo utilizado para el servicio de Autodiscover.
Si tengo varios servidores con el rol de CAS voy a querer incluir en el certificado el nombre “balanceado” que redireccione el tráfico HTTPS, POP o IMAP a uno u otro (sea por utilizar Round Robin con DNS o una VIP si utilizo NLB, HLB o similar).
Este caso se da usualmente cuando requiero alta disponibilidad. Incluso con un único servidor esto sería una buena práctica. /* En este caso VIP hace referencia a una dirección IP virtual, NLB a balancear la carga mediante el servicio de Windows Load Balancing y HLB a balanceador por hardware, usualmente este último costoso para pequeñas o mediana empresas. En adición existen virtual appliances a un costo muy accesible*/
A continuación vamos a ver algunos de los escenarios más comunes.
Escenario A
Organización con un único servidor de Exchange con los roles de una instalación típica:
Datos:
- FQDN de la zona DNS del dominio interno: contoso.local
- FQDN de la zona DNS externa: contoso.com
- FQDN del servidor: mail01.contoso.local
- URL externa de autodiscover: autodiscover.contoso.com
- URL de servicios web (externo): Webmail.contoso.com
- URL de servicios web (interno): Mail01.contoso.local
- Dominio SMTP primario de los usuarios: contoso.com
Nombres a incluir en el certificado:
- Webmail.contoso.com
- Autodiscover.contoso.com
- Mail01.contoso.local
Si bien este escenario es bastante común en pequeñas empresas, se debe tener en cuenta que no es recomendado utilizar nombres internos en un certificado público, de hecho en un tiempo esto ya no se podrá hacer. Una de las alternativas podría ser utilizar un Split DNS o múltiples certificados, uno emitido por una CA interna y para los nombres accesibles desde internet otro por una CA externa. Hay que tener en cuenta que a mayor cantidad de certificados, mayor cantidad de sitios web, mayor complejidad de administración,etc.
Adicionalmente no se recomienda utilizar los mismos FQDNs para el servidor de acceso de clientes RPC (RPC Client Access) y los servicios web (en este caso mail01.contoso.local). Entre otras cosas esto puede derivar en problemas al migrar a Exchange 2013.
Siguiente Página 1 de 2Facebook0LinkedIn0Google+0Twitter0 try { _402_Show(); } catch(e) {}