raytracy先進您好!

感謝您的回應! 聽到您的認同，我安心許多。

我還有另外一個問題在別的討論串，也可以請您看一下嗎?
http://ithelp.ithome.com.tw/question/10065602?#ooa_hash

感謝您!

您那個問題很複雜, 牽涉: OWA, ISA, DNS 三者之間的問題, 因資訊不足, 無法判斷.

先釐清:

1. 憑證過期, 不會造成 OWA 無法登入, 頂多警告. 故此問題與憑證本身關係不大.
2. ISA 上面有沒有安裝 Exchange 憑證?(ISA 可以用自己的憑證, 也可以用別人的憑證) ISA 若發現本身使用的憑證是無效的話, 確實會擋掉 SSL 通訊, 而您的錯誤訊息是由 ISA 所發出來的, 更加深這個可能性. 但我不熟 ISA 2006 以前的版本, 無法提供建議.
3. 您用 telnet port 443 的方式去測試 ISA 結果並不準, 因為 ISA 擋無效憑證的動作, 是在交換憑證的時候才開始擋, 而您只是 telnet 進去, 還沒有開始交換憑證, 不會觸發 ISA 的動作, 所以看起來好像都會通.
4. DNS 的查詢結果看起來很混亂, 請先確認公司自管的內部及外部 DNS Server 設定內容都正確, 再去調查為何別人的 DNS 會問不到結果?

raytracy先進您好!

我之前有注意過憑證失效的問題，不過當初我以為內網能通，那憑證失效應該也沒關係，今天聽您說才知道有可能是ISA的問題。

不過我剛剛仔細看了一下，憑證一共有兩個：
內網用https://AAA/exchange 是使用憑證A，主體別名有AAA名稱在裡頭
外網用https://owa.bbb.com.tw/exchange 是使用憑證B，發給的主體只有owa.bbb.com.tw這個名稱

而上面這兩個憑證都是在2011年1月底一樣的時間失效的，因為我是去年也就是2010年11月中旬才剛來我們公司上班，據說在這之前OWA外部的服務就壞掉了。

可是照您所說的，現在看來又比較可能是ISA的問題沒有錯，總之我會先試著去把憑證重發看看，謝謝!

另外關於內外部DNS的設定，這部分我不太了解，請問內部和外部DNS設定有相關性嗎?

內部是供內部網路查詢，對內部來說只要能解析出AAA的內部IP就好?
外部是供外部網路的查詢，對外部來說要能知道owa.bbb.com.tw是哪一台主機?
可是好像在DNS Server上的這些設定都是放在一起的，沒有錯吧?

感謝您!

conandexter提到：
內部是供內部網路查詢，對內部來說只要能解析出AAA的內部IP就好?
外部是供外部網路的查詢，對外部來說要能知道owa.bbb.com.tw是哪一台主機?
可是好像在DNS Server上的這些設定都是放在一起的，沒有錯吧?

前兩句話是對的, 但最後一句話則有待討論...

通常我會建兩台 DNS Server, 一台專門給外面查詢用, 一台專門給內部查詢用.
如果您只用一台來解決, 或許也可以, 但此時就要小心, 不知您在 DNS 中的 NS 紀錄是如何設定? 是給內部 IP? 還是外部 IP?

raytracy先進您好!

謝謝您!

我似乎只有一台DNS Server，裡頭的設定是長這樣：

<pre class="c" name="code">
名稱	類型	資料
(和父系資料夾相同)	啟動授權 (SOA)	[22], AAA.bbb.local., hostmaster.bbb.local.
(和父系資料夾相同)	名稱伺服器 (NS)	AAA.bbb.local.
(和父系資料夾相同)	名稱伺服器 (NS)	bbb.com.tw.
(和父系資料夾相同)	名稱伺服器 (NS)	bbb.local.
(和父系資料夾相同)	主機 (A)	123.123.123.123
(和父系資料夾相同)	郵件交換程式 (MX)	[10]  bbb.com.tw.
www	別名 (CNAME)	AAA.bbb.local.

其中的123.123.123.123是外部IP沒有錯，不知道是不是您所說的部分?

感謝您!

補充一下!

我到命令提示字元那裡使用nslookup查詢結果如下：
這是查詢bbb.com.tw的結果

<pre class="c" name="code">
Default Server:  AAA.bbb.local
Address:  192.168.0.1

> set type=ns
> bbb.com.tw
Server:  AAA.bbb.local
Address:  192.168.0.1

bbb.com.tw   nameserver = AAA.bbb.local
bbb.com.tw   nameserver = bbb.com.tw
bbb.com.tw   nameserver = bbb.local
AAA.bbb.local        internet address = 192.168.0.1
AAA.bbb.local        internet address = 123.123.123.123
bbb.com.tw   internet address = 123.123.123.123
bbb.local    internet address = 192.168.0.1

但是查詢AAA.bbb.com.tw查不到，不知道當初建立的人為什麼沒有加AAA這台主機上去，因為之前是用https://AAA.bbb.com.tw/exchange這個網址來連OWA的。

至於之前都能正常使用，那麼表示不設定也可以?

感謝您!

# (和父系資料夾相同) 名稱伺服器 (NS) AAA.bbb.local.

(和父系資料夾相同) 名稱伺服器 (NS) bbb.com.tw.

(和父系資料夾相同) 名稱伺服器 (NS) bbb.local.

這裡會有一些問題:

由於 NS 宣告包含了 .local 的 FQDN (從您的 nslookup 查詢也證實), 因此外界的 DNS Server, 有可能拿這三台來當作 Authoritative DNS. 但實際上, bbb.local 會解析出 Private IP, 外界無法拿來查詢, 而 aaa.bbb.local 則同時解析出 Private 和 Public IP, 外界可能有一半的機會, 無法查到正確的 DNS.

此時當外界要來取得 DNS 資料時, 會有幾種狀況:

1. 外界的 DNS 拿到 Public 的 IP, 此時查詢很順利, 沒有問題
2. 外界的 DNS 拿到 Private 的 IP, 不幸的是, 這個 IP 剛好跟該組織的內部網路相同, 也正好有一台 DNS 在相同 IP 服務該組織, 於是該組織的人, 所查詢到的 IP, 其實是變成由該組織內部的 DNS 所提供, 此時便無法預料實際的結果.
3. 外界的 DNS 拿到 Private 的 IP, 該 Server 因無法聯繫到該 IP, 故放棄這個查詢, 重新詢問 NS, 直到拿到 Public IP 為止, 才進行正確的查詢.
4. 外界的 DNS 拿到 Private 的 IP, 但該 Server 因有 Cache 機制, 不會自動重查 NS 的 IP, 於是就卡在這個 IP 上, 直到 Cache Time out 之後, 才有機會重新尋找 NS.

正確的作法, 應該是只給外面 Public IP 的 NS 宣告, 但是因為您這台 DNS 也同時給內部使用, 所以如果把 .local NS 標定成 Public IP, 反而會造成內部網域的用戶出問題 (找不到 DC, 無法登入).

如果您把 .local 的 NS 直接刪掉, 此時因為您的 DNS 是 AD 整合模式, 系統過一段時間, 還是會自己把 .local NS 加上去. 這些問題, 只用一台 DNS 是很難得到兩邊都滿意的解決方式.

而上面這些問題, 都有可能造成外面的 browser 無法正確解析到 OWA 網址.

這就是為何我們需要把 DNS Server 拆成兩台的主因.

raytracy先進您好!

謝謝您!

所以說，通常會設定一個對外的FQDN比如像我用的AAA.bbb.com.tw給OWA使用(https://AAA.bbb.com.tw/exchange)，所以也有可能會因為DNS的關係，就算我直接使用外部IP(https://123.123.123.123/exchange)也會對應不到提供OWA服務的主機這樣嗎?

那麼我該如何著手把現在的DNS拆成兩台呢?

把目前與AD整合的的DNS server中的bbb.com.tw的NS刪掉，就讓它單純供內部查詢用，然後另外建立一個DNS Server設定bbb.com.tw這個區域，來當給外部查詢用的Server這樣嗎? 還有什麼要注意的?

另外，ISA的部分是不是就不是造成OWA對外不通的真正原因了嗎?

感謝您!

raytracy先進您好!

另外請教您一個跟原本開串題目比較有關的內容。

就是可不可能讓一個使用者用同一個信箱收兩種Email Domain的信?
而且還能讓使用者自己隨時任意選擇要用哪一種Email Domain寄信?

感謝您!

補充一下：

還有一件事情要跟您確認，就是在：
1.新增公認的網域
2.新增電子郵件原則，且套用
3.Email Domain去跟中華電信申請改IP
這三個步驟之後，應該還有
4.修改DNS的MX記錄

對吧?

感謝您!

conandexter提到：
所以說，通常會設定一個對外的FQDN比如像我用的AAA.bbb.com.tw給OWA使用(https://AAA.bbb.com.tw/exchange)，所以也有可能會因為DNS的關係，就算我直接使用外部IP(https://123.123.123.123/exchange)也...(恕刪)

不一定, 要看狀況.

1. 如果你的 OWA 在 IIS 裡面, 是採用 Name-based Virtual Host 的方式來建站的話, 那用 IP 就會看不到, 一定要打 FQDN. 通常如果沒有自己去修改 IIS, 是讓 Exchange 自己建出 OWA 的話, 一般都會用 IP-based Virtual Host, 所以可以用 IP 來連. 但如果這個 IIS 又兼有其他任務的話, 很可能會被管理人員改成用 Name-based Virtual Host 方式, 要看公司的管理.

2. 即使你的 OWA 本身是採用 IP-based Virtual Host, 但是經由 ISA Server 發佈出去的時候, ISA 又會再改一次組態. 而通常 ISA 的預設是採用 Name-based Virutal Host (除非你自己把公用名稱改成用「*」才會有類似 IP-based 的效果), 此時外界就一定要用 FQDN 才能連到 OWA.

conandexter提到：
把目前與AD整合的的DNS server中的bbb.com.tw的NS刪掉，就讓它單純供內部查詢用，然後另外建立一個DNS Server設定bbb.com.tw這個區域，來當給外部查詢用的Server這樣嗎? 還有什麼要注意的?

你可以用同一台 DNS Server 就解決掉...

DNS Server 裡面, 原來的 bbb.local 維持在「整合 AD」的類型, 但是外界用的 bbb.com.tw 則把類型修改成「主要區」, 如下圖, 這是對內的 AD Integrated Zone:

這是對外的 Primary Zone:

兩者可以並存在同一台 DNS Server 裡面.

前面我說要架兩台, 是因為我的內部和外部, 都使用相同的 xxx.com.tw 這個網域, 無法並存在同一台上面, 所以拆成兩台. 但是您的內部和外部不同, 用同一台就可以解決了.

conandexter提到：
另外，ISA的部分是不是就不是造成OWA對外不通的真正原因了嗎?

不敢這麼肯定的說, 但是 ISA 的嫌疑很大...

conandexter提到：
就是可不可能讓一個使用者用同一個信箱收兩種Email Domain的信?

這個沒有問題, 在電子郵件地址那邊, 多設一個別名, 然後在公認網域那邊加入另一個網域, 這樣就可以同時收到兩個不同網域的信件. 但是發信時會一律用第一個主帳號.

conandexter提到：

而且還能讓使用者自己隨時任意選擇要用哪一種Email Domain寄信?

這個, 用標準的設定方法做不到. 但是你可以變通一下:

先按正常作業, Outlook 的 Exchange 帳號, 設定成跟主要的登入帳號一樣, 並用這個當作主帳號.

接下來, 先設定 Exchange 可以讓內部的使用者, 以 SMTP 的方式透過 Exchange 發信出去.
然後在 Outlook 新增第二個帳號, 但是選用 POP3 的類型來設定帳號, 且設定的內容有些變動:

1. 帳號名稱和回信地址, 都填入第二個帳號的資料
2. SMTP/POP3 登入的帳號資料, 必須填入用來登入 AD 的帳號(也就是第一個帳號)
3. 在傳送/接收的群組中, 將這個帳號的「接收」功能關掉, 不要讓它接收任何信件

現在, 這個用戶在發信的時候, 發信者的地方, 就可以拉下來選兩種不同的名稱來使用.
回信的時候, Outlook 會根據對方所寫的郵件地址, 自動決定回信時要選用哪一個帳號.

而信件的流程則會這樣跑:

1. 主要帳號收發都透過 Exchange 帳號
2. 第二帳號收進來的時候, 會自動歸入 Exchange 主帳號內
3. 第二帳號發信的時候, 是另外走 SMTP 發信出去.

raytracy先進您好!

真不好意思隔了那麼久才有最新進度，我為了能聽得懂您所說的話，做了一些研究，很幸運的我找到這一篇教學「Publishing Exchange 2003 Outlook Web Access (OWA) with ISA Server 2000」：http://www.isaserver.org/tutorials/pubowa2003toc.html

而剛好小弟的系統就是Exchange 2003再加上ISA 2000，真是太棒了!

仔細研究後再對照我目前的系統，我確認了一些事情：
1.AAA這台主機上的憑證授權單位不見了，不確定是否從來沒安裝過，憑證有可能是別台發的嗎? 所以我要重新安裝憑證授權單位，然後重發憑證對嗎?

2.有兩個憑證，一個叫「publishing.bbb.local」，另一個叫「AAA.bbb.com.tw」，前者應該是只給內部使用的，後者也就是外部user所使用來連OWA的FQDN。

3.ISA Server的確有使用「AAA.bbb.com.tw」這個憑證：
ISA→AAA→Policy Elements→Destination Sets與
ISA→AAA→Publishing→Web Publishing Rules兩邊針對OWA的設定也都沒有錯，
只是Rules這邊除了OWA還有其他人，而且似乎是有先後次序的，請問這裡會有影響嗎? 因為我的OWA排在到處第2位。

4.我的ISA→AAA→Publishing→Web Publishing Rules→OWA Web Site的內容中
→Action這欄裡面沒有「Allow delegation of basic authentic credentials」可以給我打勾，這是我參考上面的資料裡面part5的第7點，資料裡面是要我打勾的。

5.我的DNS的確怪怪的，bbb.local區域和bbb.com.tw兩個區域都是設定為AD整合模式，但是我要將bbb.com.tw改為主要區域，按了沒反應，請問為什麼會這樣呢?

感謝您!

另外還有一件事情，我找到的資料裡頭有提到，照著他所說的一步一步的做完(還沒包含DNS的部分)，就能讓OWA外部user來使用，但是內部的使用者如果要連，則會一樣先跑去ISA的介面，然後在連進來，他有提到這樣很浪費資源，我想他是指內部user一樣使用http://AAA.bbb.com.tw/exchange來連的時候吧?

所以他教了Split DNS的做法，也就是您說的把內部和外部的DNS分開設定。

另外一個做法，他說只要把c:\WINDOWS\system32\drivers\etc裡頭的hosts檔案最底下加上一行，如圖：

以我的情況就是加上「192.168.0.1 AAA.bbb.com.tw」這一行對吧?

這是等於在內部跟自己講AAA.bbb.com.tw對應到哪個內部IP嗎?

感謝您!

conandexter提到：
1.AAA這台主機上的憑證授權單位不見了，不確定是否從來沒安裝過，憑證有可能是別台發的嗎? 所以我要重新安裝憑證授權單位，然後重發憑證對嗎?

2.有兩個憑證，一個叫「publishing.bbb.local」，另一個叫「AAA.bbb.com.tw」，前者應該是只給內部使用...(恕刪)

這樣必須要重新安裝 Root CA, 並重發憑證. 這樣看來, 當初無法登入的原因就很清楚了: 應該是 ISA 找不到 Root CA 所致....

conandexter提到：
只是Rules這邊除了OWA還有其他人，而且似乎是有先後次序的，請問這裡會有影響嗎? 因為我的OWA排在到處第2位。

我不熟 ISA 2000, 但我認為應該沒有影響. 如果以前也是這樣做的話, 沒有道理會改變...

conandexter提到：
「Allow delegation of basic authentic credentials」可以給我打勾，這是我參考上面的資料裡面part5的第7點，資料裡面是要我打勾的。

這個就奇怪了, 這裡確實應該要打勾的....
我用 TMG 2010 的觀念來解釋, 您可能要自己找找看 ISA 2000 相對應的選項...

TMG 在接聽 HTTP 認證要求時, 有三種選擇可以選: 不驗證, 使用表單驗證, 使用 HTTP 驗證. 必須要選擇「 HTTP 驗證」之後, 才可再選是要用: 基本驗證, 還是 NTLM. 而這個「基本驗證」, 就是您上面所說的那個選項.

所以, 前提是: 您的 ISA 允許使用者傳送 HTTP 驗證, 之後您才可以勾選那個選項.

由於您提到還有其他的 Web 也共用同一個 Publish Rule, 我懷疑是否有其他的網頁必須使用其他的驗證, 導致這個選項被關閉?

conandexter提到：

5.我的DNS的確怪怪的，bbb.local區域和bbb.com.tw兩個區域都是設定為AD整合模式，但是我要將bbb.com.tw改為主要區域，按了沒反應，請問為什麼會這樣呢?

你的 Microsoft Domain 是用哪一個? 若是用 bbb.com.tw 那他就不能變更....

conandexter提到：
以我的情況就是加上「192.168.0.1 AAA.bbb.com.tw」這一行對吧?

這是等於在內部跟自己講AAA.bbb.com.tw對應到哪個內部IP嗎?

對, 這也是一種解法, 缺點是: 您必須到每一台電腦上面去設定, 而且將來如果有變更時, 也必須記得去改每一台電腦.....

但您前面有提到: publishing.bbb.local, 內部用戶應該可以用這個 FQDN 來上..

raytracy先進您好!

您說的這句小弟不是很了解：

由於您提到還有其他的 Web 也共用同一個 Publish Rule, 我懷疑是否有其他的網頁必須使用其他的驗證, 導致這個選項被關閉?

可以的話麻煩您先看一下這兩份資料，就是我上面提到的教學。
Part4：http://isaserver.org/tutorials/pubowa2003part4.html
Part5：http://isaserver.org/articles/pubowa2003part5.html
在資料中的Part 4,Step10與Part 5,Step 11，這裡各別是ISA Server中Destination Set和Publishing Rule的設定方法。

我的理解是前者設定好目的網址的FQDN後，在後者則是可以設定要給使用者如何來使用這個網頁(http還是SSL等)。

至於資料中有說到在Destination Set設定時，AAA.bbb.com.tw後面接的三筆：
/exchange
/exchweb
/public
這些都是連OWA的網址沒有錯，我也不懂為什麼要有三個?

不知道您說的共用是不是就是這三個?

感謝您!

raytracy先進您好!

今天我把新的憑證授權單位、Root CA給裝起來了，然後在IIS重新申請了憑證，主體別名就叫「AAA.bbb.com.tw」，然後也將這個憑證匯出，匯入到本機之後(總之我只有一台AAA主機)，再讓ISA Server這邊去使用這個憑證(Part4,Step 9)，全部都按照上面的資料設定好了。

但是就差這個：

(這張圖在Part5,Step 11,第7項)

圖中框起來的部分就是上面您說應該要勾的部分，但是我看到的這個畫面，那地方是一片空白。

而且我看過其他的Rule在同樣的地方也是空白。

看來好像只要這個能勾起來就能動了，雖然現在高興太早了。

感謝您!

raytracy先進您好!

我今天早上又埋首研究，我的ISA版本是ISA Server 2000 SP2，跟資料裡面所使用的SP1版本不同。

或許上面這個選項可能已經在SP2中改成預設勾選了，所以才沒顯示出來。

以上純屬我的猜測~

不過這樣一來應該不會不通才對，不過我有發現到一個地方，就是下圖：

這張圖就是設定後的Web Publishing Rule的內容，其中這個網址以我為例的話應該是設定成「AAA.bbb.com.tw」。

但是我沒辦法用瀏覽(Brose)來選取「AAA.bbb.com.tw」，這個名稱在我的內部網路是解析不到的，在我變更前，這裡的設定就是「publishing.bbb.local」。

所以我在想如果「publishing.bbb.local」在以前能通，那麼就表示這裡的確是要設成內部找的到的位址，似乎這裡的位址跟憑證上所使用的主體名稱就沒有關係了。

不論如何，我想就先維持原樣，但是在c:\WINDOWS\system32\drivers\etc裡頭的hosts檔案中，我想就先加入「192.168.0.1 AAA.bbb.com.tw」這行，先讓ISA自己找的到「AAA.bbb.com.tw」對應的主機，這樣應該可行吧?

另外我對憑證的概念也很亂，目前我就只有在IIS申請新增「AAA.bbb.com.tw」這份新的憑證而已，沒有再另外申請一個「publishing.bbb.local」，好像也不能同時使用兩份憑證，對嗎?

感謝您!