Page 1 sur 1

Certificats et DNS pour Exchange 2016

Publié : ven. 26 janv. 2018, 11:17
par koddiek
Bonjour à tous,

Je cherche un guide sur les bonnes pratiques pour les certificats et les dns pour Exchange 2016.

Les questions que je me pose sont en vrac :

- Quels sont les avantages et inconvénients d'avoir une zone dans l'AD qui replique la zone DNS externe ?
- Est-ce que si la zone DNS externe est repliqué dans le DNS de l'AD, le certificat externe peut-il servir pour l'interne ?
- Peut-on avoir un certificat auto signé pour l'interne et une PKI externe pour les access distants sur le meme serveur Exchange ?

Rien n'est vraiment clair dans la tête, d'où ma recherche.

Merci

Re: Certificats et DNS pour Exchange 2016

Publié : mar. 30 janv. 2018, 15:25
par marrainaux
Voici une lecture qui pourrait vous donner des renseigments : https://technet.microsoft.com/fr-fr/lib ... .160).aspx

Re: Certificats et DNS pour Exchange 2016

Publié : dim. 04 févr. 2018, 9:09
par hakim75013
Bonjour,

Microsoft a publié pour Exchange 2016 l'architecture préférée; Pour résumer, depuis Exchange 2013, la simplification des namespaces est à l'honneur, ce qui permet d'avoir moins d'espace de nom, du coup une architecture simplifiée et moins de prises de tête pour les certificats ^^
Il est recommandé de faire du split dns par exemple; le nom interne et externe est donc le même.
Ex: mail.domain.fr; autodiscover.domain.fr
Attention toutefois si vous n'avez pas la zone domain.fr dans l'AD et que ce n'est pas demandé pour des raisons particulières, il est possible de faire du pinpoint dns; au lieu d'avoir la zone domain.fr vous avez les zones correspondantes à vos espace de noms.
Ex: pour autodiscover vous avez la zone autodiscover.domain.fr et comme IP la VIP de votre environnement Exchange.

Ensuite pour les certificats, si vous avez du split dns, oui vous pouvez utiliser le certificat public que vous utiliserez pour la publication externe. Vous n'aurez qu'un certificat à gérer dans ce cas la. Attention, il est important que les clients trust la CA de votre certificat public (généralement c'est le cas mais j'ai déja vu des cas où ça ne l'etait pas). Microsoft recommande pour Exchange un certificat public, mais ce n'est que de la recommandation, donc oui vous pouvez aussi avoir un certificat fourni par la PKI de votre environnement et pour la publication externe un certificat public.

Techniquement tout est possible. L'avantage premier d'avoir un du split dns et un certificat public identique est essentiellement (à mon sens) une question pratique et de facilité (dans la gestion du renouvellement du certificat par exemple...)

Merci

Re: Certificats et DNS pour Exchange 2016

Publié : dim. 04 févr. 2018, 23:15
par Timil
Salut,
Techniquement tout est possible. L'avantage premier d'avoir un du split dns et un certificat public identique est essentiellement (à mon sens) une question pratique et de facilité (dans la gestion du renouvellement du certificat par exemple...)
Je déploie des infrastructures à 100% split DNS, et nous conservons le double certificat:
Un certificat externe validé par une autorité externe pour les postes en externe, publié sur les reverse proxy et l'exchange (pour les services en ayant besoin).
Un certificat interne validé par une autorité interne pour les postes en interne, publié sur l'exchange.

Ces certificats contiennent les mêmes entrées, mais je trouve plus propre de séparer interne et externe, surtout quand on sépare avec des reverse proxy dont c'est le boulot de faire la translation de certification interne/externe.

Mais si on peut éviter d'avoir 2 noms de domaines à gérer, c'est mieux.

Re: Certificats et DNS pour Exchange 2016

Publié : lun. 05 févr. 2018, 11:54
par hakim75013
D'accord avec toi, tant que la partie réseau et publication est maitrisée par le client et ou le partenaire en charge de l'infrastructure ^^
Comme tout, il y a la recommandation Microsoft (qui pousse pour Exchange un certificat public) et les exigences du client, du métier...etc
Merci