Autodiscover con múltiples dominios SMTP (Parte 1)
Empiezo mi blog con un post sobre Autodiscover en Exchange 2007/2010/2013. Quizá los administradores mas jóvenes no lo hayan conocido, pero antes había que configurar a mano cada Outlook, así que el Autodiscover fue todo un inventazo!!
El proceso de Autodiscover se puede dar en dos escenarios diferentes:
- Cuando el cliente Outlook tiene conectividad con el domain controller. Esto es habitual cuando el cliente esta en la red local de su empresa.
- Cuando el cliente Outlook NO tiene conectividad con el domain controller. Esta situación se produce cuando el cliente esta conectado a Internet y pretende hacer su conexión por Outlook Anywhere. A partir de ahora este tipo de Autodiscover lo llamaremos “Autodiscover externo”
En este post nos vamos a centrar en el Autodiscover externo. ¿Por qué? Pues porque en ese proceso, Outlook forma un URL con la dirección SMTP del correo del usuario. De ahí que la cosas se complique un poco si nuestro servidor de Exchange maneja usuarios con diferentes dominiosSMTP.
Nota: No voy a entrar en detalles sobre como funciona autodiscover, pero si queréis verlo paso a paso, os recomiendo que reviséis este artículo: https://technet.microsoft.com/en-us/library/bb124251(v=exchg.141).aspx |
Veamos el siguiente ejemplo:
Somos los administradores de Contoso.com el cual tiene desplegado un Exchange 2007/2010/2013 (elige el que mas te guste ya que funciona igual en las tres versiones).
Dentro de nuestro Exchange tenemos el buzón del usuario UserA, que tiene esta dirección de correo: UserA@contoso.com.
Supongamos que configuramos todos los prerrequisitos para que el autodiscover externo funcione con el dominio Contoso.com. Cuando el usuario intente auto-configurar su Outlook desde el exterior, ocurrirá lo siguiente:
- El usuario A pondrá en Outlook su dirección de correo: UserA@contoso.com y su password.
- El cliente Outlook intentara acceder a https://autodiscover.contoso.com/autodiscover/autodiscover.xml o a https://contoso.com/autdiscover/autodiscover.XML
- El usuario conectara a dicha URL, la cual está redirigida hasta nuestros servidores de CAS donde se encontrara con el certificado asignado al servicio IIS. Dicho certificado suele ser un certificado de tipo SAN (Subject Alternative Name), y dentro de los nombres para los que esta emitido se encontrará autodiscover.contoso.com.
- Dado que el certificado es valido, el proceso de autodiscover funcionará correctamente y el usuario conseguirá tener su Outlook completamente configurado.
Ahora imaginemos que esta empresa compra a otra compañía que usa el dominio SMTP @NorthWindTraders.com y nuestro Exchange se hará cargo de los buzones de dicha compañía. Por supuesto eso implicaría una migración, o creación de buzones nuevos en nuestro Exchange… pero eso es otra historia…
Creamos un nuevo buzón para el Usuario B el cual trabaja para NortWindTraders, por lo tanto le asignamos una dirección SMTP de su dominio: UserB@NorthWindTraders.com
Cuando este usuario intente autoconfigurar su cliente Outlook desde el exterior, ocurrirá lo siguiente:
- El usuario B pondrá en Outlook su dirección de correo: UserB@NortWindTraders.com y su password.
- El cliente Outlook intentara acceder a https://autodiscoverNorthWindTraders.com/autodiscover/autodiscover.xml o a https://NorthWindTraders.com/autdiscover/autodiscover.XML
- En este punto el proceso fallará, ya que de momento no hemos configurado el autodiscover para que funcione correctamente con el nuevo dominio SMTP NorthWindTraders.com.
A partir de aquí comienza lo divertido: ¿Cómo podemos hacer que funciones el Autodiscover externo para usuarios con diferentes direcciones SMTP? ¿Es posible hacerlo?
Pues si, es posible y tenemos varias opciones. Todas implican cierta configuración (unas más que otras) pero lo realmente importante es el certificado SSL. En esta table puedes ver todas las opciones y las ventajas e incovenientes que tienen cada una de ellas.
Método | Ventajas | Inconvenientes |
Conservar el cerificado SSL que tenemos y crear registros SRV para los dominios SMTP adicionales | Configuración sencilla, solo requiere un website en IIS, una IP pública y se puede mantener el certificado que ya tenemos emitido | - No todos los servidores DNS aceptan registros SRV. - Outlook muestra un pop-up indicando una redireccion. Este pop-up se puede marcar para que no vuelva a aparecer. - Para Outlook 2007 ser requiere la instalación de un hotfix. |
Pedir un nuevo certificado SAN que acepte multiples dominios DNS | Configuración sencilla solo require un website en IIS y una IP pública | Hay que pedir un Nuevo certificado SAN que, dependiendo del numero de dominios SMTP adicionales, puede ser muy caro. |
Usar dos cetificados, uno diferente para cada dominio | No se incrementa el coste ya que cada empresa cuenta con su certificado SSL emitido para autodiscover(aunque no siempre) | La configuración de Exchange es más compleja: Requiere dos websites en IIS y dos IPs públicas. |
Usar solo un certificado | Solo requiere el certificado que ya tenemos emitido por lo tanto no hay coste extra en certificados | - La configuración de Exchange es más compleja: Requiere dos websites en IIS y dos IPs públicas. - Outlook muestra un pop-up indicando una redireccion. Este pop-up se puede marcar para que no vuelva a aparecer. |
Ahora que ya sabemos que opciones tenemos, en los próximos posts veremos como configurar cada una de ellas paso a paso.