Шаг 6. Настройка SSL-сертификата
Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи «Управление сертификатами» в разделе Разрешения потока обработки почты .
Для некоторых служб, таких как Мобильный Outlook и Exchange ActiveSync, требуется настройка сертификатов на сервере Exchange 2013. Следующие шаги описывают, как настроить SSL-сертификат от стороннего центра сертификации (ЦС):
-
Откройте центр администрирования Exchange, перейдя к URL-адресу вашего сервера клиентского доступа. Например, .
-
Введите имя пользователя и пароль в полях Домен\имя пользователя и Пароль , а затем нажмите кнопку Войти.
-
Перейдите в раздел Сертификаты серверов>. На странице Сертификаты убедитесь, что сервер клиентского доступа выбран в поле Выбор сервера, а затем щелкните Создать.
-
В мастере создания сертификата Exchange выберите параметр Создать запрос на сертификат из центра сертификации и нажмите Далее.
-
Укажите имя для этого сертификата, а затем щелкните Далее.
-
Чтобы запросить сертификат с подстановочным знаком, выберите Запросить сертификат с подстановочным знаком, а затем укажите корневой домен всех поддоменов в поле Корневой домен. Если не требуется запрашивать сертификат с подстановочным знаком, а вместо этого необходимо указать каждый домен, который нужно добавить к сертификату, оставьте эту страницу незаполненной. Нажмите кнопку Далее.
-
Щелкните Обзор и укажите сервер Exchange Server для хранения сертификата. Это должен быть сервер клиентского доступа с выходом в Интернет. Нажмите кнопку «Далее».
-
Для каждой службы в списке проверьте правильность внешних или внутренних имен сервера, которые будут использоваться пользователями для подключения к серверу Exchange. Например:
-
If you configured your internal and external URLs to be the same, Outlook Web App (when accessed from the Internet) and Outlook Web App (when accessed from the Intranet) should show owa.contoso.com. OAB (when accessed from the Internet) and OAB (when accessed from the Intranet) should show mail.contoso.com.
-
Если заданы внутренние URL-адреса формата internal.contoso.com, в Outlook Web App (при доступе через Интернет) будет показан адрес owa.contoso.com, а в Outlook Web App (при доступе через интрасеть) адрес internal.contoso.com.
Эти домены будут использоваться при создании запроса SSL-сертификата. Нажмите кнопку «Далее».
-
-
Добавьте все дополнительные домены, которые необходимо включить в SSL-сертификат.
-
Выберите домен, который будет общим именем для сертификата, а затем щелкните Установить как общее имя. Например, contoso.com. Нажмите кнопку Далее.
-
Предоставьте информацию о вашей организации. Эта информация будет включена в SSL-сертификат. Нажмите кнопку Далее.
-
Укажите сетевое расположение, где будет сохранен этот запрос сертификата. Нажмите кнопку Готово.
После сохранения запроса сертификата отправьте запрос в центр сертификации. Это может быть внутренний центр сертификации или сторонний центр сертификации в зависимости от политики организации. Клиенты, подключающиеся к серверу клиентского доступа, должны доверять центру, который вы используете. После получения сертификата из центра сертификации выполните следующие действия:
-
На страницеСертификатысервера> в EAC выберите запрос на сертификат, созданный на предыдущих шагах.
-
В области сведений о запросе сертификата щелкните Завершено в разделе Состояние.
-
На странице выполнения ожидающего запроса укажите путь к файлу SSL-сертификата и нажмите ОК.
-
Выберите новый сертификат, который вы только что добавили, и нажмите кнопку Изменить.
-
На странице сертификата щелкните Службы.
-
Выберите службы, которые необходимо назначить данному сертификату. Как минимум необходимо выбрать SMTP и IIS. Нажмите кнопку Сохранить.
-
При появлении предупреждения Перезаписать существующий SMTP-сертификат по умолчанию? нажмите кнопку Да.
Как узнать, что вы успешно добавили новые сертификаты?
Чтобы убедиться, что вы успешно добавили новый сертификат, выполните следующие действия.
-
В EAC перейдите в раздел Сертификаты серверов>.
-
Выберите новый сертификат и затем в области сведений убедитесь, что выполнены следующие условия:
-
значение параметра Состояние равно Действительный;
-
в поле Назначен службам указаны как минимум IIS и SMTP.
-
Об Exchange server
Сервер позволяет совместно работать с контактами, задачами и другими сервисами mail. Можно создать почту с собственным доменом.
У Exchange server (ES) много версий, которые выпущены в разное время. В каждую из них Microsoft добавлял новые функции. Или удалял. Например, из программы 2003 года разработчики убрали поддержку мгновенных сообщений. Далее будет рассмотрена именно эта утилита. Настройка других её версий функционально ничем не отличается. Да и можно узнать, как поднять схему Exchange 2003 до актуальной.
В программе доступна работа с голосовой почтой, факсами, мобильными устройствами. На почтовый сервер можно выйти с любого компьютера, если есть подключение к интернету. Поддержка HTTP, POP3, SMTP, LDAP, IMAP 4, MAPI.
ES может взаимодействовать с другими утилитами компании Microsoft: ActiveSync, Windows Mail и Outlook. Работа утилиты тесно связана с компонентом Active Directory (AD).
Чтобы компьютер нормально работал с этой программой, у него должны быть подходящие характеристики. Они зависят от того, какая у него будет нагрузка и какой тип подключения планируется использовать. Вот системные требования для небольших фирм:
- 64-разрядная архитектура.
- 10 Гигабайт оперативной памяти. Прибавлять по 20 Мегабайт для каждого нового пользователя.
- 30 Гигабайт свободного места в винчестере.
- 200 Мегабайт памяти на системном диске.
Подходящие характеристики для разных Exchange server указаны на официальном сайте Microsoft. В больших организациях к почтовому серверу другие требования. Там нужно несколько компьютеров.
Создание профиля сервера электронной почты
-
Выполните одно из следующих действий:
- В центре администрирования Power Platform выберите среду.
- В старом веб-клиенте в правом верхнем углу выберите , затем выберите Дополнительные параметры.
-
Выберите Параметры>Электронная почта>Профили сервера.
-
Выберите Создать>Exchange Server (гибридный).
-
Для профиля сервера электронной почты Exchange укажите следующие данные:
Поля Описание Общие сведения Имя Укажите понятное имя профиля. Описание Введите краткое описание предназначения сервера электронной почты. Автообнаружение расположения сервера Выберите Да (рекомендуется), если необходимо использовать службу автоматического обнаружения, чтобы определить расположение сервера. При выборе варианта Нет расположение сервера электронной почты необходимо указать вручную. Расположение сервера входящих и исходящих сообщений Если выбран вариант Нет в поле Автообнаружение расположения сервера, введите URL-адрес в поля Расположение сервера входящих сообщений и Расположение сервера исходящих сообщений: Учетные данные Проверка подлинности с помощью олицетворения Введите учетные данные для учетной записи службы Exchange, которой предоставлена роль ApplicationImpersonation. Имя пользователя Введите имя пользователя для учетной записи службы Exchange. Password Введите пароль для учетной записи службы Exchange. Расширенные Дополнительные параметры Обрабатывать электронную почту с Выберите дату и время. Электронная почта, полученная после этих даты и времени, будет обрабатываться синхронизацией на стороне сервера для всех почтовых ящиков, связанных с данным профилем. Если задать значение, которое предшествует текущей дате, то изменение будет применено ко всем вновь связанным почтовым ящикам, и из них будут получены ранее обработанные сообщения электронной почты. Минимальный интервал опроса в минутах Введите минимальный интервал опроса в минутах для почтовых ящиков, связанных с этим профилем сервера электронной почты. Интервал опроса определяет, насколько часто синхронизация на стороне сервера опрашивает ваши почтовые ящики на предмет новых сообщений электронной почты. Максимальное разрешенное число одновременных подключений Введите максимально допустимое число одновременных подключений от приложений Customer Engagement к соответствующему серверу электронной почты на почтовый ящик. Увеличение этого значения позволит производить больше параллельных вызовов в Exchange для повышения производительности. Уменьшите это значение, если в Exchange возникают ошибки в связи с большим числом вызовов из приложений для взаимодействия с клиентами. По умолчанию значение этого поля равно 10. Максимальное количество определяется из расчета на один почтовый ящик или на один профиль сервера электронной почты, в зависимости от того, для почтового ящика или для профиля сервера электронной почты указаны учетные данные. Переместить недоставленные сообщения электронной почты в папку «Не удается доставить» Чтобы недоставленные сообщения электронной почты перемещались в папку «Не удается доставить», выберите Да. Если при отслеживании сообщений электронной почты в приложениях на основе модели в Dynamics 365 как действий электронной почты возникнет ошибка, а этот параметр установлен в значение Да, то сообщение электронной почты перемещается в папку «Не удается доставить». Уведомления по электронной почте Отправить владельцу профиля сервера электронной почты оповещение по электронной почте о важных событиях Если требуется, чтобы владельцу профиля сервера электронной почты направлялось уведомление в случае отказа более 50% почтовых ящиков, выберите Да. -
Нажмите кнопку Сохранить.
-
Выберите Тестирование подключения и просмотрите результаты. Инструкции по диагностике проблем см. в следующем разделе.
Устранение неполадок подключения к профилю Exchange Server (гибридное развертывание)
Если после запуска команды Проверить подключение возникли проблемы с подключением к профилю Exchange Server (гибридное развертывание), используйте сведения в диалоговом окне Проверить подключение, чтобы диагностировать неполадки в подключении и устранить их.
В этом примере возникла проблема с функцией автоматического обнаружения расположения сервера. Проверьте имя пользователя и пароль, используемые в разделе Проверка подлинности с помощью олицетворения для профиля Exchange Server (гибридное развертывание).
Сведения о повторяющихся проблемах и другую информацию по устранению неполадок можно найти в разделах Блог. Проверка и включение почтовых ящиков в Microsoft Dynamics CRM 2015 и Устранение неполадок синхронизации на стороне сервера и ее мониторинг.
Иконка «Я» и справка
Иконка «Я» позволяет выйти из Центра администрирования Exchange и войти в него как другой пользователь. С В раскрывающемся меню можно выполнить следующие действия:
- Справка: щелкните для просмотра содержимого справки в Интернете.
- Отключить всплывающий элемент справки. Пузырек справки отображает контекстную справку для полей при создании или редактировании объекта. Вы можете отключить справку со справкой или включить ее, если она отключена.
- Авторские права и конфиденциальность. Щелкните ссылку на конфиденциальность или авторское право, чтобы прочитать сведения об авторских правах и конфиденциальности для Exchange 2013.
Проверка конфигурации почтовых ящиков
-
В центре администрирования Power Platform выберите среду.
-
Выберите Параметры>Электронная почта>Почтовые ящики.
-
Нажмите Активные почтовые ящики.
-
Выберите почтовые ящики, которые требуется проверить, и выберите Проверить и включить почтовые ящики.
При этом выполняется проверка конфигурации входящей и исходящей электронной почты для выбранных почтовых ящиков, после чего для них включается обработка электронной почты. Если в почтовом ящике возникает ошибка, на стене Оповещения почтового ящика отображается предупреждение, а также владелец профиля. В зависимости от причины ошибки приложения для взаимодействия с клиентами либо попытаются обработать сообщение электронной почты повторно через некоторое время, либо отключат обработку сообщений электронной почты для данного почтового ящика.
Результаты проверки конфигурации электронной почты отображаются в полях Состояние входящих сообщений электронной почты, Состояние исходящих сообщений электронной почты и Состояние встреч, контактов и задач записи почтового ящика. При успешном завершении проверки конфигурации почтового ящика также формируется оповещение. Это оповещение будет видно владельцу почтового ящика.
Совет
Если вы не можете синхронизировать контакты, встречи или задачи для почтового ящика, может потребоваться установить флажок Синхронизировать элементы с Exchange только для этой организации, даже если для Exchange задана синхронизация с другой организацией. Дополнительные сведения: Когда следует устанавливать этот флажок?
Шаг 2. Настройка параметров IMAP4 для внешних клиентов с помощью командной консоли Exchange
Чтобы настроить параметры IMAP4 для внешних клиентов, используйте следующий синтаксис:
В этом примере для внешних подключений IMAP4 настраиваются следующие параметры:
-
Полное доменное имя сервера IMAP4: mail.contoso.com
-
TCP-порт: 993 для всегда зашифрованных подключений TLS и 143 для незашифрованных подключений или оппортунистических подключений TLS (STARTTLS).
-
Внутренний IP-адрес сервера Exchange и TCP-порт для всегда зашифрованных подключений TLS: все доступные IPv4 и IPv6-адреса на сервере через порт 993 (параметр SSLBindings не используется , а значение по умолчанию — ).
-
Внутренний IP-адрес сервера Exchange и TCP-порт для незашифрованных или оппортунистических подключений TLS (STARTTLS): все доступные адреса IPv4 и IPv6 на сервере через порт 143 (мы не используем параметр UnencryptedOrTLSBindings , а значение по умолчанию — ).
-
Полное доменное имя, используемое для шифрования: mail.contoso.com. Это значение указывает сертификат, который совпадает с полным доменным именем сервера IMAP4 или содержит его.
Примечания.
-
Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-IMAPSettings.
-
Полному доменному имени внешнего сервера IMAP4 должна соответствовать запись на общедоступном DNS-сервере, а TCP-порт (143 или 993) должен быть разрешен в брандмауэре на сервере Exchange Server.
-
Сочетание методов шифрования и TCP-портов, используемых для параметра ExternalConnectionSettings , должны соответствовать соответствующим TCP-портам и методам шифрования, используемым для параметров SSLBindings или UnencryptedOrTLSBindings .
-
Хотя для IMAP4 можно использовать отдельный сертификат, рекомендуется использовать тот же сертификат, что и другие службы Exchange IIS (HTTP), который, скорее всего, является сертификатом с подстановочным знаком или сертификатом альтернативного имени субъекта (SAN) из коммерческого центра сертификации, которому автоматически доверяют все клиенты. Дополнительные сведения см. в статье .
-
Если вы используете сертификат одного субъекта или сертификат SAN, необходимо также назначить сертификат службе IMAP Exchange. Вам не нужно назначать сертификат с подстановочными знаками службе IMAP Exchange. Дополнительные сведения см. в статье Назначение сертификатов Exchange Server службам.
Как убедиться, что все работает?
Чтобы убедиться, что вы успешно настроили параметры IMAP4 для внешних клиентов, выполните приведенную ниже команду в командной консоли Exchange и проверьте параметры.
Дополнительные сведения см. в статье Get-IMAPSettings.
Предварительные условия
-
Exchange Server. Поддерживаются следующие версии: Exchange Server 2013 SP1, Exchange Server 2016 и Exchange Server 2019.
-
Проверка подлинности. Во время установки Exchange настраивает Internet Information Services (IIS). Чтобы подключить приложения для взаимодействия с клиентами к Exchange Server, необходимо включить Windows NT LAN Manager (NTLM) или базовую проверку подлинности в Exchange Server. Если настроена проверка подлинности NTLM, убедитесь, что базовая проверка подлинности отключена на сервере Exchange Server.
Дополнительные сведения о проверке подлинности см. в разделе:
- Exchange Server 2013: Проверка подлинности и веб-службы Exchange (EWS) в Exchange
- Exchange Server 2013: Настройки по умолчанию для виртуальных каталогов Exchange
- Exchange Server 2016: Настройки по умолчанию для виртуальных каталогов Exchange
- Exchange Server 2019: Настройки по умолчанию для виртуальных каталогов Exchange
-
Роль ApplicationImpersonation. Необходимо создать и настроить учетную запись службы с ролью ApplicationImpersonation в Exchange. Дополнительная информация: Олицетворение и EWS в Exchange
-
Защищенное подключение. Подключение между приложениями Customer Engagement и Exchange должно шифроваться посредством TLS/SSL и текущих комплектов шифров.
-
Веб-службы Exchange (EWS). Необходимо разрешить подключения к EWS через брандмауэр. Зачастую для внешнего подключения используется обратный прокси-сервер.
Совет
Чтобы убедиться в работоспособности подключения к Exchange (локальная версия), выполните Анализатор удаленного подключения Microsoft. О том, какие тесты запускать, см. раздел Тестирование передачи почты с помощью Анализатора удаленного подключения.
Требуемые порты см. в разделе Сетевые порты для клиентов и поток почты в Exchange.
Чтобы узнать больше о протоколах и шифрах, используемых для защиты соединения между Dynamics 365 и внешними почтовыми службами, см. раздел Комплекты шифров сервера и требования протокола TLS.
Параметры пользователя для настройки доступа по протоколу POP3 или IMAP4 к своим почтовым ящикам Exchange 2013
После включения клиентского доступа по протоколам POP3 и IMAP4 необходимо предоставить пользователям сведения, необходимые для подключения своих почтовых программ к почтовому ящику Exchange 2016.
Для подключения из корпоративной сети пользователям потребуются следующие сведения:
- Имя внутреннего сервера POP3 или IMAP4
- Номер внутреннего порта POP3 или IMAP4
- Внутренний метод шифрования POP3 или IMAP4
- Имя внутреннего SMTP (сервера исходящей почты)
- Номер порта внутреннего SMTP (сервера исходящей почты)
- Метод шифрования внутреннего SMTP (сервера исходящей почты)
Чтобы подключиться из Интернета, им потребуется следующая информация:
- Имя внешнего сервера POP3 или IMAP4
- Номер внешнего порта POP3 или IMAP4
- Внешний метод шифрования POP3 или IMAP4
- Имя внешнего SMTP(сервера исходящей почты)
- Номер порта внешнего SMTP (сервера исходящей почты)
- Метод шифрования внешнего SMTP (сервера исходящей почты)
Вы можете сделать эти параметры доступными для пользователей с помощью электронной почты или других способов общения вручную. Вы также можете настроить Exchange, чтобы пользователи могли использовать Outlook Web App для поиска собственных параметров.
Использование командной консоли Exchange для назначения разрешения Отправить от имени почтовым ящикам и группам
Параметр GrantSendOnBehalfTo используется в различных командлетах set- и group для управления разрешением Отправить от имени для почтовых ящиков и групп:
-
Set-Mailbox
-
Set-DistributionGroup: группы рассылки и группы безопасности с поддержкой почты.
-
Настроить DynamicDistributionGroup
Базовый синтаксис этих командлетов:
Параметр GrantSendOnBehalfTo имеет следующие параметры для значений делегатов:
-
Замените существующие делегаты: или
-
Добавление или удаление делегатов без влияния на других делегатов:
-
Удалить все делегаты: используйте значение .
В этом примере показывается назначение разрешения «Отправить от имени» для пользователя Александры Вороновой почтовому ящику Глеба Селезнева.
В этом примере группа [email protected] добавляется в список делегатов, имеющих разрешение Отправить от имени в общий почтовый ящик Contoso Executives.
В этом примере показывается назначение разрешения «Отправить от имени» для пользователя Валентины Александровой группе рассылки поддержки принтеров.
В этом примере удаляется разрешение «Отправить от имени», назначенное администратору динамической группы рассылки All Employees.
Как проверить, все ли получилось?
Чтобы убедиться, что вы успешно назначили или удалили разрешение Отправить от имени для делегата в почтовом ящике или группе, выполните одно из следующих действий:
-
В свойствах почтового ящика или группы в EAC убедитесь, что делегат указан или отсутствует в списке Делегирование> почтовых ящиковОтправить как или Отправитькакделегирование> группы.
-
Замените <MailboxIdentity> или <GroupIdentity> удостоверением почтового ящика или группы и выполните одну из приведенных ниже команд в командной консоли Exchange, чтобы убедиться, что делегат указан или отсутствует в списке.
-
Почтовых ящиков:
-
Группы:
-
Динамическая группа рассылки:
-
Дальнейшие действия
Дополнительные сведения о том, как представители могут использовать назначенные им разрешения для почтовых ящиков и групп, см. в следующих статьях:
Удаленные адреса соединителей получения
Удаленные адреса определяют, откуда соединитель получения принимает SMTP-подключения. По умолчанию соединители получения прослушивают подключения со всех IPv4- и IPv6-адресов (0.0.0.0-255.255.255.255 и ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). Создавая пользовательский соединитель получения, чтобы принимать почту из определенного источника, настройте его на прослушивание подключений только от определенного IP-адреса или диапазона адресов.
Допустимо пересечение диапазонов удаленных IP-адресов для нескольких соединителей получения на сервере при условии, что такое пересечение является полным. Когда диапазоны удаленных IP-адресов пересекаются, используется тот диапазон, который содержит наиболее точное совпадение с IP-адресом подключающегося сервера.
Например, рассмотрим следующие соединители получения во внешней службе транспорта на сервере Exchange01:
-
Имя соединителя: клиентский интерфейс Exchange01
-
Привязки сетевых адаптеров: все доступные IPv4 через порт 25.
-
Параметры удаленной сети: 0.0.0.0-255.255.255.255.255
-
-
Имя соединителя: Настраиваемый соединитель A
-
Привязки сетевых адаптеров: все доступные IPv4 через порт 25.
-
Параметры удаленной сети: 192.168.1.0-192.168.1.255
-
-
Имя соединителя: Пользовательский соединитель B
-
Привязки сетевых адаптеров: все доступные IPv4 через порт 25.
-
Параметры удаленной сети: 192.168.1.75
-
SMTP-подключения с адреса 192.168.1.75 принимает «Пользовательский соединитель Б», так как его совпадение с IP-адресом наиболее точное.
SMTP-подключения с адреса 192.168.1.100 принимает «Пользовательский соединитель А», так как его совпадение с IP-адресом наиболее точное.
В Центре администрирования Exchange вы можете настроить удаленные IP-адреса в поле Настройки удаленной сети мастера создания соединителя получения или на вкладке Определение области в свойствах имеющихся соединителей получения. В командной консоли Exchange параметр RemoteIPRanges используется в командлетах New-ReceiveConnector и Set-ReceiveConnector .
Общие параметры конфигурации
В большинстве клиентских программ с поддержкой протоколов POP3 и IMAP4 можно задать три такие параметра:
- Отправлять и получать сообщения при каждом запуске почтового приложения. При использовании этого параметра почта отправляется и получается только при запуске приложения электронной почты.
- Отправлять и получать сообщения вручную. При использовании этого параметра сообщения отправляются и получаются только тогда, когда пользователь щелкает параметр «отправить и получить» в пользовательском интерфейсе клиента.
- Отправлять и получать сообщения каждые заданные минуты. Когда пользователь задает этот параметр, клиентское приложение подключается к серверу каждые заданные минуты для отправки сообщений и скачивания новых сообщений.
Сведения о настройке этих параметров для используемого почтового приложения см. в справочной документации по соответствующему почтовому приложению.
Подключение Outlook
- Вот как подключить Outlook к серверу Exchange:
- Зайдите в Панель управления.
- Откройте меню «Почта» в разделе «Учётные записи и безопасность».
- Кнопка «Учётные записи».
- Нажмите «Создать».
- Выберите службу и кликните «Далее».
- Опция «Параметры вручную».
- Отметьте пункт к ES.
- В поле «Сервер» введите exchange..
- В «Имя пользователя» напишите логин.
- Отметьте пункт «Использовать кэширование», если собираетесь заходить в почту с мобильных устройств.
- В открывшемся окне поставьте точку в «Автоматически определять состояние».
- Перейдите на вкладку «Подключение».
- Поставьте метку «По протоколу HTTP».
- Нажмите кнопку «Прокси-сервер».
- В поле «Адрес URL» напишите exchange..
- В списке «Способ проверки подлинности» выберите «Проверка NTLM».
- Нажмите «OK».
Создать подключение невозможно, если работает Outlook. Перед настройкой надо закрыть эту программу и завершить связанные с ней процессы.