为什么我们需要在Exchange 2010's UCC证书中将我们的CAS服务器列为SANs？

Question

我们目前有几个CAS/集线器服务器背后的硬件平衡器。微软和Digicert告诉我们，我们可能不需要他们在我们的UCC证书中被列为SANs，因为我们不向用户公布他们的主机名。

但是，当我们试图将UCC证书应用于我们的CAS服务器，而没有将它们单独列为SAN时，我们从Outlook收到了如下错误：

有人知道什么配置或设置会导致CAS服务器主机名被公开吗？

PS:我知道我们不应该使用假TLDs。我们正在努力尽快解决这个问题。

更新(5/6/14)

我经历了大量的配置：

Get-WebServicesVirtualDirectory | Fl Identity,InternalUrl,BasicAuthenticationExternalUrl
Get-OabVirtualDirectory | Fl Identity,InternalURL,ExternalURL
Get-ActiveSyncVirtualDirectory | Fl Identity,InternalUrl,ExternalUrl
Get-OutlookAnywhere | Fl Server,ExternalHostname
Get-ClientAccessServer | Fl Server,AutoDiscoverServiceInternalURI

唯一引用我们伪造的TLD内部主机名的是最后一个。这不只是为了自动发现吗？为什么内部客户要在每次发布时引用它呢？

Answer 1

这是精心设计的。自动发现是在内部和外部进行的，它碰巧默认为内部CAS Server名称。

正如您已经知道的，您需要更改所有服务以使用外部URL作为内部URL，否则您的内部客户端将收到证书错误。