Вопрос или проблема
Я в процессе миграции с Exchange 2010 на Exchange 2016, и все идет гладко, за исключением одной проблемы, на которую я никак не могу найти ответ.
На Exchange 2010 был истекший сертификат федерации, который, конечно же, был автоматически мигрирован на Exchange 2016. Ожидаемо, оба сервера жалуются, что срок его действия истек. Однако у нас нет доверия с какой-либо другой организацией, так что разве это вообще необходимо?
Если я выполню команду Powershell,
Get-FederatedOrganizationIdentifier | Format-List AccountNamespace,Domains
Мне, кажется, ничего не выдается,
AccountNamespace :
Domains :
Я прочитал о том, чтобы удалить доверие и воссоздать его, так как я не могу продлить сертификацию после ее истечения. Если ничего другого, то просто чтобы сервер замолчал.
Этот истекший сертификат больше не будет функционировать. Вы можете спокойно его удалить.
Если какой-либо службе потребуется такой сертификат, просто выпустите новый.
Ответ или решение
Вопрос о необходимости наличия сертификата федерации в процессе миграции Exchange 2010 на Exchange 2016 требует детального рассмотрения с учетом специфики используемых функций Exchange и организационных потребностей. Для начала охарактеризуем, что собой представляет сертификат федерации и в каких ситуациях он может быть необходим.
Теория:
Сертификат федерации – это специфический SSL-сертификат, который используется для установления доверительных отношений между различными организациями в среде Microsoft Exchange. Он позволяет организациям обмениваться данными, такими как информация о занятости сотрудников или сообщение об отсутствии на месте, через границы организации. В контексте Exchange это может позволить пользователям в одной организации видеть доступность календаря или другую информацию пользователи в другой организации.
Как вы уже отметили, ваш старый сертификат федерации истек, и это вызывает предупреждения в системах Exchange 2010 и 2016. Так как ваша организация не устанавливает доверительные связи с другими организациями, вопрос, безусловно, встаёт о целесообразности наличия такого сертификата.
Пример:
Рассмотрим ситуацию на примере. В сценарии, где несколько организаций используют экземпляры Exchange для интеграции бизнес-процессов и координации межорганизационного взаимодействия, сертификат федерации становится незаменимым инструментом. Он может быть полезен, например, в случаях, когда компания сотрудничает с партнёрскими организациями, и для этого требуется постоянный обмен информацией о доступности сотрудников.
Однако если ваша организация работает обособленно и не требует доступа к данным о занятости из внешних источников, необходимость в сертификате федерации резко снижается. Собственно, подтверждает это и результат выполнения командлета Get-FederatedOrganizationIdentifier | Format-List AccountNamespace,Domains, где отсутствие значений указывает на то, что федеративное взаимодействие не настроено и не активно используется.
Применение:
Расставив приоритеты, можно сделать следующий вывод: если у вашей организации отсутствует практическая необходимость в межорганизационном обмене информацией через Exchange, вы можете спокойно удалить устаревший сертификат. Это не повлияет на работу почтовых сервисов внутри организации, поскольку их функциональность не завязана на федеративных взаимосвязях.
Процесс удаления сертификата может быть выполнен с помощью командлетов в PowerShell. Если в будущем возникнет необходимость во внедрении функций, связанных с федерацией, вы всегда сможете сгенерировать новый сертификат и настроить доверительные отношения с другой организацией.
Удаление устаревших и неиспользуемых сертификатов также является хорошей практикой управления ИТ-ресурсами, так как позволяет снизить нагрузку на систему и избежать излишних предупреждений и ошибок.
Также стоит отметить, что, если вы решите удалять сертификат, стоит проверить, не настроены ли на него какие-либо другие сервисы, хотя это маловероятно в условиях отсутствия федерации. Проверка может проводиться через интерфейс Exchange Management Console или посредством PowerShell-команд.
В целом, в условиях вашей архитектуры и без наличия настроенной федерации наличие такого сертификата не является необходимым. Вашей основной задачей в таком случае будет убедиться в том, что после удаления сертификата функции сервера работают корректно и в соответствии с вашими потребностями.