Acredito que consegui corrigir isso usando a edição ADSI.
Apesar de eu ter executado os comandos no artigo da KB que criei na minha pergunta, encontrei duas entradas de descoberta automática usando a edição ADSI.
- CN = exchange.example.com
- CN = servidor
Eu deletei a entrada CN=server
e tive que modificar o serviceBindingInformation property
do objeto CN=exchange.example.com
para refletir o URL externo correto.
Agora, quando eu configuro um novo perfil de troca ou abro o Outlook para um usuário existente, recebo um erro de incompatibilidade de nome de certificado. No entanto, isso é esperado, pois meu certificado ainda é o certificado autoassinado que tem apenas o nome server.example.local
. Posso ver claramente agora que os clientes internos estão procurando o nome exchange.example.com
no certificado.
Vou pedir o certificado UCC agora, com nomes de SAN corretos de exchange.example.com
e autodiscover.example.com
, que acredito que agora me deixarão com um sistema em funcionamento.
Atualizar
Eu já pedi e instalei um certificado confiável com o nome de exchange.example.com
, além de uma SAN de autodiscover.example.com
, e posso relatar que as perspectivas em qualquer lugar estão funcionando bem nos seguintes cenários
- internamente na rede corporativa
example.local
com PCs conectados ao domínio. - externamente com laptops conectados ao domínio em roaming
- externamente com dispositivos móveis (iPhones e iPads)
- externamente com PCs não conectados ao domínio.
- O OWA não apresenta mais erros de SSL.