Foi o que eu fiz:
- Instalou um certificado temporário de uma CA interna no servidor Exchange, com nomes públicos como SANs (para que o TMG possa se conectar ao Exchange usando os dois nomes).
- Alterou todas as URLs externas do Exchange para usar o novo nome público.
- Registrou o novo nome público no DNS público usando um endereço IP público diferente no TMG.
- Criei uma nova regra de publicação no TMG usando o novo certificado, o novo nome público e o novo endereço IP público.
- Mantém a antiga regra de publicação com o certificado antigo, o nome público antigo e o endereço IP público antigo inalterados.
Resultado final:
- O OWA pode ser acessado usando os URLs públicos.
- Novos clientes do Outlook em Qualquer Lugar usam o serviço de Descoberta Automática e se conectam aos novos URLs públicos.
- Os clientes existentes do Outlook em Qualquer Lugar se conectam às URLs antigas (que ainda estão ativas), obtêm a nova configuração por meio da Descoberta Automática e alternam automaticamente para as novas URLs.
- A única coisa que os usuários do Outlook Anywhere veem é o Outlook pedindo que forneçam novamente a senha (porque o nome do site mudou) e solicitando permissão para que o novo serviço de Descoberta Automática altere a configuração.
Para fazer isso: após algum tempo, remova a regra de publicação antiga do TMG e instale o certificado público real no servidor Exchange, em vez do servidor temporário.