причем тут домен и имя сервера?

извне, по лучшим практикам - у вас должно быть mail.domain.ru
что у вас там внутри - вообще по барабану

по тем же лучшим практикам
спокойно делаем внутри Split DNS и идентичное имя mail.domain.ru для внутренних клиентов.

либо

в вашем случае, самым простым решением будет
сделать сервис autodiscover external
через метод SRV записи, а уже ее направить на mail.domain.msk.ru/autodiscover/autodiscover.xml
ругани на серт тогда не будет

Ну я собственно так и сделал. В зоне domain.ru сделал запись SRV _autodiscover._tcp.domain.msk.ru Или вы что-то другое имели ввиду?

Во внешнем DNS сервере естественно

Может пока не распространилось еще конечно

То есть я правильно понял, если после распространения записи SRV у меня не исчезнет проблема с прохождением тестов, то создаю splitdns зону mail.domain.ru с айпишником сервера, возвращаю в autodiscovery обратно mail.domain.ru и во всех URLах прописываю mail.domain.ru для всех сервисов  Exchange. Ну и вешаю сертификат для *.domain.ru на сервисы IIS, SMTP?

Да, конечно.
Это стандартный простейший сетап.

Ну попробуем. Подожду до завтра, дойдет запись или нет до днс майкрософтовских или нет)

Спасибо

Коллеги, привет. Правильно я понимаю, что SSO аутентификация не поддерживается в случае, если происходит перенаправление с общего имени mail.domain.ru на уникальное имя для площадки mail-msk.domain.ru ?
По уникальной ссылке mail-msk.domain.ru аутентификация прозрачная работает. Если по общему имени пытаюсь войти в ПЯ то запрашивает данные.

под. SSO мы понимаем ADFS SSO или все же обычный прозрачный ntlm ?

Сперва отрабатываю обычный (NTLM, WI), а в дальнейшем на ADFS хочу перевести. И вот пока работает только при использовании уникальной ссылки...

Народ, а измениния в сайтах AD так же как политики применяются?

раз в три минуты?

https://docs.microsoft.com/en-us/archive/blogs/kenstcyr/understanding-urgent-replication здесь ответы

Бля, написал политики, имел ввиду репликацию)

Спс)

Доброго всем утра. Подскажите пожалуйста, откуда берет данные по автодискаверу https://testconnectivity.microsoft.com/? Я проверяю ActiveSync и мне вылетает вот такая ошибка:

Анализатор Microsoft Connectivity Analyzer тестирует службу Exchange ActiveSync.
Проверка Exchange Activesync выполнена успешно.
Этапы проверки

Попытка проверки автообнаружения и Exchange Activesync (при необходимости).
Автообнаружение для Exchange Activesync успешно проверено.
Этапы проверки

Проверка каждого способа подключения к службе автообнаружения.
Проверка службы автообнаружения прошла успешно.
Этапы проверки

Попытка проверить потенциальный URL-адрес автообнаружения https://domain.ru:443/Autodiscover/Autodiscover.xmlhttps://domain.ru:443/Autodiscover/Autodiscover.xml
Не удалось выполнить проверку потенциального URL-адреса автообнаружения.
Этапы проверки

Попытка разрешить имя узла domain.ru в службе DNS.
Имя узла успешно разрешено.
Подробнее

Проверка порта TCP 443 на узле domain.ru, чтобы убедиться, что он прослушивается или открыт.
Порт успешно открыт.

Проверка SSL-сертификата на действительность.
Сертификат прошел все требования проверки.
Этапы проверки

Microsoft Connectivity Analyzer проверяет конечную точку TCP 95.213.211.252 порта 443, чтобы определить, какие протоколы SSL/TLS и комплекты шифров включены.
Определены включенные протоколы и комплекты шифров.
Подробнее

Microsoft Connectivity Analyzer пытается получить SSL-сертификат от удаленного сервера domain.ru через порт 443.
Анализатору Microsoft Connectivity Analyzer удалось получить удаленный SSL-сертификат.
Подробнее

Проверка имени сертификата.
Имя сертификата успешно проверено.
Подробнее

Сертификат проверяется на доверие.
Сертификат доверенный, и все сертификаты присутствуют в цепочке.
Этапы проверки

Microsoft Connectivity Analyzer пытается построить цепочки сертификатов для сертификата CN=*.domain.ru.
Успешно создана по меньшей мере одна цепочка сертификатов.
Подробнее

Идет проверка цепочек сертификатов на наличие проблем совместимости с системами Windows.
Тест пройден с несколькими предупреждениями. Укажите дополнительные сведения.
Подробнее

Проверка даты сертификата для подтверждения его допустимости.
Проверка даты выполнена. Срок действия сертификата не истек.
Подробнее

Попытка отправить запрос POST автообнаружения на потенциальные URL-адреса автообнаружения.
Не удалось получить параметры службы автообнаружения при отправке запроса POST в эту службу.
Этапы проверки

Анализатор Microsoft Connectivity Analyzer пытается получить XML-ответ от службы автообнаружения с URL-адреса https://domain.ru:443/Autodiscover/Autodiscover.xmlhttps://domain.ru:443/Autodiscover/Autodiscover.xml для пользователя test2010@domain.ru.
Анализатору Microsoft Connectivity Analyzer не удалось получить XML-ответ службы автообнаружения.
Подробнее
Возникло исключение веб-узла, так как был получен ответ HTTP 404 - 404 от Unknown.
Заголовки отклика HTTP:
Connection: keep-alive
Keep-Alive: timeout=60
Access-Control-Allow-Methods: GET, POST, OPTIONS
Access-Control-Allow-Headers: DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range
Content-Length: 146
Content-Type: text/html
Date: Mon, 08 Feb 2021 05:27:09 GMT
Server: nginx

Хотя у меня во внешнем ДНС  везде прописан автодискавер mail.domain.ru и как CNAME и как запись SRV... И по адресу https://mail.domain.ru:443/Autodiscover/Autodiscover.xmlhttps://mail.domain.ru:443/Autodiscover/Autodiscover.xml идет запрос пароля, а по https://domain.ru:443/Autodiscover/Autodiscover.xmlhttps://domain.ru:443/Autodiscover/Autodiscover.xml естественно ошибка.

МОжет надо еще где-то прописывать?

Ну у вас на этом же ip ещё и сайт висит?)