Differences

This shows you the differences between two versions of the page.

--- download_domains [2025/06/18 08:23] – jp
+++ download_domains [2025/06/18 08:53] (current) – jp
@@ Line 1: / Line 1: @@
 ===== Download Domains =====
-Для закрытия //CVE-2021–1730// и других похожих уязвимостей, которые могут быть проэксплуатированы для CSRF-атак - Microsoft и [[скрипт Exchange HealthChecker]]\\ - рекомендуют настроить использование отдельного доменного имени для загрузки вложений.
+Для закрытия //CVE-2021–1730// и других похожих уязвимостей, которые могут быть проэксплуатированы для CSRF-атак - //Microsoft// и [[скрипт Exchange HealthChecker]]\\ - рекомендуют настроить использование отдельного доменного имени для загрузки вложений через //OWA//.
-В html-отчёте сприкта это будет выглядеть так:
+В html-отчёте упомянутого скрипта это будет выглядеть так:
 ;#;
@@ Line 20: / Line 20: @@
 <code>
 Name	        Type	        Value
-download	Alias (CNAME)	mail.arasaka.local
+download.exch1	Alias (CNAME)	exch1.arasaka.local
 </code>
 </WRAP>
-:!: Для работы //download domains// требуется, чтобы SSL-сертификат содержал данное CNAME-имя.
+:!: Для работы //download domains// требуется, чтобы SSL-сертификат содержал данное //CNAME//-имя.
-Однако, если у нас есть wildcard-сертификат для //arasaka.local// - запись download.mail.arasaka.local
+Если у нас есть wildcard-сертификат для //arasaka.local// - запись //download.exch1.arasaka.local// не будет валидной, т.к. wildcard-сертификат //*.arasaka.local// не покрывает домены следующего уровня.
+В данном случае нам ничего не мешает сделать следующую запись (замена сертификата не потребуется).
+<WRAP prewrap>
+<code>
+Name	        Type	        Value
+download  	Alias (CNAME)	exch1.arasaka.local
+</code>
+</WRAP>
+В DNS //Active Directory// нужная запись будет выглядеть так:
+;#;
+{{::download_dom_arasaka_cname_rec.jpg|}}
+;#;
+Проверить создание записи можно следующим образом:
+   Resolve-DnsName -type CNAME download.arasaka.local
+После того, как в DNS распространились записи - необходимо задать настройки внешних и внутренних URL для виртуальных директорий //OWA// ВСЕХ серверов //Exchange//, к которым предполагается клиентский доступ.
+<WRAP prewrap>
+<code>
+Set-OwaVirtualDirectory -Identity "exch1\owa (Default Web Site)" -InternalDownloadHostName "download.arasaka.local"
+Set-OwaVirtualDirectory -Identity "exch1\owa (Default Web Site)" -ExternalDownloadHostName "download.arasaka.local"
+</code>
+</WRAP>
+Проверить настроенные значения можно следующей //EMS// командой:
+   Get-OwaVirtualDirectory | Format-Table Identity,*DownloadHostName
+Предыдущие действия ничего не меняют в работающей конфигурации серверов. Фактическое включение //download domains// - производится данной командой, которая выполняется сразу во всей организации, на любом Exchange-сервере:
+   Set-OrganizationConfig -EnableDownloadDomains $true
+Для того, чтобы просмотреть изменения - необходимо перезапустить IIS на всех серверах клиентского доступа. В консоли с админскими правами - выполняем:
+   iisreset
+Теперь необходимо проверить - работают ли картинки и загружаются ли они с отдельного домена. Проверить можно следующим образом: отправить письмо с картинкой, открыть его в //OWA//, нажать на странице письма //inspect// и посмотреть //URL// картинки. Пример:
+;#;
+{{:exchange:download_dom_check_edge.jpg|}}
+;#;
+:!: В случае возникновения проблем (типичная проблема - не отображаются картинки) - откатить настройки обратно довольно просто - достаточно выполнить команду и перезапустить //IIS//:
+   Set-OrganizationConfig -EnableDownloadDomains $false
+   iisreset
+{{tag>Exchange Microsoft Mail PowerShell CSRF CVE}}