部署第二台Exchange 2019服务器后本地Outlook客户端出现本地FQDN证书警告

阿华AIGC实验室

2026-4-17

兄弟，我来帮你捋捋这个问题——你遇到的情况其实是Exchange 2019部署第二台服务器时的常见坑，先给你说个关键：你用的Set-ClientAccessServer命令在Exchange 2019里已经被废弃了，这就是你改了之后没效果的核心原因！下面咱们一步步排查解决：

第一步：修正新服务器的客户端访问服务配置
登录新的Exchange 2019服务器，打开Exchange Management Shell，用Set-ClientAccessService（这才是Exchange 2019的正确命令）把所有服务的InternalUrl统一改成你证书里包含的有效域名（比如mail.yourdomain.com），和旧服务器保持一致：

# 先设置AutoDiscover的内部URI
Set-ClientAccessService -Identity "新服务器名称" -AutoDiscoverInternalUri https://mail.yourdomain.com/Autodiscover/Autodiscover.xml

# 再逐个配置OWA、ECP、ActiveSync等服务的内外地址
Set-EcpVirtualDirectory -Identity "新服务器名称\ecp (Default Web Site)" -InternalUrl https://mail.yourdomain.com/ecp/ -ExternalUrl https://mail.yourdomain.com/ecp/
Set-ActiveSyncVirtualDirectory -Identity "新服务器名称\Microsoft-Server-ActiveSync (Default Web Site)" -InternalUrl https://mail.yourdomain.com/Microsoft-Server-ActiveSync -ExternalUrl https://mail.yourdomain.com/Microsoft-Server-ActiveSync
Set-OabVirtualDirectory -Identity "新服务器名称\OAB (Default Web Site)" -InternalUrl https://mail.yourdomain.com/OAB/ -ExternalUrl https://mail.yourdomain.com/OAB/
Set-MapiVirtualDirectory -Identity "新服务器名称\mapi (Default Web Site)" -InternalUrl https://mail.yourdomain.com/mapi/ -ExternalUrl https://mail.yourdomain.com/mapi/

这里的mail.yourdomain.com要替换成你实际证书里包含的域名。

第二步：调整AD中的SCP记录优先级
域内的Outlook客户端是通过AD里的**服务连接点（SCP）**来查找AutoDiscover服务的。新服务器安装后会自动注册自己的SCP，默认和旧服务器优先级相同，导致Outlook可能随机选到新服务器。你可以降低新服务器的SCP优先级，让Outlook优先用旧服务器的配置（等迁移完成后再调整回来）：
```
# 设置新服务器SCP优先级为2（数值越大优先级越低）
Set-ClientAccessService -Identity "新服务器名称" -Priority 2
# 确保旧服务器的优先级为1，优先被选中
Set-ClientAccessService -Identity "旧服务器名称" -Priority 1
```
执行完后，等15-30分钟让AD同步，或者重启Outlook客户端，它就会读取到新的SCP配置了。
第三步：确认证书绑定情况
别忽略这个点：新服务器默认会生成一个包含本地FQDN的自签名证书，你得确保Exchange的IIS服务绑定的是你那台包含有效域名的正式证书。可以在Exchange Admin Center（EAC）的「服务器」→「证书」页面检查，或者用命令确认：
```
Get-ExchangeCertificate | where {$_.Services -match "IIS"} | fl Subject, Issuer, Services, Status
```
找到状态为「有效」且Subject包含你的目标域名（比如mail.yourdomain.com）的证书，确保它已经绑定到IIS服务。
第四步：验证AutoDiscover配置
你可以在Outlook客户端按住Ctrl键，右键点击任务栏的Outlook图标，选择「测试电子邮件自动配置」，输入邮箱地址和密码，勾选「使用AutoDiscover」，查看测试结果里的AutoDiscover URL是不是https://mail.yourdomain.com/Autodiscover/Autodiscover.xml，而不是新服务器的本地FQDN。如果显示正确，那警告就不会再出现了。