Вот это майкрософт... »
Уважаемый, вы документацию по продукту читать пробовали, прежде чем обвинениями кидаться во все стороны? exo, тут по доброте душевной устраивает интенсив-тренинги "Microsoft Exchange Server за 21 день", я за этим пока наблюдаю, и мне его жалко, честное слово.
Продукты Microsoft довольно таки логичные, если человек четко понимает, что он делает. А если нет базовых знаний - как работает DNS, как работает SMTP, как работает SSL - виноват обычно, как это ни странно звучит, человек, а не продукт.
Никто не спорит, что баги есть в любом софте, и в Microsoft их тоже не мало, но когда начинаются шаблонные обвинения... Вы еще Билла Гейтса упрекните в собственном недостатке знаний.

Ну собственно проблема с сертификатом, да. Самоподписанный не подходит даже для интрасети.


" После сохранения запроса на сертификат, отправьте его в центр сертификации (certificate authority (CA)). Это может быть внутренний CA или сторонний центра сертификации. Клиенты, которые подключаются к серверу клиентского доступа должны доверять CA который выпустит Вам сертификат. После получения сертификата от центра сертификации, выполните следующие шаги: "


Каким образом его отправлять и куда?

Oleg Krylov,
Ок, спасибо за совет.

Каким образом его отправлять и куда »
выбираете любой СА (http://www.dmoz.org/Computers/Security/Public_Key_Infrastructure/PKIX/Tools_and_Services/Third_Party_Certificate_Authorities/).
Созданный запрос будет с расширением .req - открываете блокнотом, содержимое отправляете в СА (предварительно связавшись с сотрудниками СА и оплатив сертификат)
Они возвращают вам подписанный сертификат и удостоверяющие сертификаты. Вы их импортируете на сервере. В официальной документации всё описано. Правда на английском языке (http://technet.microsoft.com/en-us/library/dd351044(v=exchg.150).aspx). Так было в 2010, думаю вряд ли то изменилось для 2013.
Как генерить сертификат есть в моей статье.

exo,
Удалось настроить подключение по exchange connection, подписал сертификат на самом сервере через локальный СА.

Для "мультидоменности" я все равно вижу создание доп. учеток в AD для другого домена. Т.е. в аутлуке у пользователя, одна учетка с почтовым ящиком и вторая для другого ящика. Понятное дело что при такой схеме второй профиль используется только для почты, зато все ясно и понятно.

Удалось настроить »
ну вот и славно )

exo,
Большое спасибо за помощь!

да, в свободное время пишу. чтобы закрепить материал » Я думал только я один такой)))))))))))))))

не понимаю, зачем вам запись ТХТ ? а так всё верно. » Тема хоть и старая, но отвечу. Это так называемая SPF запись. Она нужна в случаях, когда на почтовых серверах настроен агент борьбы со спамом (агент фильтрации ID отправителя - вариант именования у Exchange). Он проверяет разрешено ли отправителю с определённым ip адресом отправлять письма от имени домена указанного в заголовке (От), таким образом агент заходит на адрес полномочного этой зоне DNS сервера и проверяет там содержимое SPF-записи, в которой и указывается с каких ip-адресов можно отправлять электронную почту от имени этого домена. Эта защита стала ответной реакцией на подделывание в письмах информации об отправителях.