Hallo Zusammen,
um mein Problem so verständlich wie möglich zu beschreiben, muss ich ein wenig ausholen.
Ich habe folgende Umgebung:
DC 1 (W2K3)
DC 2 (W2K8)
Exchange 2003 (W2K3)
Exchange 2007 (W2K8)
Exchange 2010 (W2K8 R2)
ArchivServer (W2K3)
ISA 2006 (W2K3) - in der DMZ
Auf dem ISA, Archiv und den Exchange-Servern habe ich ein Zertifikat (extern.domain.tld) installiert. Im ISA habe ich die entsprechenden Regeln erstellt, mit denen ich per Remote auf den Archiv und dem Exchange 2003-Server mittels OWA und Handy zugreifen kann.
In der Regel für den OWA (Exchange 2003 ) Zugriff, habe ich als veröffentlichte Site (Register: "Bis") extern.domain.tld (Adresse wie auch im Zertifikat) angegeben. Diese habe ich in der hosts-Datei mit der entsprechenden IP-Adresse angeben. Ähnliches Prozedere auch für den Archivserver, wobei ich dort als Ziel archiv.domain.tld, mit dem entsprechenden hosts Eintrag angegeben habe.
Soweit alles in Ordnung.
Also habe ich eine neue Regel erstellt in der ich die erforderlichen Pfadangaben für den 2010er eingegeben habe. Als Ziel für die veröffentlichte Site musste ich aber einen anderen Namen verwenden, als den für den 2003er, also e2010. domain.tld.
Auch hier habe ich die hosts-Datei angepasst.
Gebe ich nun im Browser (von extern)
https://extern.domain.tld/owa ein, erhalte ich die Fehlermeldung: Fehlercode: 500 Interner Serverfehler. Der Zielprinzipalname ist falsch. /-2146893022)
Soweit ich bisher via Tante Google herausfinden konnte, scheint das Problem an dem Zertifikat, da ich intern ja eine andere Ziel Site angegeben habe. Das konnte ich auch soweit verifizieren, indem ich die vorhandenen Regeln mit den Zieladressen und die hosts-Datei angepasst habe. Denn danach bekam ich einen Zugriff auf das 2010er OWA.
Also scheint das Problem an dem Zertifikat zu liegen und das der Exchange auch korrekt mit dem Namen angesprochen werden muss, wie das Zertifikat lautet. In diesem Zusammenhang habe ich aber etwas mit DNS Splitt gelesen, nur so richtig verstanden habe ich es nicht.
Was mich nur etwas wundert ist die Tatsache, dass es den Archivserver selbst nicht so beeindruckt, wenn ich im ISA intern eine andere Site, wie die im Zertifikat angebe. Denn er Zugriff via
https://extern.domain.tld/archiv (archiv.domain.tld in der hosts) erfolgt ohne Probleme.
Innerhalb des Netzwerks kann ich mich an dem 2010er OWA anmelden und wenn er merkt das es sich um ein 2007er Postfach handelt, dann schwenkt er korrekt um. Der Zugriff auf ein 2003er Postfach über die 2010er OWA-Anmeldemaske ist nicht möglich, was ja auch in Ordnung ist.
Als ich bei meinem Testen die ISA-Regeln so umgedreht habe, dass ich mich von extern an dem 2010er OWA anmelden konnte, bekam ich auch auf das Postfach was auf diesem liegt meinen Zugriff. Habe ich mich jedoch mit einem 2007er Userlogin angemeldet, dann hatte ich im Browser die interne Zieladresse
https://ex2007.domäne.local/owa/ und wie sich jeder vorstellen kann, flog er dabei auf die Nase.
Die Frage ist ob und wie ich mit dem ISA die 3 unterschiedlichen Exchange-Server (inkl. ExchangeActiveSync) und nach Möglichkeit mit einem Zertifikat veröffentlichen kann. Bräuchte ich evtl. ein Wildcard-Zertifikat?
Puhh .... Ich hoffe das ich alles Verständlich rüberbringen könnte und hoffe jemand von euch kann mir bei dem Problem weiterhelfen.
Vielen Dank schon mal im Voraus!
René
