Jump to content

Zertifikatsfragen: remote.domain.net - mail.domain.net


blob
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Morgen Zusammen,

 

ich habe eine Verständnisfrage/kleines Problem zu SBS 2008 und Zertifikaten:

 

Wie gewohnt richtet der SBS eine Standardwebseite ein (remote.domain.net) und hat auch ein selbst-ausgestelltes Zertifikat parat. Ich habe nun mit der Verwaltungsshell vom Exchange ein gekauftes Zertifikat für den Exchange eingespielt, welches nur den Namen mail.domain.net beinhaltet. Andere Änderungen zu diesem Thema habe ich noch nicht unternommen (IIS in Ruhe gelassen).

 

Jetzt sehe ich bei unseren Outlook 2007 Clients, dass beim Start eine Zertifikatswarnung kommt das zwar alles stimmt ausser der Name vom Zertifikat nicht korrekt ist. Das ist ja auch richtig so, denn er meckert das das mail.domain.net Zertifikat für remote.magelan.net nicht gültig sei?!

 

Wie gewöhne ich ihm das ab? :-|

 

Danke im voraus.

Link zu diesem Kommentar

Hallo blob

 

Auf welche URLs der Client connected siehst du am besten wenn du im Outlook 2007 (Ctrl+rechter Mausclick auf Outlook Symbol+ E-mail Autoconfig testen) öffnest und dann einen Test durchführst.

 

Das meiste Problem wird Autodiscover sein, da sich der Client diese URL selber zusammenbastelt.

Beispiel: https://autodiscover.internaldomain.de.....

 

Es kommt auch draufan ob die Clients Members der Domain sind. Wenn es so ist wird Autodiscover über einen SCP vom AD benutzt.

 

Die Autodiscover Probleme könnte man mit SRV Records im DNS lösen.

 

White Paper: Exchange 2007 Autodiscover Service

 

Gruss

fluehamnn

Link zu diesem Kommentar

Also ich habe mal den Test ausgeführt, hier das Ergebnis:

 

<?xml version="1.0" encoding="utf-8"?>
<Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006">

 <Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
   <User>
     <DisplayName>Mustermann, Hans</DisplayName>
     <LegacyDN>/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=hmustermann</LegacyDN>
     <DeploymentId>66b12023-a4b4-4ac1-9947-bb56648930ba</DeploymentId>
   </User>
   <Account>
     <AccountType>email</AccountType>
     <Action>settings</Action>
     <Protocol>
       <Type>EXCH</Type>
       <Server>SV01.domain.local</Server>
       <ServerDN>/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=SV01</ServerDN>
       <ServerVersion>720180F0</ServerVersion>
       <MdbDN>/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=SVC01/cn=Microsoft Private MDB</MdbDN>
       <PublicFolderServer>SV01.domain.local</PublicFolderServer>
       <AD>SV01.domain.local</AD>
       <ASUrl>https://remote.domain.net/EWS/Exchange.asmx</ASUrl>
       <EwsUrl>https://remote.domain.net/EWS/Exchange.asmx</EwsUrl>
       <OOFUrl>https://remote.domain.net/EWS/Exchange.asmx</OOFUrl>
       <UMUrl>https://remote.domain.net/UnifiedMessaging/Service.asmx</UMUrl>
       <OABUrl>https://sv01.domain.local/OAB/325aece0-783d-4fd4-bfe6-d02bf9ce3141/</OABUrl>
     </Protocol>
     <Protocol>
       <Type>EXPR</Type>
       <Server>mail.domain.net</Server>
       <SSL>On</SSL>
       <AuthPackage>Basic</AuthPackage>
       <ASUrl>https://remote.domain.net/EWS/Exchange.asmx</ASUrl>
       <EwsUrl>https://remote.domain.net/EWS/Exchange.asmx</EwsUrl>
       <OOFUrl>https://remote.domain.net/EWS/Exchange.asmx</OOFUrl>
       <UMUrl>https://remote.domain.net/UnifiedMessaging/Service.asmx</UMUrl>
       <OABUrl>https://mail.domain.net/OAB/325aece0-783d-4fd4-bfe6-d02bf9ce3141/</OABUrl>
     </Protocol>
     <Protocol>
       <Type>WEB</Type>
       <External>
         <OWAUrl AuthenticationMethod="Fba">https://mail.domain.net/owa/</OWAUrl>
         <Protocol>
           <Type>EXPR</Type>
           <ASUrl>https://remote.domain.net/EWS/Exchange.asmx</ASUrl>
         </Protocol>
       </External>
       <Internal>
         <OWAUrl AuthenticationMethod="Basic, Fba">https://sv01.domain.local/owa/</OWAUrl>
         <Protocol>
           <Type>EXCH</Type>
           <ASUrl>https://remote.domain.net/EWS/Exchange.asmx</ASUrl>
         </Protocol>
       </Internal>
     </Protocol>
   </Account>
 </Response>
</Autodiscover>

 

Also in der Verwaltungskonsole habe ich z.B. bei den OWA Einstellungen die externe Adresse "mail.domain.net" angegeben, diese ist auch von außen erreichbar und unser gekauftes Zertifikat läuft auf "mail.domain.net". Und wie gesagt, das Zert habe ich über die Verwaltungsshell eingespielt und für den Service IIS aktiviert.

 

Ich verstehe nicht wie er auf remote.domain.net kommt bzw wie ich es ihm abgewöhnen kann?! Die URL kann von mir aus sv01.domain.local o. mail.domain.local heissen, beides führt zum Ziel. Aber mit dem Externen Namen habe ich eben ein offzizielles Zertifikat.

Link zu diesem Kommentar

Wenn die URl sv01.domain.local o. mail.domain.local heissen sollte, dann müsste diese auch im Zertifikat vorhanden sein. Dann müsste dein Zertifikat

SAN tauglich sein (mehrer Hostnamen unterstützen).

 

Die Service URLs kannst du alle für eine interne und externe Domain konfigurieren.

Schau dir mal folgenden Artikel an:

 

Outlook 2007 Certificate Error? | Elan Shudnow's Blog

 

Gruss

fluehmann

Link zu diesem Kommentar

Wenn Dein Zertifikat nur den externen Namen eingetragen hat

wirst Du zwar authentifiziert, aber eben nur extern.

Ohne entsprechende .local-Einträge in Deinem Zertifikat wirst

Du dauerhaft Fehlermeldungen bekommen, da Du ja quasi extern

die Anfrage nach der Gültigkeit Deiner Zertifikate stellen müsstest

und Deine Clients logischerweise Deine lokale Domain abfragen wollen.

Link zu diesem Kommentar

Hallo Zwexkoptimist

 

Der Artikel von fluehman geht wohl auf das Wesentliche ein.

 

Aber Achtung diese Befehle funktionieren auf dem SBS nicht!

Die Identity stimmt bei dir nicht da es sich biem SBS nicht um die Default Web Site handelt. Du kannst dies aber mit get-WebServicesVirtualDirectory usw. abfragen.

 

Ebenfalls empfehle ich dir auf dem DNS-Server einen Eintrag für mail.domain.de zu erstellen, dann findet der Client direkt deinen Exchange!

 

Das Ganze erinnert ist ein Gebastel, funktioniert aber wunderbar und ist am günstigsten...

 

gruss h2o

Link zu diesem Kommentar

also es ist so: anhand des Artikels habe ich Gestern schon am CAS die Weiterleitungen geändert, ALLE auf die externe Adresse mail.domain.net, die das Zert auch abdeckt! Das mit der Standardwebseite habe ich erkannt und dementsprechend die Befehle angepasst.

Wir hosten selbst die domain.net bei uns, daher werden alle Anfragen von Intern (auf mail.domain.net/x) direkt auf die IP von dem SV01.domain.local (welcher ja der SBS ist) weitergeleitet.

 

Die Zertifikatsmeldung kommt nun nicht mehr *freu* Jetzt geht nur mein OAB noch nicht... kann es mit keinem Client downloaden. Auf dem Exchange gibt es dazu keine Eventlogeinträge. SSL ist auf dem OAB Verzeichnis aktiviert. Das OAB ist up-2-date, das Verzeichnis \\SV01\ExchangeOAB\234233.... hat zum Test JEDER Leserechte (Exchange Server auch).

Werde erstmal hier das Forum durchwühlen nach Tipps, aber falls jmd direkt dazu was einfällt... ;-)

Thema erledigt, danke!

Link zu diesem Kommentar

hallo Blob

 

Kannst du per Browser die oab.xml öffnen?

Ist ein Web Distribution Point veröffentlicht?

 

https://domain.ch/oab/325aece0-783d-4fd4-bfe6-d02bf9ce3141/oab.xml

 

Wichtige Berechtigungen sind vor allem:

Administrators: full

Exchange Servers: full

Authenticated Users: read

 

 

Vielleicht findest du hier noch ein Hinweis:

You Had Me At EHLO... : Offline Address Book web distribution in Exchange Server 2007

 

 

Gruss

fluehmann

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...