Zum Inhalt wechseln


Foto

Zertifikatsfragen: remote.domain.net - mail.domain.net

Windows Small Business Server

  • Bitte melde dich an um zu Antworten
7 Antworten in diesem Thema

#1 blob

blob

    Senior Member

  • 397 Beiträge

Geschrieben 29. September 2009 - 06:40

Guten Morgen Zusammen,

ich habe eine Verständnisfrage/kleines Problem zu SBS 2008 und Zertifikaten:

Wie gewohnt richtet der SBS eine Standardwebseite ein (remote.domain.net) und hat auch ein selbst-ausgestelltes Zertifikat parat. Ich habe nun mit der Verwaltungsshell vom Exchange ein gekauftes Zertifikat für den Exchange eingespielt, welches nur den Namen mail.domain.net beinhaltet. Andere Änderungen zu diesem Thema habe ich noch nicht unternommen (IIS in Ruhe gelassen).

Jetzt sehe ich bei unseren Outlook 2007 Clients, dass beim Start eine Zertifikatswarnung kommt das zwar alles stimmt ausser der Name vom Zertifikat nicht korrekt ist. Das ist ja auch richtig so, denn er meckert das das mail.domain.net Zertifikat für remote.magelan.net nicht gültig sei?!

Wie gewöhne ich ihm das ab? :-|

Danke im voraus.
What goes around comes around!
+++
"Was sehen Sie auf Ihrem Bildschirm?" - "Ein Teddy den mir mein Freund geschenkt hat!"

#2 fluehmann

fluehmann

    Board Veteran

  • 573 Beiträge

Geschrieben 29. September 2009 - 07:28

Hallo blob

Auf welche URLs der Client connected siehst du am besten wenn du im Outlook 2007 (Ctrl+rechter Mausclick auf Outlook Symbol+ E-mail Autoconfig testen) öffnest und dann einen Test durchführst.

Das meiste Problem wird Autodiscover sein, da sich der Client diese URL selber zusammenbastelt.
Beispiel: https://autodiscover.internaldomain.de.....

Es kommt auch draufan ob die Clients Members der Domain sind. Wenn es so ist wird Autodiscover über einen SCP vom AD benutzt.

Die Autodiscover Probleme könnte man mit SRV Records im DNS lösen.

White Paper: Exchange 2007 Autodiscover Service

Gruss
fluehamnn
Backup? Ist was für Feiglinge....

#3 blob

blob

    Senior Member

  • 397 Beiträge

Geschrieben 29. September 2009 - 08:42

Also ich habe mal den Test ausgeführt, hier das Ergebnis:

<?xml version="1.0" encoding="utf-8"?>
<Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006">

  <Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
    <User>
      <DisplayName>Mustermann, Hans</DisplayName>
      <LegacyDN>/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=hmustermann</LegacyDN>
      <DeploymentId>66b12023-a4b4-4ac1-9947-bb56648930ba</DeploymentId>
    </User>
    <Account>
      <AccountType>email</AccountType>
      <Action>settings</Action>
      <Protocol>
        <Type>EXCH</Type>
        <Server>SV01.domain.local</Server>
        <ServerDN>/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=SV01</ServerDN>
        <ServerVersion>720180F0</ServerVersion>
        <MdbDN>/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=SVC01/cn=Microsoft Private MDB</MdbDN>
        <PublicFolderServer>SV01.domain.local</PublicFolderServer>
        <AD>SV01.domain.local</AD>
        <ASUrl>https://remote.domain.net/EWS/Exchange.asmx</ASUrl>
        <EwsUrl>https://remote.domain.net/EWS/Exchange.asmx</EwsUrl>
        <OOFUrl>https://remote.domain.net/EWS/Exchange.asmx</OOFUrl>
        <UMUrl>https://remote.domain.net/UnifiedMessaging/Service.asmx</UMUrl>
        <OABUrl>https://sv01.domain.local/OAB/325aece0-783d-4fd4-bfe6-d02bf9ce3141/</OABUrl>
      </Protocol>
      <Protocol>
        <Type>EXPR</Type>
        <Server>mail.domain.net</Server>
        <SSL>On</SSL>
        <AuthPackage>Basic</AuthPackage>
        <ASUrl>https://remote.domain.net/EWS/Exchange.asmx</ASUrl>
        <EwsUrl>https://remote.domain.net/EWS/Exchange.asmx</EwsUrl>
        <OOFUrl>https://remote.domain.net/EWS/Exchange.asmx</OOFUrl>
        <UMUrl>https://remote.domain.net/UnifiedMessaging/Service.asmx</UMUrl>
        <OABUrl>https://mail.domain.net/OAB/325aece0-783d-4fd4-bfe6-d02bf9ce3141/</OABUrl>
      </Protocol>
      <Protocol>
        <Type>WEB</Type>
        <External>
          <OWAUrl AuthenticationMethod="Fba">https://mail.domain.net/owa/</OWAUrl>
          <Protocol>
            <Type>EXPR</Type>
            <ASUrl>https://remote.domain.net/EWS/Exchange.asmx</ASUrl>
          </Protocol>
        </External>
        <Internal>
          <OWAUrl AuthenticationMethod="Basic, Fba">https://sv01.domain.local/owa/</OWAUrl>
          <Protocol>
            <Type>EXCH</Type>
            <ASUrl>https://remote.domain.net/EWS/Exchange.asmx</ASUrl>
          </Protocol>
        </Internal>
      </Protocol>
    </Account>
  </Response>
</Autodiscover>

Also in der Verwaltungskonsole habe ich z.B. bei den OWA Einstellungen die externe Adresse "mail.domain.net" angegeben, diese ist auch von außen erreichbar und unser gekauftes Zertifikat läuft auf "mail.domain.net". Und wie gesagt, das Zert habe ich über die Verwaltungsshell eingespielt und für den Service IIS aktiviert.

Ich verstehe nicht wie er auf remote.domain.net kommt bzw wie ich es ihm abgewöhnen kann?! Die URL kann von mir aus sv01.domain.local o. mail.domain.local heissen, beides führt zum Ziel. Aber mit dem Externen Namen habe ich eben ein offzizielles Zertifikat.
What goes around comes around!
+++
"Was sehen Sie auf Ihrem Bildschirm?" - "Ein Teddy den mir mein Freund geschenkt hat!"

#4 fluehmann

fluehmann

    Board Veteran

  • 573 Beiträge

Geschrieben 29. September 2009 - 12:00

Wenn die URl sv01.domain.local o. mail.domain.local heissen sollte, dann müsste diese auch im Zertifikat vorhanden sein. Dann müsste dein Zertifikat
SAN tauglich sein (mehrer Hostnamen unterstützen).

Die Service URLs kannst du alle für eine interne und externe Domain konfigurieren.
Schau dir mal folgenden Artikel an:

Outlook 2007 Certificate Error? | Elan Shudnow's Blog

Gruss
fluehmann
Backup? Ist was für Feiglinge....

#5 Zweckoptimist

Zweckoptimist

    Junior Member

  • 89 Beiträge

Geschrieben 29. September 2009 - 18:45

Wenn Dein Zertifikat nur den externen Namen eingetragen hat
wirst Du zwar authentifiziert, aber eben nur extern.
Ohne entsprechende .local-Einträge in Deinem Zertifikat wirst
Du dauerhaft Fehlermeldungen bekommen, da Du ja quasi extern
die Anfrage nach der Gültigkeit Deiner Zertifikate stellen müsstest
und Deine Clients logischerweise Deine lokale Domain abfragen wollen.
versuche niemals zu denken du seist gut, aber versuche immer es zu werden.. ;)

#6 h2o

h2o

    Registered User

  • 81 Beiträge

Geschrieben 29. September 2009 - 18:53

Hallo Zwexkoptimist

Der Artikel von fluehman geht wohl auf das Wesentliche ein.

Aber Achtung diese Befehle funktionieren auf dem SBS nicht!
Die Identity stimmt bei dir nicht da es sich biem SBS nicht um die Default Web Site handelt. Du kannst dies aber mit get-WebServicesVirtualDirectory usw. abfragen.

Ebenfalls empfehle ich dir auf dem DNS-Server einen Eintrag für mail.domain.de zu erstellen, dann findet der Client direkt deinen Exchange!

Das Ganze erinnert ist ein Gebastel, funktioniert aber wunderbar und ist am günstigsten...

gruss h2o
Die Welt besteht nicht nur aus 1010011100111

#7 blob

blob

    Senior Member

  • 397 Beiträge

Geschrieben 30. September 2009 - 08:30

also es ist so: anhand des Artikels habe ich Gestern schon am CAS die Weiterleitungen geändert, ALLE auf die externe Adresse mail.domain.net, die das Zert auch abdeckt! Das mit der Standardwebseite habe ich erkannt und dementsprechend die Befehle angepasst.
Wir hosten selbst die domain.net bei uns, daher werden alle Anfragen von Intern (auf mail.domain.net/x) direkt auf die IP von dem SV01.domain.local (welcher ja der SBS ist) weitergeleitet.

Die Zertifikatsmeldung kommt nun nicht mehr *freu* Jetzt geht nur mein OAB noch nicht... kann es mit keinem Client downloaden. Auf dem Exchange gibt es dazu keine Eventlogeinträge. SSL ist auf dem OAB Verzeichnis aktiviert. Das OAB ist up-2-date, das Verzeichnis \\SV01\ExchangeOAB\234233.... hat zum Test JEDER Leserechte (Exchange Server auch).
Werde erstmal hier das Forum durchwühlen nach Tipps, aber falls jmd direkt dazu was einfällt... ;-)
Thema erledigt, danke!
What goes around comes around!
+++
"Was sehen Sie auf Ihrem Bildschirm?" - "Ein Teddy den mir mein Freund geschenkt hat!"

#8 fluehmann

fluehmann

    Board Veteran

  • 573 Beiträge

Geschrieben 01. Oktober 2009 - 12:40

hallo Blob

Kannst du per Browser die oab.xml öffnen?
Ist ein Web Distribution Point veröffentlicht?

https://domain.ch/oa...9ce3141/oab.xml

Wichtige Berechtigungen sind vor allem:
Administrators: full
Exchange Servers: full
Authenticated Users: read


Vielleicht findest du hier noch ein Hinweis:
You Had Me At EHLO... : Offline Address Book web distribution in Exchange Server 2007


Gruss
fluehmann
Backup? Ist was für Feiglinge....