rm-rf 10 Geschrieben 19. März 2010 Melden Teilen Geschrieben 19. März 2010 Hallo, ich komm einfach nicht weiter und wollte nun hier um Hilfe fragen. Folgende Konstellation: - Exchange 2010 auf einem Server 2008 SP2 - 2. Server 2008 SP2 als AD Beide stehen im Rechenzentrum und daher geht es nur um Verbindungen von Outlook ausserhalb der Domäne. - interne Domäne und externe (im Rechenzentrum) heißen gleich Hab schon viel gelesen, aber beim Start von Outlook kommt immer eine Zertifikatswarnung von autodiscover.domain.de und FQDN (also exchange.domain.de). autodiscover.domain.de stimmt nur der Name nicht mit dem Zertifikat überein und bei exchange.domain.de ist es der Name und die Vertrauensstellung der ausstellenden Firma. Ich habe bei startssl.com ein Zertifikat für mail.domain-mx.de erstellt, welches auch funktioniert. (die mail.domain.de ist unser Linuxmailserver und der Exchange läuft dann auf mail.domain-mx.de) Outlook fragt ja standardmäßig autodiscover.domain.de ab. Also hab ich im externen DNS (domain2go) autodiscover.domain.de auf die IP des Exchange im Rechenzentrum geleitet (domain.de ist unser Webserver). Ergebnis: Zertifikatswarnung in Outlook meckert nur noch über die verschiedenen Namen Also bräuchte man ein SAN-Zertifikat, welches ich aber für die Testumgebung nicht bekomme und es soll ja auch ohne SAN lösbar sein. Wollte es mit HTTP Redirect versuchen. Exchange-Verwalltungskonsole -> Serverkonfiguration -> ClientAccess: owa, ecp, ActiveSync und oab die interne und externe URL auf https://mail.domain-mx.de/xxx geändert (vorher war nur intere URL mit dem FQDN/xxx gesetzt) Den SCP, also AutoDiscoverServiceInternalUri, auf https://mail.domain-mx.de/Autodiscover/Autodiscover.xml geändert, obwohl das nur nötig ist, wenn man in der gleichen Domäne wie der Exchange ist?! Im IIS eine neue Site angelegt "autodiscover_redirect", Ordner Autodiscover erstellt und die autodiscover.xml und dann nach mail.domain-mx.de/Autodiscover/Autodiscover.xml umgeleitet. Durch die neue Seite musst ich ja Port 80 bei der Default Web Site rausnehmen und dadurch geht die Umleitung von http auf https nicht mehr....schade Was hab ich falsch gemacht oder was muss ich genau machen damit ich mit einer IP und einem Zertifikat, welches auf mail.domain-mx.de ausgestellt ist keine Zertifikatswarnungen bei Outlook bekomme? (das Einloggen beim Outlookstart nervt, lässt sich ja leider nicht ändern, zum Glück wurde in 2010 mal an einer Kennwort speichern Checkbox gedacht...) Zitieren Link zu diesem Kommentar
fluehmann 10 Geschrieben 19. März 2010 Melden Teilen Geschrieben 19. März 2010 Hallo rm-rf Hast du dazu die SRV Records erstellt? Hier ein Link für Exchange mit einem Namen im Zertifikat (sollte meiner Meinung nach bei 2010 keine grossen unterschiede geben): How-To: Exchange Server 2007 Web Services mit einem Single Name Certificate | Server Talk Und hier noch was zu den SRV Records: A new feature is available that enables Outlook 2007 to use DNS Service Location (SRV) records to locate the Exchange Autodiscover service Gruss fluehmann Zitieren Link zu diesem Kommentar
rm-rf 10 Geschrieben 22. März 2010 Autor Melden Teilen Geschrieben 22. März 2010 Bei domain2go.net kann man keinen SRV Eintrag anlegen. Ich versuch jetzt mal White Paper: Exchange 2007 Autodiscover Service "Using the Autodiscover service with redirection may be the ideal solution because some DNS providers do not support SRV records." klingt ja schonmal vielversprechend. Zitieren Link zu diesem Kommentar
fluehmann 10 Geschrieben 22. März 2010 Melden Teilen Geschrieben 22. März 2010 Scenario 4, könnte vielversprechend tönen. Ein Feedback wäre dann sicher cool... Gruss fluehmann Zitieren Link zu diesem Kommentar
rm-rf 10 Geschrieben 30. März 2010 Autor Melden Teilen Geschrieben 30. März 2010 Leider kann ich dazu kein Feedback geben. Aber es funktioniert jetzt, keine Zertifikatswarnungen mehr! Warum weis ich nicht und möchte jetzt auch nichts umstellen. Aber ich kann ja trotzdem schreiben was ich getan hatte: Am 22.03. funktionierte der Exchange nicht mehr. Man kam nicht mehr in die Shell und auch nicht mehr in die Managementconsole. Zum Glück hat ich ein paar Tage vorher ein Snapshot gemacht. D.h. ich war auf dem Stand bevor ich HTTP Redirect versucht hatte. Zur Erklärung: Das ganze läuft in VMware und wir haben 2 zusätzliche IPs. Der Exchange hatte eine und der DC hatte eine bekommen. Weil ich jetzt 2 IPs für Exchange brauchte hab ich dem DC die weggenommen. (DC .117, Exchange .115) Ich hatte, wie im Whitepaper angegeben, der Netzwerkverbindung die 2. IP zugeteilt. Dann bei domain2go.net die DNS Einträge überprüft und autodiscover.domain.de auf .117 gestellt. Bevor ich das IIS konfigurieren wollte, hab ich nochmal einen Test gemacht und dann ging es. Also die Default Web Site hat keine IP Bindungen und habe demzufolge das Whitepaper nicht weiter befolgt. Warum dies funktioniert ist mir rätselhaft, aber freue mich, dass es funktioniert :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.