Jump to content

SBS 2011 - Zertifikat auf Dyndns Adresse ausstellen


Direkt zur Lösung Gelöst von testperson,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Administratoren,

ich und ein Kollege sitzen schon seit Ewigkeiten vor dem Problem mit Fehlermeldungen wegen einem falschen Zertifikat.

 

Kurze Bestandsliste (Domain Namen geändert):

SBS 2011 mit Exchange 2010

AD Domäne:   bau.local

Internetadresse:  baugmbh.de

E-mails werden per Popcon vom externen Mail Server abgeholt, die Firma hostet auch die Website und Domäne. Das sollte nicht geändert werden da wenn hier mal das Internet nicht funktionier oder sonstiges keine Mails verloren gehen oder Kunden die Website nicht erreichen können.

 

Externe Zugriffe sind über VPN durch den Router/Firewall realisiert. OWA und Pop/Imap Zugang laufen über eine Dyndns Adresse.

 

Zum Problem:

Egal ob wir intern das OWA aufrufen zB  https://sbs-2011/owa  oder über https://bau.dyndns.de/owa es kommt immer eine Zertifikatsfehlermeldung vom Browser, das selbe auch bei E-Mail Clients die melden dass das Zertifikat auf http://sites ausgestellt ist.

 

Versuchte Lösung:

In der Exchange Verwaltungskonsole -> Serverkonfiguration -> Neues Exchange-Zertifikat

Folgende Einstellungen:

OWA im Intranet: sbs-2011

OWA im Internet: bau.dyndns.de

 

Clientzugriffsserver alles so voreingestellt gelassen bis auf die Autodiscoveradresse. Intern funktioniert der Exchange und alle Clients wunderbar, hab die Option auch schon komplett weg gelassen.

 

POP/imap im Internet verwenden:  bau.dyndns.de

 

Im nächsten Schritt habe ich natürlich die Firmendaten etc. eingegeben und dann die *.req Datei gespeichert.

Die Datei könnte man ja jetzt extern weiter schicken, mir reicht aber wenn mir mein SBS das Zertifikat ausstellt.

Also ab zu https://localhost/certsrv  -> 404     sbs-2011/certsrv   -> 404

Nach ein wenig Googlen scheint das wohl ein Problem beim SBS zu sein das obwohl der IIS und die AD Zertifikatdienste installiert sind das Webmodul nicht erreichbar ist bzw. gar nicht existiert. Abhilfe soll wohl nur eine Neuinstallation des Zertifikatdienstes schaffen, da der Server produktiv läuft steht das aber außer Frage.

 

Ich habe also nach einer Alternative als Kommandozeilenbefehl gesucht: "certreq -submit datei.req" sollte funktionieren, doch leider bekomme ich da immer nur die nichtssagende Fehlermeldung: Zertifikat nicht ausgestellt (Unvollständig).

 

Ab dem Punkt komme ich einfach nicht weiter, normalerweise könnte ich mit der Datei die mir dabei erstellt wird im Exchange weiter machen und zu guter letzt dem Zertifikat Dienste zuordnen.

 

An sich funktioniert auch alles, eine Fehlermeldung kommt einmalig beim Einrichten unter Android dass das Zertifikat falsch ist, kann man weg klicken. Bei OWA erschreckt die Browsermeldung viele und meinen es funktioniert bei denen nicht Zuhause. Bei Windows Phone geht der E-Mail Abruf gar nicht, der mag wohl das Zertifikat überhaupt nicht akzeptieren/ignorieren.

 

Letzte Hoffnung wäre die SBS Konsole mit dem Befehl Internetadresse einrichten, aber es ist absolut in-transparent was für Befehle dann ausgeführt werden. Ändert der den lokalen Domänen Namen? Ändert der mir meine E-Mail Namensrichtlinien? Habe diesen Wizard nie benutzt, sondern bin nach POPCon Anleitung vorgegangen. Rest wurde per Hand eingestellt, nur für die Nutzererstellung nutze ich die Konsole, aus Bequemlichkeit weil auch gleich das E-Mail Konto erstellt wird.

 

Für mich gibt es nie wieder einen SBS -.- außer man benutzt den genau so wie sich das Microsoft vorgestellt hat. Mein ehemaliger Kollege war MCITP und hat das Ding auch verflucht. 

 

Vielleicht hat ja irgendeiner eine Idee wie man E-Mail/Webadresse, Domäne und Dyndns für ext. Mail Abruf unter einen Hut bekommt ohne von Zertifikatsfehlermeldungen genervt. zu werden. 

 

 

Viele hoffnungsvolle Grüße :)

Link zu diesem Kommentar
  • Beste Lösung

Hi,

 

zum Thema Pop Connectoren -> Bemühe doch bitte mal die Forumssuche.

Zum SBS -> Aus welchem Grund wird Microsoft wohl sämtliche SBS Assistenten bereitgestellt haben?

 

Zum Problem: Wie würdest du denn bei einem Nicht-SBS-System vorgehen, welches du nicht verfluchst ;)

 

Und zur Lösung: http://blog.sbspraxis.de/sbs2008-sbs2011-und-dyndns-p279/

An den Clients mit Zertifikat Warnung bzw. dem Windows Phone musst du nur das RootCA der SBS Zertifizierungsstelle als vertrauenswürdig importieren und schon sollte es laufen.

 

Gruß

Jan

Link zu diesem Kommentar

Bei Windows Phone (zumindest bei 8 und 8.1) kann man sowas genauso ignorieren wie bei Android oder auch iOS. Insofern...

Und MCITP und POPCon in einem Posting sagt jetzt alles oder auch nix. ;)

 

Ja, einen SBS sollte man genauso bedienen, wie es MS vorsieht. Will man das nicht, sollte man wissen was man tut, oder gleich was anderes nutzen. Hilft dir nicht weiter, aber vielleicht geht's ja als moralische Unterstützung ein.

 

Bye

Norbert

Link zu diesem Kommentar

Erstmal vielen Dank für die Antworten.

 

Ich war damals nicht für die Server zuständig, sondern ein Kollege und vom unseren externen IT Partner der Webdienst etc. hostet wurde uns Popcon empfohlen. Das unser externer IT Partner nicht das gelbe vom Ei ist weiß ich mittlerweile auch.

Der Kollege der danach kam hat den MCITP und war damit nicht so zufrieden und hat den Assistenten nie verwendet.

 

Zur Frage wie würde ich es an einem Nicht-SBS System machen, eigentlich genau so hier: https://robertwilleswelt.wordpress.com/2010/03/10/zertifikat-erstellen-in-exchange-2010/

 

 

 

 

Hinweis: 
Der Assistent erstellt unter anderem auch die E-Mail-Adressenrichtlinie @ihr_host.dyndns.org . Wenn dies nicht Ihre E-Mail Domäne ist, dann müssen Sie in der Exchange Management Console die E-Mail Adressenrichtlinie und Akzeptierte Domänen manuell ändern bzw. anpassen.

 

Das ist ja mal ein guter Hinweis in dem Tutorial. Da muss ich das nachträglich wieder ändern, ist aber sehr überschaubar, ich hoffe das ist die einzige Konfiguration die er ändert (abgesehen vom Zertifikat).

 

 

Zu Windows Phone, in Android unter der Samsung E-Mail App und K9 kommt ein schönes Alert Fenster mit der Meldung das das Zertifikat ungültig ist. Bei den Windows Phone kommt gar nichts, es synchronisiert ewig und schlägt dann fehl. Ich werde mal schauen ob es noch bessere E-Mail Clients gibt.

bearbeitet von cht47
Link zu diesem Kommentar

Zu Windows Phone, in Android unter der Samsung E-Mail App und K9 kommt ein schönes Alert Fenster mit der Meldung das das Zertifikat ungültig ist. Bei den Windows Phone kommt gar nichts, es synchronisiert ewig und schlägt dann fehl. Ich werde mal schauen ob es noch bessere E-Mail Clients gibt.

https://testconnectivity.microsoft.com/ sagt alles ok? Wenns dann da schon hakt...

Link zu diesem Kommentar

Du kannst auch in Deiner offiziellen Internetdomain einen Zeiger - CNAME - einrichten und auf den DynDNS-Namen zeigen lassen. Dann kannst Du ein offizielles Zertifikat für Deinen Domainnamen verwenden und brauche keine CAs bei Clients und mobilen Geräten installieren.

 

Weiterhin würde ich an Deiner Stelle Autodiscover und Outlook Anywhere einrichten. Dann brauchst Du nicht IMAP und SMTP veröffentlichen, sondern nutzt an den Clients Exxhange ActiveSync mit automatischer Konfiguration. Eimfach E-Mailadresse und Kennwort eingeben und schon funktioniert das nicht nur mit Outlook, sondern auch mit Android, iPhone, iPad, Windows Phone, etc. von überall.

 

Das wäre eine moderne Konfiguration. Die Bausteine dazu hast Du schon alle.

Link zu diesem Kommentar

https://testconnectivity.microsoft.com/ sagt alles ok? Wenns dann da schon hakt...

 

Ja da kommt eigentlich genau das raus was ich schon weiß :)

	IMAP wird für Benutzer 'domäne\cht' auf Host 'xxxxx.dyndns.info:993:SSL' getestet.
 	Fehler beim IMAP-Test.
 	
	Weitere Details
 	
Verstrichene Zeit: 6206 ms.
 	
	Testschritte
 	
	Es wird versucht, den Hostnamen xxxx.dyndns.info im DNS aufzulösen.
 	Der Hostname wurde erfolgreich aufgelöst.
 	
	Weitere Details
	Es wird getestet, ob TCP-Port 993 auf Host xxxxx.dyndns.info überwacht wird/geöffnet ist.
 	Der Port wurde erfolgreich geöffnet.
 	
	Weitere Details
	Die Gültigkeit des SSL-Zertifikats wird überprüft.
 	Fehler bei mindestens einem Zertifikatüberprüfungstest für das SSL-Zertifikat.
 	
	Weitere Details
 	
Verstrichene Zeit: 5797 ms.
 	
	Testschritte
 	
	Die Microsoft-Verbindungsuntersuchung versucht, das SSL-Zertifikat vom Remoteserver xxxxxx.dyndns.info an Port 993 zu erhalten.
 	Die Microsoft-Verbindungsuntersuchung hat das Remote-SSL-Zertifikat erfolgreich abgerufen.
 	
	Weitere Details
	Der Zertifikatsname wird überprüft.
 	Fehler bei der Überprüfung des Zertifikatsnamens.
 	 Weitere Informationen zu diesem Problem und zu möglichen Lösungen
 	
	Weitere Details
 	
Der Hostname xxxxxx.dyndns.info entspricht keinem der im Serverzertifikat CN=Sites gefundenen Namen.
Verstrichene Zeit: 0 ms.

Aber Danke für die Website die kannte ich noch nicht.

 

 

Du kannst auch in Deiner offiziellen Internetdomain einen Zeiger - CNAME - einrichten und auf den DynDNS-Namen zeigen lassen. Dann kannst Du ein offizielles Zertifikat für Deinen Domainnamen verwenden und brauche keine CAs bei Clients und mobilen Geräten installieren.

 

Weiterhin würde ich an Deiner Stelle Autodiscover und Outlook Anywhere einrichten. Dann brauchst Du nicht IMAP und SMTP veröffentlichen, sondern nutzt an den Clients Exxhange ActiveSync mit automatischer Konfiguration. Eimfach E-Mailadresse und Kennwort eingeben und schon funktioniert das nicht nur mit Outlook, sondern auch mit Android, iPhone, iPad, Windows Phone, etc. von überall.

 

Das wäre eine moderne Konfiguration. Die Bausteine dazu hast Du schon alle.

 

Bei Active Sync kommt der selbe Fehler mit dem Zertifikat, das hatte ich aber schon mal intern probiert und ging trotzdem. Bei Gelegenheit probier ich mal die gepostete Lösung  mit der Konsole Internetadresse einrichten. Was mich an Active Sync stört das der Admin also ich Geräteadministrator wird und man zwangsweise einen Pin vergeben muss. 

Für Unternehmenssmartphones ist das kein Problem, da ist das sowieso Pflicht aber für private Smartphones wo die Leute nur ihre Mails und Kalender auf dem Handy haben wollen. Also ich will das nicht daher mute ich das auch niemand anders zu. Vor meinem zutun haben alle hier ihre Mails auf ihre private Adresse weiter geleitet, daher sind die schon so überglücklich :D  Active Sync hebe ich mir vielleicht für später auf haha.

Nein Scherz beiseite, benötigt ActiveSync nicht Exchange Enterprise CALs? Wir haben nur Standard, deswegen gibt es keine Autoarchivierung und kein ActiveSync obwohl technisch möglich.

bearbeitet von cht47
Link zu diesem Kommentar

Was mich an Active Sync stört das der Admin also ich Geräteadministrator wird und man zwangsweise einen Pin vergeben muss. 

Für Unternehmenssmartphones ist das kein Problem, da ist das sowieso Pflicht aber für private Smartphones wo die Leute nur ihre Mails und Kalender auf dem Handy haben wollen. Also ich will das nicht daher mute ich das auch niemand anders zu. Vor meinem zutun haben alle hier ihre Mails auf ihre private Adresse weiter geleitet, daher sind die schon so überglücklich :D  Active Sync hebe ich mir vielleicht für später auf haha.

 

Mit ActiveSync *kann* man Sicherheitspolicies erzwingen, man muss das aber nicht. Du kannst auch einfach abschalten, dass eine PIN erzwungen werden soll. Kein Grund, ActiveSync nicht zu nutzen.

 

Aber mit ActiveSync kannst Du z.B. auch bei einem verlorenen Gerät ein Remote Wipe durchführen. Das geht mit IMAP nicht. Generell halte ich den Schutz der Firmendaten auf den gerade gegen Verlust/Diebstahl so anfälligen mobilen Geräten für wichtiger als die Komforteinbussen, eine PIN eingeben zu müssen. Wie würdest Du es denn finden, wenn Eure Firmendaten alle öffentlich einsehbar wären, so wie das bei Sony war: http://www.zeit.de/digital/datenschutz/2015-04/sony-hack-assange

 

Have fun!

Daniel

Link zu diesem Kommentar

Hallo, 

für den Wipe und Lock nutze ich schon Miradore. Das ist kostenlos und damit kann man auch Einstellungen komfortabel pushen. Die Active Sync Einstellungen habe ich jetzt auch gepusht, so das die Mitarbeiter nur noch eine Pin (Bildschirmsperre) eingeben müssen und ihr Windows Passwort.

Aber das benutze ich wie gesagt nur bei Smartphones die dem Betrieb gehören, für private gibt es weiterhin IMAP, ich kann den Leuten keine Passwortrichtlinien aufdrängen, dann verzichten die einfach auf Imap und leiten ihre mails einfach über Outlook Regel weiter. Man passt auf seine eigenen teuren Smartphones auch mehr auf als auf ein günstigeres Büro Smartphone.

Man muss halt irgendwie die goldene Mitte finden.

 

Vielen Dank für die vielen Antworten.

Link zu diesem Kommentar

Das Weiterleiten per Outlook-Regel kann man deswegen am Exchange unterbinden. Siehe Remotedomänen in Exchange (Set-RemoteDomain -AutoForwardEnabled...) oder die Transportregel aus Prevent Internal Auto forwarding with Exchange 2010. Bei mobilen Geräten würde ich keine Kompromisse eingehen. Wer auf dem privaten Smartphone die Firmenmails haben will, der sollte dann auch den Regeln zum Schutz des Endgerätes zustimmen. Anderes ist keine goldene Mitte, sondern "Wasch mich, aber mach mich nicht nass" ;-)

 

BTW: Lies Dir mal Grundlegendes zu Exchange ActiveSync-Postfachrichtlinien und Grundlegendes zur Verwaltung mobiler Geräte durch, was mit Boardmitteln geht. Du kannst Regeln auch auf spezifische Benutzergruppen hin ausrichten. IMAP würde ich nicht zulassen. Dann schon eher OWA - wer sein mobiles Gerät nicht vernünftig sichern will, der kriegt halt nur online Zugriff auf die Mails.

 

Just my 0.02

Daniel

Link zu diesem Kommentar

Das Weiterleiten per Outlook-Regel kann man deswegen am Exchange unterbinden. Siehe Remotedomänen in Exchange (Set-RemoteDomain -AutoForwardEnabled...) oder die Transportregel aus Prevent Internal Auto forwarding with Exchange 2010. Bei mobilen Geräten würde ich keine Kompromisse eingehen. Wer auf dem privaten Smartphone die Firmenmails haben will, der sollte dann auch den Regeln zum Schutz des Endgerätes zustimmen. Anderes ist keine goldene Mitte, sondern "Wasch mich, aber mach mich nicht nass" ;-)

 

BTW: Lies Dir mal Grundlegendes zu Exchange ActiveSync-Postfachrichtlinien und Grundlegendes zur Verwaltung mobiler Geräte durch, was mit Boardmitteln geht. Du kannst Regeln auch auf spezifische Benutzergruppen hin ausrichten. IMAP würde ich nicht zulassen. Dann schon eher OWA - wer sein mobiles Gerät nicht vernünftig sichern will, der kriegt halt nur online Zugriff auf die Mails.

 

Just my 0.02

Daniel

 

Das man das unterbinden kann ist mir bewusst. Nur gehört die Geschäftsführung nun mal genau zu dieser Personengruppe die keine PIN haben wollen und trotzdem Ihre Geschäftsmails usw ohne jegliche Einschränkung auf dem Smartphone lesen möchten. Da wir auch viele Sozialarbeiter haben die quasi nie im Büro sind aber trotzdem E-Mails lesen müssen würde ich mich da schnell unbeliebt machen. Zudem sind diese E-Mails aber auch nicht kritisch. Alle die nach außen wichtige Daten schicken nutzen S-Trust Zertifikate und verschlüsseln. Wie gesagt den Geräteadministrator gibt mir keiner mit seinem privaten Smartphone, die Antwort die dann kommt ist: "dann nutze ich es halt nicht" das ist aber entgegen der Wünsche der Geschäftsleitung. 

 

Umgekehrt würde ich das genauso wenig erlauben, die Einstellungen die da gemacht werden können sind zu mächtig. Man weiß nie was der Admin einstellt. Auf einmal darf ich keine Apps von Unbekannter Herkunft installieren, das macht mir die Installation von F-Droid unmöglich, am Geschäftssmartphone kein Ding, aber die teile sind wie kleine Computer, und da fragst du die Kollegin sicherlich auch nicht, du darf ich auf deinem privat PC was installieren damit ich alles einstellen kann wie es mir beliebt?

 

Zudem lese ich oft in dem Artikel: "Die Exchange Enterprise-Clientzugriffslizenz ist erforderlich, um die Werte dieser Einstellung zu ändern." Da nutze ich dann lieber Drittanbieter Tools anstatt mich mit der komplizierten Lizenzpolitik von Microsoft zu ärgern.

bearbeitet von cht47
Link zu diesem Kommentar

Dass die Mitarbeiter nur unwichtige Dinge ungeschützt in ihrer Mail haben und wichtige schützenswerte Dinge immer mit S Trust Zertifikat verschlüsselt sind, glaubst Du hoffentlich selbst nicht. Ich sage nur Theorie und Praxis. Wenn schon bei der PIN Bequemlichkeit vor Sicherheit gewinnt, warum sollte das bei Inhalten dann anders sein?

 

Und Sozialarbeiter werden garantiert personenbezogene Daten darauf haben. Das ist ein No-Go: http://de.m.wikipedia.org/wiki/Personenbezogene_Daten

Für bestimmte Berufsgruppen gilt auch uneingeschränkt die strafrechtliche Schweigepflicht nach § 203 StGB. Würde mich nicht wundern, wenn ihr davon erfasst seit.

 

Aber so ist das in vielen Firmen: Über NSA Überwachung und unsichere Clouds macht man sich Sorgen aber mit den eigenen Daten der eigenen Infrastruktur wird absolut sorglos umgegangen, weil es bequemer ist. Talk is cheap ;-)

 

Dabei ist die Lösung ganz simpel: Bring your own device bedeutet, dass man die Regeln des Arbeitgebers auf dem privaten Gerät akzeptieren muss, wenn man das private Gerät nutzen will für die Arbeit. Da muss man nicht der Firma Adminrechte auf dem Privatgerät geben. Moderne Lösungen arbeiten mit Containern und erlauben zum Beispiel auch das nur selektive Löschen von Geschäftsdaten auf privaten Geräten. Gehen tut das alles, man muss es nur wollen.

 

Was in dem Artikel zur Exchange Enterprise-Clientzugriffslizenz steht: Dort findest Du eine Liste, welche Policies mit der Standard CAL abgedeckt sind und welche eine zusätzliche Enterprise CAL brauchen. Was daran komplizierter als das Erwerben einer zusätzlichen Software und Beachtung derer Lizenzbedingungen ist, erschließt sich mir nicht.

 

Have fun!

Daniel

bearbeitet von Daniel -MSFT-
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...