FETT

Hallo, ich habe eine Frage... Wir haben Exchange 2010 SP3 CU14 im Einsatz. Die Emails werden über einen Smarthost gefiltert, dieser steht in einer DMZ. Dieser ist ein SPAM Filter und Virusscanner. Der SMTP Connector geht auf diesen Smarthost. Wenn ich eine Telnetverbindung mache von meinem Rechner auf den Exchange Server sieht es wie folgt aus: telnet IP.EXCHANGE.INTERN 25 220 hostname.interne.domäne Microsoft ESMTP MAIL Service ready at Thu, 11 Aug 2016 15:59:54 +0200 helo mail.externe.domäne 250 hostname.interne.domäne Hello [iP.CLIENT.INTERN] mail from:johnny@gmx.de 250 2.1.0 Sender OK rcpt to: tester@externe.dömane 550 5.1.1 User unknown Das ist ja soweit richtig. Wenn ich jetzt vom Smarthost eine Telnet Verbindung zum Exchange mache sieht es wie folgt aus: telnet IP.EXCHANGE.INTERN 25 220 hostname.interne.domäne Microsoft ESMTP MAIL Service ready at Fri, 12 Aug 2016 07:09:00 +0200 helo mail.externe.domäne 250 hostname.interne.domäne Hello [iP.SMARTHOST.DMZ] mail from: <johnny@gmx.de> 250 2.1.0 Sender OK rcpt to: <tester@externe.dömane> 250 2.1.5 Recipient OK Hier sagt er mir das der Empfänger ok ist. Aber wenn ich lokal das mache sagt er der Empfänger ist nicht bekannt. Das obere ist doch richtig, aber warum lässt er es über den Smarthost zu? Auf dem Exchange Server ist der Haken gesetzt bei Organisationskonfiguration/Hub-Transport/Antispam/Empfängerfilterung - Nachrichten blockieren, die an.... Was übersehe ich?

Mein Problem ist, das ich eine Fehlermeldung (Zertifikat) bekomme, wenn das Zertifikat aktiv ist. Der Name im Zertifikat passt nicht mit dem Namen vom Exchange überein. exchange.interne.domäne ist nicht gleich owa.externe.domäne Das würde ja bei einem SAN Zertifikat auch zu einem Problem führen, hier kann ich ja auch nicht den internen Hostnamen verwenden?

Da es leider die Registerkarte Outlook-Adressbuch in den Eigenschaften der Kontakte nicht gibt, hoffte ich es gibt einen anderen Weg. Ich habe auch was gefunden, aber das ist leider nicht so toll. Man kann jetzt in der Systemsteuerung unter Email einfach ein weiteres Exchange Konto anlegen mit der Shared Mailbox. Dann Outlook starten, kurz warten bis alles synchronisiert ist. Neue Email Aufmachen und auf die Kontakte klicken. Dann Outlook zu. Und unter Systemsteuerung das Konto wieder löschen. Dann Outlook starten und dann hat man im Adressbuch zweimal "Kontakte" stehen, einmal das vom eigenen Postfach und das aus der Shared Mailbox. Denn das steht dann unter Kontoeinstellungen / Adressbücher mit im Outlook Adressbuch mit drin. Aber das ist halt auch nicht optimal weil nicht dransteht woher es kommt, wenn jetzt ein User z.B. 4 Shared Mailboxes hätte, hat er 4x Kontakte drinstehen und müsste sich immer durchklicken.

Ok dann ist das halt so... Wie kann ich denn die Kontakte einer Shared Mailbox mir anzeigen lassen als Adressbuch?

Ist es nicht möglich einem User für einen Ordner in der Shared Mailbox einzuschränken, obwohl er Vollzugriff hat?

Hallo, wir haben Outlook 2010 und 2013. Ein User bekommt Vollzugriff auf das Shared Mailbox, durch Automapping bekommt er automatisch das Postfach in sein Outlook. Kann ich jetzt den User einschränken? Er soll z.B. Kontakte lesen können aber nicht bearbeiten? Wenn ich es über die rechte Maustaste Berechtigung mache, schein es nicht zu funktionieren. Habe das heute morgen um 8 Uhr eingetragen, aber bis jetzt kann er noch einen Kontakt anlegen und löschen. Gibt es da Möglichkeiten? Natürlich könnte ich jetzt nur die Rechte auf das Postfach anlegen und dies von Hand in den Kontoeinstellungen eintragen, aber später das bei 1000 Usern zu machen ist nur bedingt cool. Ziel ist es die ganzen ÖO sterben zu lassen und die Informationen in Shared Mailboxen zu übertragen. Jedoch hat nicht immer die ganze Abteilung Vollzugriff auf den gesamten Inhalt.

Zertifikate die unter Dienste "none" stehen haben, kann ich bedenkenlos löschen, da ja nicht in Verwendung, oder? Zum Schluß sollte nur noch das eine Zertifikat da stehen? Muss ich das Zertifikat an meine internen Clients noch verteilen?

Jetzt ohne was zu machen ist das Häckchen dran. Ich denke es hat ein wenig gedauert bis die Proxy Einstellungen greifen, kann das sein? Jetzt kann ich diesem Zertifikat einfach die Dienste zuweisen, die Pfade umstellen und fertig? Mobil die Zertifikatsmeldung akzeptieren, muss ich an den Clients was beachten? Gibts da eine Falle? Ich bin jetzt wie folgt vorgegangen: Split-DNS Primäre Zone "owa.externe.domäne" angelegt Host ohne Name auf interne IP vom Exchange Server darin angelegt Primäre Zone "autodiscover.externe.domäne" angelegt Host ohne Name auf interne IP vom Exchange Server darin angelegt Zertifikat Hab das Zertifikat in der MMC am lokalen Computer unter eigene Zertifikate importiert. Dann habe ich das Zertifikat exportiert mit der Kette und Schlüssel. Siehe hier Dieses File habe ich in der Exchange Konsole importiert. Dann habe ich den winhttp proxy eingestellt. Siehe hier

Ja, da hast du recht!! Bin da jetzt auch a bissel weitergekommen: Aber es steht jetzt folgendes dabei: "Der Zertifikatsstatus konnte nicht ermittelt werden, da die Sperrungsüberprüfung keinen Erfolg hatte." Dr Google sagt winhttp proxy Problem. Hier habe ich nun unseren Proxy eingetragen, jedoch ohne Erfolg. Auch den bypass habe ich mit "*.interne.domäne" angegeben, auch ohne Erfolg. Habe die Einstellungen vom IE übernommen, ohne Erfolg. Kann es jetzt noch an der Firewall hängen?

Wie kann das sein? Es ist ein gültiges Zertifikat und ist auch auf anderen Servern im Einsatz ohne Probleme.

Ja das habe ich schon gemacht. Habe unter Eigene Zertifikate das pfx importiert. In der Exchange Konsole taucht es dann auch wieder auf. Aber es steht wieder "Das Zertifikat ist für die Exchange Server-Verwendung ungültig." dran. Edith: in der Exchange Shell taucht es bei get-ExchangeCertificate auch auf.

Ok. Wie mache ich es richtig?

Sorry hab mit Zertifikaten noch nie viel gemacht. Aber da es von GoDaddy ist denke ich "Vertrauenswürdige Stammzertifizierungsstelle" Ich habe jetzt die pfx importiert mit dem Passwort. Ich könnte auch das crt File importieren, da will er aber kein Passwort?!?

Das Zertifikat ist ja schon bei uns vorhanden. Ja es hat auch einen privaten Schlüssel. Ich habe es jetzt ganz einfach probiert auf der Exchange Konsole. Neues Exchange Zertifikat importieren. Aber so wird das nicht klappen. Wo soll ich es importieren? Also in "Eigene Zertifikate" oder "Vertrauenswürdige Stammzertifizierungsstellen"?

Hmmm... wenn ich das Wildcard Zertifikat importiere, macht er das zwar, aber dann steht dahinter "Das Zertifikat ist für die Exchange Server-Verwendung ungültig." Im Betreff steht "CN=*.domäne.de, OU=Domain Control Validated" Was läuft da falsch? Wie importiere ich das Wildcard Zertifikat richtig?

Nein da ich das mittels MDM einfach pushen kann. Einfach nur den Kalender und die Kontakte. Da bekommt der User gar nichts von mit. Das muss ich mal testen, wie das denn Mobil aussieht. Das könnte eine Falle werden... Ober sticht Unter.... wenn das gewünscht ist, muss ich halt checken was möglich ist. Und wenn möglich für uns die beste Lösung. Ich werde es einfach mal testen. Dachte nur das ist bestimmt schon eine öfters vorkommende Anforderung und jemand hat da schon a bissle Erfahrung was ganz praktisch ist.

Momentan haben wir öffentliche Ordner im Einsatz. Und die Sekretärinnen kopieren von Hand die Kontakte in die Postfächer der jeweiligen Personen rein. Damit diese auch auf den mobilen Telefonen zu verwenden sind. Jedoch ist das echt umständlich und ich denke nicht mehr Zeitgemäß. Aber wie macht man es richtig? Die meisten Kontakte sind keine Internen Kontakte sondern externe wie z.B. der Aufsichtsrat. Jeder hat andere Anforderungen an seine Kontakte. Adressbücher: Aufsichtsrat - Adressbuch (AR) Abteilungsleiter - Adressbuch (AL) Geschäftsführer - Adressbuch (GF) Kontakte Abteilung 1 - Adressbuch (K1) Kontakte Abteilung 2 - Adressbuch (K2) Kontakte Abteilung 3 - Adressbuch (K3) Kontakte Abteilung 4 - Adressbuch (K4) Kontakte Abteilung 5 - Adressbuch (K5) Wünsche verfügbarer Adressbücher mobil: Geschäftsführer 1 - AR, GF, AL, K1, K3 Geschäftsführer 2 - AR, GF, AL, K1, K4 Geschäftsführer 3 - AR, GF, AL, K3, K4 Abteilungsleiter - GF, AL, KX... Jetzt ist die Idee da einfach Shared Mailboxes zu machen um diese dann aufs Mobiltelefon einzubinden. Müsste man den User aktivieren und ein Passwort vergeben. (falls überhaupt möglich) Da man jeweils auch eine Emailadresse und auch Kalender verwendet wäre alles gebündelt in einer Shared Mailbox abgedeckt, was die jeweiligen Abteilungen benötigen. Oder macht man einfach eine eigene Mailbox und fertig. Wobei mehrere damit Arbeiten sollen, die Sekretärinnen sowie die Abteilungen usw. Aber ist das der Weg? Wie macht man es richtig? Könnt ihr mir die richtige Richtung weisen? Den einen richtigen Weg wird es nicht geben, denke ich... Ich hoffe ich habe es verständlich geschrieben, gar nicht so einfach das in Worte zu fassen... Wir möchten auch weg von Öffentlichen Ordner um da nicht irgendwann in eine Falle zu tappen.

Nunja das hätten wir schon... würde also nichts kosten. Google kenne ich ja, aber leider wird überall was anderes geschrieben... Siehe oben Split DNS da kann ich dir kurz 10 Seiten zeigen, wo 10 unterschiedliche Dinge stehen, zwar geht alles in die gleiche Richtung, jedoch aber unterschiedlich. SRV Eintrag muss man setzen, hier sagt man das braucht man nicht usw. Und warum nicht die Leute hier fragen die es wissen?

@NorbertFe Könntest du das bitte noch etwas ausführen? Was für Konfiguration müsste ich möglicherweise vornehmen? Sorry noch kenne ich mich damit noch nicht wirklich aus... aber irgendwann ist immer das erste Mal...

Aber dann klappt das doch auch mit einem Wildcard Zertifikat? *.externe.domäne

Hi Jan, ok beim Befehl "Get-ClientAccessServer |fl identity,autodiscoverserviceinternaluri" bekomme ich folgendes: Identity : Hostname AutoDiscoverServiceInternalUri : https: //hostname.interne.domäne/Autodiscover/Autodiscover.xml Also legen ich einfach noch die Zone autodiscover.externe.domäne an mit dem Eintrag der internen IP Adresse des Exchange Servers? Edith: Dann brauche ich ein Zertifikat für folgende Namen: owa.externe.domäne autodiscover.externe.domäne

Ok, kurze Zusammenfassung, falls ich das richtig verstanden habe 1. Neue Forwardzone owa.externe.domäne 2. hier ein leerer Eintrag auf die interne IP Adresse des Exchange Servers. 3. Ein SRV Eintrag in der lokalen Domäne _tcp für _autodiscover erstellen, Host wäre dann owa.externe.domäne Das wären die Einstellungen am DNS(?) Jetzt muss ich am Exchange alle externe URLs anpassen. Was ich noch nicht verstanden habe, oder mir nicht sicher bin: Die internen URLs lege ich auch auf die externe URL also z.B. owa.externe.domäne , da die DNS Geschichte das sowieso intern umleitet. Das mache ich aber erst wenn ich das Zertifikat habe, oder? An welchen Stellen muss ich die externe und interne URL überall umstellen? AutodiscoverVirtualDirectory WebServicesVirtualDirectory OWAVirtualDirectory ECPVirtualDirectory OABVirtualDirectory ActiveSyncVirtualDirectory Habe ich alles? Sorry für diese Fragen, aber das habe ich noch nicht gemacht und will nur sicher gehen. Man lernt ja nie aus...

Interner Domänenname ist hans.dampf (zwei ausgeschriebene Wörter) Extern ist firma.de Das mit dem internen Namen und Zertifikat da hatte ich schon irgendwie ne Ahnung. Gibts da ein schönes Howto für SplitDNS damit ich mal abschätzen kann wie der Aufwand ist. Edith: Das ist nur eine Zone im DNS wo ich die Namen auf die internen IPS auflöse?

Hallo, man möchte hier ein ausgestelltes Zertifikat verwenden. Man möchte beim OWA das es nicht zu der Fehlermeldung kommt, wegen dem selbstsigniertem Zertifikat. Nun kurze Frage ob ich alle richtig gemacht habe (habe noch nie mit richtig "echten" Zertifikaten was gemacht): Ich erstelle den Request ganz normal in der Exchange Konsole. Gebe den Name OWA intern und extern an. Active Sync Name (gleich wie OWA bei uns) Macht es Sinn Outlook Anywhere gleich mitzuverwenden, obwohl es (noch) nicht verwendet wird? Geht da der gleiche Name wie beim OWA oder muss der zwingend anders sein? Dann Autodiscover Name intern und Extern. Dann bekomme ich die Zusammenfassung: hostname.lokale.domäne owa.externe.domäne autodiscover.lokale.domäne autodiscover.externe.domäne (eventuell Outlook Anywhere Extraname) Welchen muss ich hier als allgemeinen Namen angeben den hostname.lokale.domäne oder owa.externe.domäne?

Das habe ich soweit hinbekommen. Richtlinie musste noch angelegt werden. Kannst du mal Beispiele geben?