phboos 10 Geschrieben 16. Januar 2009 Melden Teilen Geschrieben 16. Januar 2009 Hallo, ich hab mir jetzt schon nen wolf gesucht und entweder ich suche falsch oder es gab die frage bisher noch nicht, folgende Situtation: Ich habe hier einen Exchange 2007 Server in einer rein Windows 2003 AD Domäne, diese wurde entsprechend unter dem domänennamen myfirm.local aufgesetzt. Der Exchange Server ist entsprechend auch unter ex01.myfirm.local im internen Netz erreichbar. Nun möchte ich ein offizielles SSL Zertifikat für die interne als auch externe Kommunikation mit dem Exchange haben. Von außen wird jedoch über die Domain myfirm.de zugegriffen. Wie stelle ich dieses nun am sinnvollsten an. Der Server hat intern eine private IP Adresse 192.168.x.x und extern wird diese auf eine offizielle genattet. Am schönsten wäre es, ein Zertifikat zu nutzen, welches zum einen autodiscover.myfirm.de und ex01.myfirm.de (für OWA) abdeckt. Durch myfirm.local im internen wird dieses aber probleme bringen. Hat jemand eine Idee, wie ich dieses lösen kann? Die Domäne komplett umstellen von myfirm.local auf myfirm.de? Für Ideen bin ich gerne zu haben. Achja,bevor ich es vergesse, als Clients kommen Outlook 2007 mit SP1 sowie iPhones zum einsatz, bzw. IE und Firefox für OWA danke schonmal Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 16. Januar 2009 Melden Teilen Geschrieben 16. Januar 2009 Hallo phboos, die Lösung hierfür lautet SAN Zertifikate. Mit diesen kannst zu mehrere Hostnamen in das selbe Zertifikat schreiben lassen. Ich verwende für meine Exchange Installationen meist folgendes Tool als Basis für ein CSR: https://www.digicert.com/easy-csr/exchange2007.htm Zitieren Link zu diesem Kommentar
phboos 10 Geschrieben 16. Januar 2009 Autor Melden Teilen Geschrieben 16. Januar 2009 danke für die schnelle antwort, die SAN Zertifikate sind mir bereits ein begriff glaube habe eher noch was vergessen in meinem post, ich will halt auch über autodiscover per https entfernte outlooks konfigurieren, den "erstkontakt" kriegen diese auch über autodiscover.myfirm.de/Autodiscover/Autodiscover.xml Jedoch in der Antwort immer nur die interne URL angegeben zur kommunikation, jedoch nicht die externe, hier mal der auszug aus dem E-Mail Autokonfigurations Test von Outlook 2007: Protocol: Exchange RPC Server: ex01.myfirm.local Login Name: xxxx Availability Service URL: https://ex01.myfirm.local/EWS/Exchange.asmx OOF URL: https://ex01.myfirm.local/EWS/Exchange.asmx OAB URL: https://ex01.myfirm.local/OAB/..... Unified Message Service URL: https://ex01.myfirm.local/UnifiedMessaging/Service.asmx Auth Package: Unspecified Protocol: Exchange HTTP Server: autodiscover.myfirm.de Login Name: xxxx SSL: Yes Mutual Authentication: Yes Auth Package: Basic Certificate Principal Name: msstd.autodiscover.myfirm.de Was mich wundert ist, das er hier HTTP nutzt und nicht HTTPS, dies könnte aber daran liegen, das das ZErtifikat vor 2 Monaten abgelaufen ist oder halt nicht für autodiscover.myfirm.de ausgestellt ist sondern für ex01.myfirm.local ich habe bereits über die Powershell versucht eine andere externe URL für AutodiscoverVirtualDirectory zu setzen, diese will er aber irgendwie auch nicht, ein get-AutodiscoverVirtualDirectory gibt folgendes aus: Name : Autodiscover (Default Web Site) InternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated} ExternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated} BasicAuthentication : True DigestAuthentication : False WindowsAuthentication : True MetabasePath : IIS://ex01.myfirm.local/W3SVC/1/ROOT/Autodiscover Path : C:\Program Files\Microsoft\Exchange Server\ClientAccess\Autodiscover Server : EX01 InternalUrl : https://ex01.myfirm.local/Autodiscover/Autodiscover.xml ExternalUrl : https://ex01.myfirm.de/Autodiscover/Autodiscover.xml AdminDisplayName : ExchangeVersion : 0.1 (8.0.535.0) DistinguishedName : CN=Autodiscover (Default Website),CN=HTTP,CN=Protocols,CN=EX01,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=myfirm,DC=local Identity : EX01\Autodiscover (Default Web Site) Guid : 453b736a-fc19-41f3-9498-a70cfa77d381 ObjectCategory : myfirm.local/Configuration/Schema/ms-Exch-Aut o-Discover-Virtual-Directory ObjectClass : {top, msExchVirtualDirectory, msExchAutoDiscove rVirtualDirectory} WhenChanged : 16.01.2009 18:16:44 WhenCreated : 15.11.2007 14:23:51 OriginatingServer : srv12.myfirm.local IsValid : True srv12 ist ein lokaler DNS Server, im externen DNS stimmt die auflösung auf die NAT Adresse Hoffe ich hab nun mein anliegen etwas genauer geschildert Zitieren Link zu diesem Kommentar
g1n 10 Geschrieben 16. Januar 2009 Melden Teilen Geschrieben 16. Januar 2009 hm, wir haben 1 zertifikat das nur eine adresse abdeckt. von extern wie intern erreichbar als mail.xxxx.de ... setzt doch aufn DNS einfach ein host (a) mit dem entsprechenden verweis auf den exchange. den browsern und auch outlook ist das egal. vorrausetzung für das alias ist natürlich das vorhanden sein einer entsprechende lookupzone. spart kosten beim zertifikat ;) und macht die sache einfach wenn sich intern mal der hostname ändern sollte ;) Zitieren Link zu diesem Kommentar
phboos 10 Geschrieben 16. Januar 2009 Autor Melden Teilen Geschrieben 16. Januar 2009 ihr seit einfach zu schnell hier für mich ;-) intern eine lookupzone zusätzlich einrichten finde ich nicht unbedingt als gute idee, da wir etliche hosts noch drin haben, die unter der offiziellen myfirm.de erreichbar sind (Router, Firewalls, Webserver... was man so hat) dieses sowohl auf den internen DNS als auch auf den Provider DNS zu pflegen birgt da ein wenig probleme, das diese auch immer beide das gleiche machen daher schon lieber mit den beiden unterschiedlichen Zonen für intern local und für extern die .de Zitieren Link zu diesem Kommentar
g1n 10 Geschrieben 16. Januar 2009 Melden Teilen Geschrieben 16. Januar 2009 naja okay..bei uns ist das noch übersichtlich. wir habe nur 10 addressen drin die sich eigentlich selten ändern...diese eine ist darunter. wenn das soviele sind wird die sache das schon unübersichtlich ... da hast du wohl recht ;) Zitieren Link zu diesem Kommentar
phboos 10 Geschrieben 16. Januar 2009 Autor Melden Teilen Geschrieben 16. Januar 2009 @brainstorm danke für den link Ich verwende für meine Exchange Installationen meist folgendes Tool als Basis für ein CSR:https://www.digicert.com/easy-csr/exchange2007.htm allerdings hab ich da ein kleines Problem, das crt File was ich zurück bekomme krieg ich im IIS irgendwie nicht ans laufen, ich hab es in meinen keystore importiert, kann es auch im IIS auswählen, aber ansprechen kann ich den server auf dem port nicht Ich habe ein Zertifikat das alle Domains abdeckt, die ich brauche (5 Stück), neben ex01.myfirm.de, autodiscover.myfirm.de, ex01.myfirm.local, autodiscover.myfirm.local und auch ex01 ohne domainnamen aber ich krieg aufm 443 einfach keinen connect hin, sobald ich das Zertifikat austausche gegen das alte, geht es wieder.... Im Keystore zeigt er es mir auch korrekt an (kompletten Cert Pfad ohne Fehler), irgendeine Idee? Im Firefox bekomme ich immer: Datenübertragung unterbrochen Die Verbindung zu autodiscover.myfirm.de wurde unterbrochen, während die Seite geladen wurde. Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 17. Januar 2009 Melden Teilen Geschrieben 17. Januar 2009 du musst das Cert-File zwingend über die Management Shell per Import-ExchangeCertificate installieren! Anschließend wird das Zertifikat mit Enable-ExchangeCertificate -Services IIS aktiviert Zitieren Link zu diesem Kommentar
phboos 10 Geschrieben 17. Januar 2009 Autor Melden Teilen Geschrieben 17. Januar 2009 ich hab es nun endlich ans laufen gebracht, war etwas tricky, da er irgendwie über die power shell das zertifikat nicht importieren wollte. Über eine neue CSR, die vom IIS generiert wurde und nen Re-Key bei der Zertifikatsstelle konnte ich es dann aber erfolgreich einrichten. nur autodiscover/anywhere will er irgendwie immer noch nicht machen :-( Ich habe anywhere aktiviert und auch die externen Verzeichnisse eingestellt, im Autodiscover-Test zeigt er mir das auch an, aber er verbindet mir mein outlook nicht. Die Frage ist warum? Das Outlook wurde direkt in der Domäne synchronisiert, ist aber seit 14 Tage dort nicht mehr angemeldet gewesen (laptop außer Haus auf Reisen) kann es daran liegen? Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 17. Januar 2009 Melden Teilen Geschrieben 17. Januar 2009 Funktioniert Outlook Web Access denn ohne Zertifikats-Warnmeldung? Welche Authentifizierung ist denn bei Outlook eingestellt? Kommt ein Anmeldedialog? Fragen über Fragen ;) Zitieren Link zu diesem Kommentar
phboos 10 Geschrieben 18. Januar 2009 Autor Melden Teilen Geschrieben 18. Januar 2009 so, zu deinen Fragen: OEA funktioniert ohne Sicherheithinweis, unter der "normalen" adresse ex01.myfirm.de sowie autodiscover.myfirm.de outlook kommt mit einer PW Abfrage Box Authetizierung bei Outlook? an welcher stelle sehe ich die? unter den konteneinstellungen habe ich nur das hier gefunden: Unter Sicherheit / Netzwerksicherheit bei Anmeldung habe ich sowohl Aushandlungsbasiert, als auch NTLM probiert Unter Verbindung habe ich unter erweiterte Proxy Einstellungen auch Standard und NTLM probiert.... er versucht sich zu verbinden und dann kommt immer getrennt Als Proxy Server steht dort autodiscover.myfirm.de drin, bzw. msstd:autodiscover.myfirm.de Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.