MikeMcse 10 Geschrieben 27. Januar 2009 Melden Teilen Geschrieben 27. Januar 2009 Hallo, System: Exchange 2007 auf Server 2008 All in One Box Nun haben wir über OWA immer diese Zertifikatsfehler bekommen und RPC ging auch nicht, also haben wir uns ein SSL Zertifikat besorgt, nun kommt am Client (Outlook 2007) ab und zu der fehler dass, das Zertifikat nicht richtig sei. Was auch stimmt weil ja das Zertifikat auf die externe URL ausgelegt ist. 1. Warum nuntzt der normale Outlook client SSL? dachte es läuft über Mapi? 2. wie kann das Problem am besten gelöst werden? Exchange 2007 Client Access Server ?? oder kann man die Zertifikate für Intern und Extern bestimmen? über einen EDGE transport server funktioniert ja kein OWA, habe ich zumindest so gelesen. Grüsse Mike Zitieren Link zu diesem Kommentar
NorbertFe 1.830 Geschrieben 27. Januar 2009 Melden Teilen Geschrieben 27. Januar 2009 Was auch stimmt weil ja das Zertifikat auf die externe URL ausgelegt ist. 1. Warum nuntzt der normale Outlook client SSL? dachte es läuft über Mapi? Weil die Webservices eben nicht über Mapi sondern https funktionieren. 2. wie kann das Problem am besten gelöst werden? Exchange 2007 Client Access Server ?? oder kann man die Zertifikate für Intern und Extern bestimmen? SAN Zertifikat. Such mal danach. über einen EDGE transport server funktioniert ja kein OWA, habe ich zumindest so gelesen. Richtig gelesen. Der ist nur für ein und ausgehenden SMTP Traffic sowie dessen Filterung zuständig. Bye Norbert Zitieren Link zu diesem Kommentar
MikeMcse 10 Geschrieben 27. Januar 2009 Autor Melden Teilen Geschrieben 27. Januar 2009 Welche Webservices sind denn das die Outlook nutzt? Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 28. Januar 2009 Melden Teilen Geschrieben 28. Januar 2009 Welche Webservices sind denn das die Outlook nutzt? Hallo Mike, genauer gesagt ist es der Autodiscover der bei dir Probleme zu machen scheint. Per default greift Outlook 2007 auf https://autodiscover.deinedomain.de zu um dort z.B. Free/Busy Zeiten und den Out-Of-Office Agenten abzufragen bzw. zu konfigurieren. MS empfiehlt daher auch autodiscover.deinedomain.de als Subject Alternative Name mit in das Zertifikat aufzunehmen. Zitieren Link zu diesem Kommentar
MikeMcse 10 Geschrieben 29. Januar 2009 Autor Melden Teilen Geschrieben 29. Januar 2009 könnte ich auch einen zusätzlichen Client Access Server installieren und dann das Zertifikat auf den Client Access Server legen. würden sich dann alle Clients an dem neuen CAS anmelden? Weil dann hääte ich ja wieder das selbe problem. gibt es nur die Lösung mit dem SAN-Zertifikat? wäre es überhaupt möglich verschiedene Domainnamen dort anzugeben? da z.B. extern lt. die domain Meine-Firma.de und Intern Meine-Firma-GmbH.local bei einem Wildcard Zertifikat kann ich ja nur die Subdomain ändern. Zitieren Link zu diesem Kommentar
NorbertFe 1.830 Geschrieben 29. Januar 2009 Melden Teilen Geschrieben 29. Januar 2009 könnte ich auch einen zusätzlichen Client Access Server installieren und dann das Zertifikat auf den Client Access Server legen. würden sich dann alle Clients an dem neuen CAS anmelden? Weil dann hääte ich ja wieder das selbe problem. Warum willst du denn noch einen CAS installieren? ;) Ja, das löst dein Problem nicht. gibt es nur die Lösung mit dem SAN-Zertifikat? Soweit mir bekannt, ja. wäre es überhaupt möglich verschiedene Domainnamen dort anzugeben? Klar. da z.B. extern lt. die domain Meine-Firma.de und Intern Meine-Firma-GmbH.local Ja. bei einem Wildcard Zertifikat kann ich ja nur die Subdomain ändern. Richtig, deswegen brauchst du ja auch kein Wildcard sondern ein SAN Zertifikat. Bye Norbert Zitieren Link zu diesem Kommentar
MikeMcse 10 Geschrieben 29. Januar 2009 Autor Melden Teilen Geschrieben 29. Januar 2009 ich dachte, dass ich eventuell 2 CAS laufen lassen könnte und die internen clients dann einen nutzen und die externen einen anderen :) kennt jemand einen dienst wo die SAN-Zertifikate am billigsten sind? Qualität ist ja nicht besonders wichtig bei Zertifikaten oder? Zitieren Link zu diesem Kommentar
gelöscht 0 Geschrieben 29. Januar 2009 Melden Teilen Geschrieben 29. Januar 2009 Hallo, die Variante ich vor allem aus Security Aspekten empfehlen würde wäre die Veröffentlichung von OWA über einen ISA Server. Als Nebeneffekt benötigst Du dann auch kein SAN Zertifikat da die "externe" URL auf den ISA zeigt. "Intern" kannst Du problemlos mit einer eigenen PKI arbeiten und deren Zertifikate für die angesprochenen Exchange Webservices verwenden. ASR Zitieren Link zu diesem Kommentar
NorbertFe 1.830 Geschrieben 29. Januar 2009 Melden Teilen Geschrieben 29. Januar 2009 Hallo,die Variante ich vor allem aus Security Aspekten empfehlen würde wäre die Veröffentlichung von OWA über einen ISA Server. Als Nebeneffekt benötigst Du dann auch kein SAN Zertifikat da die "externe" URL auf den ISA zeigt. Naja entweder SAN Zertifikat oder mehrere Listener mit einzelnen Zertifikaten. Sonst wirds schwer mit Audodiscover. (wenn mans denn will und braucht). Bye Norbert Zitieren Link zu diesem Kommentar
gelöscht 0 Geschrieben 30. Januar 2009 Melden Teilen Geschrieben 30. Januar 2009 Naja entweder SAN Zertifikat oder mehrere Listener mit einzelnen Zertifikaten. Sonst wirds schwer mit Audodiscover. (wenn mans denn will und braucht). Hallo Norbert, richtig - aber es geht hier ja "nur" um OWA. Warum und ob die Exchange Web Services ins Internet veröffentlicht werden sollten steht auf einem anderen Blatt. Ich rate i.d.R. den Kunden davon ab, allein schon wegen der bescheidenen Authentifizierungsmöglichkeiten. Und wenn schon dann mit separatem Listener. ASR Zitieren Link zu diesem Kommentar
NorbertFe 1.830 Geschrieben 30. Januar 2009 Melden Teilen Geschrieben 30. Januar 2009 Hallo Norbert,richtig - aber es geht hier ja "nur" um OWA. Warum und ob die Exchange Web Services ins Internet veröffentlicht werden sollten steht auf einem anderen Blatt. Naja, wer OWA sagt will meist auch Outlook Anywhere ;) Bye Norbert Zitieren Link zu diesem Kommentar
MikeMcse 10 Geschrieben 30. Januar 2009 Autor Melden Teilen Geschrieben 30. Januar 2009 Autodiscover muss nicht ins internet, und das mit dem ISA gefällt mir. momentan nutzen wir unseren nur als Proxy, werde den mal als Edge Firewall einrichten. lg Zitieren Link zu diesem Kommentar
NorbertFe 1.830 Geschrieben 30. Januar 2009 Melden Teilen Geschrieben 30. Januar 2009 Autodiscover muss nicht ins internet, Kommt ja wohl eher drauf an, was du alles vom Exchange nutzen willst, oder? ;) und das mit dem ISA gefällt mir. momentan nutzen wir unseren nur als Proxy, werde den mal als Edge Firewall einrichten. Grins. Ja komisch nicht? ;) Erst jetzt stellt sich raus, was so ein ISA alles kann.... Bye Norbert Zitieren Link zu diesem Kommentar
gelöscht 0 Geschrieben 30. Januar 2009 Melden Teilen Geschrieben 30. Januar 2009 Naja, wer OWA sagt will meist auch Outlook Anywhere ;) Erfahrungsgemäß nur so lange bis er über die Security Issues aufgeklärt wird... Schon mal Oulook Anywhere mit Zwei-Faktor Authentifizierung eingerichtet? :wink2: ASR Zitieren Link zu diesem Kommentar
MikeMcse 10 Geschrieben 31. Januar 2009 Autor Melden Teilen Geschrieben 31. Januar 2009 wichtig ist das OWA und (outlook Anywhere) bzw. RPC over HTTP und unsere iPhones laufen, bin nicht sicher ob unter dem begriff noch mehr features stehen. momentan scheint das alles mit 2 Ports zu funktionieren (25, 443) mehr ist nicht offen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.