Jump to content

ISA - Exchange 2003/2007/2010 und Zertifikat

catao

Von catao
in MS Exchange Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

catao Rising Star

catao   11

Geschrieben
Geschrieben

Hallo Zusammen,

 

um mein Problem so verständlich wie möglich zu beschreiben, muss ich ein wenig ausholen.

 

Ich habe folgende Umgebung:

 

DC 1 (W2K3)

DC 2 (W2K8)

Exchange 2003 (W2K3)

Exchange 2007 (W2K8)

Exchange 2010 (W2K8 R2)

ArchivServer (W2K3)

ISA 2006 (W2K3) - in der DMZ

 

Auf dem ISA, Archiv und den Exchange-Servern habe ich ein Zertifikat (extern.domain.tld) installiert. Im ISA habe ich die entsprechenden Regeln erstellt, mit denen ich per Remote auf den Archiv und dem Exchange 2003-Server mittels OWA und Handy zugreifen kann.

In der Regel für den OWA (Exchange 2003 ) Zugriff, habe ich als veröffentlichte Site (Register: "Bis") extern.domain.tld (Adresse wie auch im Zertifikat) angegeben. Diese habe ich in der hosts-Datei mit der entsprechenden IP-Adresse angeben. Ähnliches Prozedere auch für den Archivserver, wobei ich dort als Ziel archiv.domain.tld, mit dem entsprechenden hosts Eintrag angegeben habe.

 

Soweit alles in Ordnung.

 

Also habe ich eine neue Regel erstellt in der ich die erforderlichen Pfadangaben für den 2010er eingegeben habe. Als Ziel für die veröffentlichte Site musste ich aber einen anderen Namen verwenden, als den für den 2003er, also e2010. domain.tld.

 

Auch hier habe ich die hosts-Datei angepasst.

 

Gebe ich nun im Browser (von extern) https://extern.domain.tld/owa ein, erhalte ich die Fehlermeldung: Fehlercode: 500 Interner Serverfehler. Der Zielprinzipalname ist falsch. /-2146893022)

 

Soweit ich bisher via Tante Google herausfinden konnte, scheint das Problem an dem Zertifikat, da ich intern ja eine andere Ziel Site angegeben habe. Das konnte ich auch soweit verifizieren, indem ich die vorhandenen Regeln mit den Zieladressen und die hosts-Datei angepasst habe. Denn danach bekam ich einen Zugriff auf das 2010er OWA.

 

Also scheint das Problem an dem Zertifikat zu liegen und das der Exchange auch korrekt mit dem Namen angesprochen werden muss, wie das Zertifikat lautet. In diesem Zusammenhang habe ich aber etwas mit DNS Splitt gelesen, nur so richtig verstanden habe ich es nicht.

 

Was mich nur etwas wundert ist die Tatsache, dass es den Archivserver selbst nicht so beeindruckt, wenn ich im ISA intern eine andere Site, wie die im Zertifikat angebe. Denn er Zugriff via https://extern.domain.tld/archiv (archiv.domain.tld in der hosts) erfolgt ohne Probleme.

 

Innerhalb des Netzwerks kann ich mich an dem 2010er OWA anmelden und wenn er merkt das es sich um ein 2007er Postfach handelt, dann schwenkt er korrekt um. Der Zugriff auf ein 2003er Postfach über die 2010er OWA-Anmeldemaske ist nicht möglich, was ja auch in Ordnung ist.

 

Als ich bei meinem Testen die ISA-Regeln so umgedreht habe, dass ich mich von extern an dem 2010er OWA anmelden konnte, bekam ich auch auf das Postfach was auf diesem liegt meinen Zugriff. Habe ich mich jedoch mit einem 2007er Userlogin angemeldet, dann hatte ich im Browser die interne Zieladresse https://ex2007.domäne.local/owa/ und wie sich jeder vorstellen kann, flog er dabei auf die Nase.

 

Die Frage ist ob und wie ich mit dem ISA die 3 unterschiedlichen Exchange-Server (inkl. ExchangeActiveSync) und nach Möglichkeit mit einem Zertifikat veröffentlichen kann. Bräuchte ich evtl. ein Wildcard-Zertifikat?

 

Puhh .... Ich hoffe das ich alles Verständlich rüberbringen könnte und hoffe jemand von euch kann mir bei dem Problem weiterhelfen.

 

Vielen Dank schon mal im Voraus!

 

René

Link zu diesem Kommentar
fluehmann Experienced

fluehmann   10

Geschrieben
Geschrieben

Hallo catao

 

Ein Wildcard Zertifikat brauchst du nicht, mehrere SANs (Subject Alternate Names) im Zertifikat würden sich da schon empfehlen, vor allem wenn das Zertifikat für mehrere Server sein sollte und auch für die Kkoexistenz zwischen Exchange Server 2007 und 2010.

 

Auch der ISA sollte dann diese SANs im Zertifikat unterstützen. Ich bin mir nicht mehr ganz sicher ob das bei älteren ISA Versionen so war.

 

Bei einem SAN Zertifikat sollten dann sicher mal folgende Hostnamen drinstehen (Beispiel):

 

extern.domain.ch (Ausgestellt für, Hauptname)

legacy.domain.ch (Domein bei Zugriff von CAS 2010 auf 2007ner Mailbox; Umleitung auf 2007ner CAS)

autodiscover.domain.ch

 

Ressourcen und Informationen hier:

Understanding Digital Certificates and SSL: Exchange 2010 Help

 

Upgrade from Exchange 2007 Client Access: Exchange 2010 Help

 

Upgrade from Exchange 2003 Client Access: Exchange 2010 Help

 

Gruss

fluehmann

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...