Jump to content

2 Exchange 2010 Server mit DAG und Zertifikaten

ditro

Von ditro
in MS Exchange Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

ditro Experienced

ditro   10

Geschrieben
Geschrieben

Hallo zusammen,

 

ich frage mich gerade, ob ich bei einem OWA nach außen hin 2 SSL Zertifikate kaufen muss, oder ob 1 Zertifikat für beide Exchange Server reicht.

 

hab hab den owa auf einen virtuellen namen gelegt.

mail.xyz.de

die beiden server heißen

exchange1.xyz.de

exchange2.xyz.de

 

Gruß

 

Dennis

fluehmann Experienced

fluehmann   10

Geschrieben
Geschrieben

Hallo ditro

 

Sind den die Exchange Rollen HUB und CAS auf beiden Exchange Servern installiert? Betreibst du dafür ein LB?

 

Wie willst den du z.B. den Port 443 auf zwei unterschiedliche IP Adressen (beide Exchange Server) naten??

 

 

Bei nur einem Zertifikat machst du ein Request auf einem Server und installierst dann das Zertifikat mit dem exportierten PrivateKey auf dem anderen.

 

Grüsse

fluehmann

RobertWi Grand Master

RobertWi   81

Geschrieben
Geschrieben

Moin,

 

wie das mit NAT läuft, würde mich auch interessieren.

 

Aber ja: Es braucht nur ein Zertifikat, dass auf beiden Servern installiert wird (bitte über die "Zertifikate"-MMC auf dem einen Server *mit* Private Key exportieren und am besten über die EMC auf dem anderen Server importieren.

fluehmann Experienced

fluehmann   10

Geschrieben
Geschrieben

Das ist richtig mit den Zertifikatsnamen.

 

Jedoch musst du auch beachten wie das CAS-Array angesprochen wird. Im Normalfall wird das mit einem Loadbalancing gelöst. Für das Loadbalancing brauchst du eine separate IP welche dann auf mail.xyz.de registriert ist.

 

Grüsse

fluehmann

fluehmann Experienced

fluehmann   10

Geschrieben
Geschrieben

Da steht folgendes:

 

MSXFAQ.DE - 2-Server-DAG

 

Zertifikate

Wer mehr als nur die physikalischen Namen der Server in der Konfiguration verwendet und mit virtuellen geclusterten IPs und CAS-Arrays agiert, muss auf den Exchange Servern natürlich auf "passende" Zertifikate einrichten, die den Namen enthalten, der von den Clients verwendet wird.

 

Grüsse

fluehmann

  • 2 Wochen später...
ditro Experienced

ditro   10

Geschrieben
  • Autor
Geschrieben
Da steht folgendes:

 

MSXFAQ.DE - 2-Server-DAG

 

 

 

Grüsse

fluehmann

 

Kannst du das kurz näher erklären?

 

brauch ich dann für exchange1 und exchange2 ein eigenes Zertifikat?

 

exchange1.intern.local

autodiscover.intern.local

autodiscover.xyz.de

CAS.intern.local

CAS.xyz.de

 

und das zweite Zertifikat:

 

exchange2.intern.local

autodiscover.intern.local

autodiscover.xyz.de

CAS.intern.local

CAS.xyz.de

RobertWi Grand Master

RobertWi   81

Geschrieben
Geschrieben

Moin,

 

nein, es reicht weiterhin ein Zertifikat, das alle Namen, die Du oben aufgezählt hast, beinhaltet.

 

Frank meinte in seinem FAQ-Eintrag, dass man eben nicht vergessen darf, neben den Name der Server auch den Namen des logischen CAS-Arrays mit einzubauen.

fluehmann Experienced

fluehmann   10

Geschrieben
Geschrieben

Weiterhin kommt es natürlich auch noch darauf an, wie die internalURLs und externalURLs der virtuellen Webverzeichnisse konfiguriert sind.

 

Das wäre dann so, 1 Zertifikat für beide Server:

 

mail.xyz.de (könnte z.B. auch CAS Array Namen sein)

autodiscover.intern.local

autodiscover.xyz.de

exchange1.intern.local

exchange2.intern.local

 

mail.xyz.de könnte z.B. auch im internen Netz gebraucht werden. Ansonsten könnte man da mail.intern.local einrichten und dem Zertifikat auch noch hinzufüghen. Wichtig dabei ist, dass halt bei den internalURLs und externalURLs keine Servernamen benutzt werden.

 

Grüsse

fluehmann

ditro Experienced

ditro   10

Geschrieben
  • Autor
Geschrieben

 

Das wäre dann so, 1 Zertifikat für beide Server:

mail.xyz.de (könnte z.B. auch CAS Array Namen sein)

autodiscover.intern.local

autodiscover.xyz.de

exchange1.intern.local

exchange2.intern.local

 

mail.xyz.de könnte z.B. auch im internen Netz gebraucht werden. Ansonsten könnte man da mail.intern.local einrichten und dem Zertifikat auch noch hinzufüghen. Wichtig dabei ist, dass halt bei den internalURLs und externalURLs keine Servernamen benutzt werden.

 

Grüsse

fluehmann

 

wie meinst du das mit den servernamen? du meinst man darf nicht die netbios Namen nehmen sondern die fqdn Namen? exchange1.intern.Local?

fluehmann Experienced

fluehmann   10

Geschrieben
Geschrieben
du meinst man darf nicht die netbios Namen nehmen sondern die fqdn Namen

 

Muss nicht sein, doch bei unserem Zertifikatsprovider werden Zertifikate mit netbios Namen revoked oder schon gar nicht erstellt.

 

 

Gemeint habe ich aber was anderes, hier ein Beispiel:

Exchange - Exchange 2007 Single Name SSL Certificate | Amset.info

 

Je nachdem wie die internalURLs und externalURLs der virtuellen Exchange Verzeichnisse konfiguriert sind, wäre es auch möglich Exchange ohne Servernamen im Zertifikat zu betreiben....

 

Grüsse

fluehmann

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...