Dutch_OnE 37 Geschrieben 8. Januar 2011 Melden Teilen Geschrieben 8. Januar 2011 Hallo, ich habe einen SBS2008 SBS mit Exch 2K7 SP3 im Einsatz. Bisher habe ich das selbst erstellte Zertfikat im Einsatz. Outlook funktioniert einwandfrei, OWA zeigt eine Warnmeldung im Explorer an, funktioniert aber trotzdem. Nun habe ich mit ein offzielles Zertifikat (mit Zwischenstellenzertifizierung)über PSW gekauft und möchte die Meldung im Browser dadurch verhindern. Ich habe eine I-Net Domäne reserviert und die Host Einträge beim Provider auf meine offzielle IP weitergeleitet. Laut Hotline soll ich dieses im IIS importieren und danach in die dazugehörige Website binden. Wenn ich das mache, funktioniert OWA ohne Fehlermeldungen, dafür zeigt mir meine Clients (alle mit Domänenanbindung) nun einen Zertifikatsfehler. Ich habe im Netz viele Lösungsansätze gefunden, die aber alle nicht geholfen haben. - Weitere DNS Zone für externe Domäne mit Host Einträgen erstellen - Neue Site im IIS einbinden und den OWA Ordner dorthin auslagern - Zertifizierungspfade über Exchange Shell ändern ... Welche Möglichkeit / Anleitung / Tutorial kann mir helfen, dass sowohl Outlook, als auch OWA ohne Zertifikatsfehler funktionieren ? Gruß Dutch Zitieren Link zu diesem Kommentar
NorbertFe 1.845 Geschrieben 8. Januar 2011 Melden Teilen Geschrieben 8. Januar 2011 Ich habe im Netz viele Lösungsansätze gefunden, die aber alle nicht geholfen haben. Dann hast du die falschen gefunden. Du brauchst wenn du keinen vorgelagerten Reverse Proxy hast einfach ein SAN Zertifikat (Subject alternative names). Kostet natürlich ein wenig mehr. ;) Bye Norbert Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 8. Januar 2011 Melden Teilen Geschrieben 8. Januar 2011 Wie unterscheiden sich interne und externe Domäne? Zitieren Link zu diesem Kommentar
r2k 10 Geschrieben 9. Januar 2011 Melden Teilen Geschrieben 9. Januar 2011 Schau dir mal das an: MSXFAQ.DE - SANZertifkate Dann verteile die Root-CA per GPO Zitieren Link zu diesem Kommentar
NorbertFe 1.845 Geschrieben 9. Januar 2011 Melden Teilen Geschrieben 9. Januar 2011 Wozu sollte er die Root-CA verteilen? ;) Du meinst eher das Root-Zertifikat der CA, oder? Abgesehen davon nutzt ihm das mit seinem gekauften Thawte Zertifikat gar nix. Bye Norbert Zitieren Link zu diesem Kommentar
r2k 10 Geschrieben 9. Januar 2011 Melden Teilen Geschrieben 9. Januar 2011 Wozu sollte er die Root-CA verteilen? ;) Du meinst eher das Root-Zertifikat der CA, oder? Abgesehen davon nutzt ihm das mit seinem gekauften Thawte Zertifikat gar nix. Bye Norbert ehm ja richtig :) man(n) sollte nicht halb verschlafen hier posten ;) Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 9. Januar 2011 Melden Teilen Geschrieben 9. Januar 2011 meinst eher das Root-Zertifikat der CA, oder? Und zu dessen Verteilung benötigt er bei einer AD-integrierten Zertifizierungsstelle ohnehin kein zusätzliches GPO. Building an Enterprise Root Certification Authority in Small and Medium Businesses Meine Lösung für das ursprüngliche Problem des TO, falls sich interne und externe Domäne unterscheiden: - Zusätzliche AD-integrierte Zone (keine dynamischen Updates) entsprechend der externen anlegen; - extern gehostete Hosts dieser Zone (z.B. "www") mit deren externen IP-Adressen eintragen; - Hosteintrag für Webmail (z.B. "mail" oder "webmail") mit interner IP-Adresse eintragen; - Pfade für Exchange-Webservices anpassen (Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, Set-ClientAccessServer etc.), um Zertifikatsfehlermeldungen von Clients mit Outlook 2007/2010 zu beseitigen; - gekauftes Zertifikat mit Enable-ExchangeCertificate an Exchange-Dienste (SMTP, IMAP etc.) binden, um Fehler 12014 etc. zu vermeiden; - interne und externe URLs für Outlook Web Access in Exchange-Konsole anpassen (extern = intern). Zitieren Link zu diesem Kommentar
Dutch_OnE 37 Geschrieben 9. Januar 2011 Autor Melden Teilen Geschrieben 9. Januar 2011 Vielen Dank erst einmal für die Antworten. Vielleicht mache ich aber auch einen Denkfehler: interne Domäne ist doch meine lokale mit der Outlook funktioniert ? externe Domäne ist diejenige die ich für OWA benutzen möchte ? Nun habe ich an dmetzger eine Frage. 1) Zusätzliche AD Zone ist soweit klar. 2) Da es keinen www Server gibt, muss ich dann überhaupt was eintragen, bzw. ich hätte nun nur den HostA auf meinen lokalen Server gesetzt ? Beim Provider ist das ja schon geschehen. 3) ist damit der mx Eintrag gemeint ? 4) Das ist für die interne Domäne abgestimmt. Kann man da weitere für die andere Domäne setzen ? 5) Kann man diese über die Exchange Shell setzen ? 6) Welche muss ich den da setzen ? Dachte intern ist https://serverip/owa und externe ist https://webadresse/owa Über weitere Hinweise würde ich mich sehr freuen. Danke Zitieren Link zu diesem Kommentar
NorbertFe 1.845 Geschrieben 9. Januar 2011 Melden Teilen Geschrieben 9. Januar 2011 2) Da es keinen www Server gibt, muss ich dann überhaupt was eintragen, bzw. ich hätte nun nur den HostA auf meinen lokalen Server gesetzt ? Ja du trägst den externen Namen ein mit interner IP deines Exchangeserver, so dass interne Clients webmail.deinedomain.de auch intern korrekt mit der internen IP auflösen. 3) ist damit der mx Eintrag gemeint ? Nein ein A-Record in der neuen Zone. Übrigens du plenkst. 4) Das ist für die interne Domäne abgestimmt. Kann man da weitere für die andere Domäne setzen ? Du nimmst im Endeffekt die interne Zone aus der Konfiguration raus. Da durch die zusätzliche intern gehostete DNS Zone interner=externer Name ist für die Clients. 5) Kann man diese über die Exchange Shell setzen ? Was genau? Die Zertifikate? Hat er dir doch geschrieben. 6) Welche muss ich den da setzen ? Dachte intern ist https://serverip/owa und externe ist https://webadresse/owa Serverip is sowieso falsch, da man keine Zertifikate auf IPs ausstellt. Siehe 4. Über weitere Hinweise würde ich mich sehr freuen. Du kannst auch einfach ein SAN Zertifikat mit zusätzlich internem Namen kaufen, dann mußt du dieses ganze Umkonfigurieren gar nicht machen. Bye Norbert PS: Erwähnte ich schon dein Plenken? Zitieren Link zu diesem Kommentar
Dutch_OnE 37 Geschrieben 10. Januar 2011 Autor Melden Teilen Geschrieben 10. Januar 2011 Guten Morgen, ich denke ich werde über das andere Zertifikat nachdenken. Dennoch eine Frage zu Punkt 6: 6) Welche muss ich den da setzen ? Dachte intern ist https://serverip/owa und externe ist https://webadresse/owa Serverip is sowieso falsch, da man keine Zertifikate auf IPs ausstellt. Siehe 4. D.h. das ich dort nur die externe Adresse benutzen müsste? Zitieren Link zu diesem Kommentar
NorbertFe 1.845 Geschrieben 10. Januar 2011 Melden Teilen Geschrieben 10. Januar 2011 Man man man. Servername=intern=extern. Was wirst du wohl da also einsetzen? Bye Norbert Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 10. Januar 2011 Melden Teilen Geschrieben 10. Januar 2011 D.h. das ich dort nur die externe Adresse benutzen müsste? Ja. Und dann brauchst Du auch kein anderes Zertifikat, sondern kannst das bereits gekaufte verwenden. Zitieren Link zu diesem Kommentar
Dutch_OnE 37 Geschrieben 10. Januar 2011 Autor Melden Teilen Geschrieben 10. Januar 2011 Wäre es theoretisch nicht ausreichend im IIS für OWA ein neues Verzeichnis anlegen und dort nur das neue Zertifikat binden? Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 10. Januar 2011 Melden Teilen Geschrieben 10. Januar 2011 Weder theoretisch noch praktisch. Sonst hätten wir das als Möglichkeit aufgezeigt. Vielleicht möchtest Du Dich bei Gelegenheit mit den Grundlagen von DNS und PKI vertraut machen? Zitieren Link zu diesem Kommentar
Dutch_OnE 37 Geschrieben 10. Januar 2011 Autor Melden Teilen Geschrieben 10. Januar 2011 Habt ihr da nen guten Link oder Buchtipp wo ich mich weiter informieren kann ? Ich denke dass ich mit einem Multidomain Zertifikat besser fahre, denn der Server ist bereits im Einsatz. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.