Blase 15 Geschrieben 19. Juli 2011 Autor Melden Teilen Geschrieben 19. Juli 2011 Du brauchst einen A-Record für deine public IP und den Namen schreibst du dann in dein Zertifikat. Im Moment steht in deinem Certifikat "domain.de", was definitiv nicht sinnvoll ist. ;) Bevor ich hier (noch mehr) groben Mist mache, ist es der oberste Eintrag (siehe Screenshot), den ich dann auf unsere öffentliche IP setze? MfG Blase Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 19. Juli 2011 Melden Teilen Geschrieben 19. Juli 2011 Nein. Du legst einen neuen Host an (webmail.domain.com bspw.) und der zeigt auf deine public IP. Wenn du nur eine IP hast, würde das später auch der mx Record werden. Bye Norbert Zitieren Link zu diesem Kommentar
Blase 15 Geschrieben 19. Juli 2011 Autor Melden Teilen Geschrieben 19. Juli 2011 N'abend Norbert, Habe also einen neuen "A" Eintrag "webmail.domain.com" angelegt, welcher auf meine öffentliche IP zeigt. Wenn du nur eine IP hast, würde das später auch der mx Record werden. Als MX Record kann ich keine IP als Ziel anlegen (so hätte ich Dich zumindest ursprünglich verstanden) - jedenfalls beschwert sich das Tool online, dass es keine IP sein darf :confused: Das neue Zertifikat muss dann also auf "webmail.domain.com" lauten, richtig? Dann kann ich das ja schon mal erstellen... MfG Blase Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 19. Juli 2011 Melden Teilen Geschrieben 19. Juli 2011 Moin, ein MX-Eintrag ist immer ein Alias, d.h. da kommt der Hostname rein, den Du für den A-Eintrag verwendet hast (heute erst diskutiert: http://www.mcseboard.de/ms-exchange-forum-80/frage-mx-record-179005.html). Und wenn über den Namen später das OWA laufen soll, muss der Name ins Zertifikat. Zitieren Link zu diesem Kommentar
Blase 15 Geschrieben 19. Juli 2011 Autor Melden Teilen Geschrieben 19. Juli 2011 Hallo Robert, danke für die Info. Sieht irgendwie "doof" aus. Habe jetzt einen MX Eintrag "webmail.domäne.com" der auf das Ziel "webmail.domäne.com" zeigt :suspect: Oh man, wird echt Zeit, dass ich mal tiefer in die Materie eintauche :o Habe generell noch die Möglichkeit eine "Priorität" anzugeben. Standardmäßig werden die MX Einträge mit dem Wert "100" angegeben. Übernehme ich das einfach 1:1? Was bedeutet die Werte? MfG Blase Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 19. Juli 2011 Melden Teilen Geschrieben 19. Juli 2011 Sieht irgendwie "doof" aus. Habe jetzt einen MX Eintrag "webmail.domäne.com" der auf das Ziel "webmail.domäne.com" zeigt :suspect: Ja, und? Bzw., nein hast nicht, hab grad nachgesehen. ;) Oh man, wird echt Zeit, dass ich mal tiefer in die Materie eintauche :o Man könnte auch einfach jemanden beauftragen. :wink2: Habe generell noch die Möglichkeit eine "Priorität" anzugeben. Standardmäßig werden die MX Einträge mit dem Wert "100" angegeben. Übernehme ich das einfach 1:1? Was bedeutet die Werte? Das sind jetzt wirklich Grundlagen, die man sich auch einfach mittels google oder sogar wikipedia beantworten könnte, oder? Bye Norbert Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 19. Juli 2011 Melden Teilen Geschrieben 19. Juli 2011 Moin, Sieht irgendwie "doof" aus. Habe jetzt einen MX Eintrag "webmail.domäne.com" der auf das Ziel "webmail.domäne.com" zeigt :suspect Kein Wunder, ist ja auch falsch - oder schicken die Leute die Mail an "empfaenger@webmail.domäne.com"? Wohl kaum. MX: domäne.com -> Host: webmail.domäne.com A: webmail.domäne.com -> IP 1.2.3.5 Zitieren Link zu diesem Kommentar
Blase 15 Geschrieben 19. Juli 2011 Autor Melden Teilen Geschrieben 19. Juli 2011 Ja, und? Bzw., nein hast nicht, hab grad nachgesehen. ;) Wie, habe ich nicht. Habe ich wohl! ;) Ne, im Ernst, angelegt, providerseitig, habe ich das. Die beiden Einträge sind jetzt da: webmail.*domäne*.com MX 100 webmail.*domäne*.com webmail.*domäne*.com A *öffentlicheIP* Wo schaust Du nach? Habe ich da noch was falsch gemacht? Man könnte auch einfach jemanden beauftragen. :wink2: Ja doch!;) Ist aber keine Option. Außerdem sind wir doch schon sooo weit gekommen... Das sind jetzt wirklich Grundlagen, die man sich auch einfach mittels google oder sogar wikipedia beantworten könnte, oder? Nun ja, wenn ich mehrere MX Records für meine Domäne habe, kann ich sie priorisieren. Wenn ich aber, wie in meinem Fall, nur einen MX Record habe, spielt es also keine Rolle ob da nun 0 oder 100 drin steht?! Habe das neue Zertifikat ausgestellt und den Test nochmal laufen lassen. Komme nun weiter, allerdings noch nicht koplett "durch": Validating certificate trust for Windows Mobile devices. Certificate trust validation failed. Testschritte ExRCA is attempting to build certificate chains for certificate CN=*domäne*.com, OU=*Name*, O=*Firma*, L=*Ort*, S=*Bundesland*, C=DE. A certificate chain couldn't be constructed for the certificate. The certificate chain couldn't be built. You may be missing required intermediate certificates. ODER, wenn ich die Vertrauensstellung für SSL ignoriere: Die IIS-Konfiguration Wird im Hinblick auf die Clientzertifikatsauthentifizierung überprüft. Clientzertifikatsauthentifizierung erkannt. Weitere Details Clientzertifikate für Akzeptieren/Anfordern gefunden. Legen Sie in der IIS-Konfiguration fest, dass Clientzertifikate ignoriert werden, wenn Sie diesen Authentifizierungstyp nicht verwenden. Grade die erste Meldung, was stimmt da noch nicht? EDIT: Moin, Kein Wunder, ist ja auch falsch - oder schicken die Leute die Mail an "empfaenger@webmail.domäne.com"? Wohl kaum. MX: domäne.com -> Host: webmail.domäne.com A: webmail.domäne.com -> IP 1.2.3.5 Danke Dir, ist korrigiert. MfG Blase Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 19. Juli 2011 Melden Teilen Geschrieben 19. Juli 2011 Wie, habe ich nicht. Habe ich wohl! ;) Ne, im Ernst, angelegt, providerseitig, habe ich das. Die beiden Einträge sind jetzt da: webmail.*domäne*.com MX 100 webmail.*domäne*.com webmail.*domäne*.com A *öffentlicheIP* Wo schaust Du nach? Habe ich da noch was falsch gemacht? Ach man eh. Ja natürlich ist das falsch. Was willst du denn mit einem mx Record für webmail.domain.com? Du brauchst nen mx Record für domain.com der auf webmail.domain.com zeigt. Ja doch!;) Ist aber keine Option. Außerdem sind wir doch schon sooo weit gekommen... Bester Beweis dafür, warum dein Chef sein Verhalten nie ändern wird. Schade drum. Nun ja, wenn ich mehrere MX Records für meine Domäne habe, kann ich sie priorisieren. Wenn ich aber, wie in meinem Fall, nur einen MX Record habe, spielt es also keine Rolle ob da nun 0 oder 100 drin steht?! 0 geht nicht, aber ansonsten korrekt. Und bevor du da oben jetzt einfach mal den mx für deine Domain verdrehst, solltest du dir vorher Gedanken über die Konsequenzen machen. Habe das neue Zertifikat ausgestellt und den Test nochmal laufen lassen. Komme nun weiter, allerdings noch nicht koplett "durch": Validating certificate trust for Windows Mobile devices. Certificate trust validation failed. Logo. Schrieb ich bereits zweimal, dass das Zertifikat nicht vertrauenswürdig ist und das zumindest mit Windows Mobiles dann nicht ohne weitere SChritte zum Laufen zu bekommen ist. Clientzertifikatsauthentifizierung erkannt. Ausschalten. Clientzertifikate für Akzeptieren/Anfordern gefunden. Legen Sie in der IIS-Konfiguration fest, dass Clientzertifikate ignoriert werden, wenn Sie diesen Authentifizierungstyp nicht verwenden. Genau das, was da steht machen. Du hast doch keine Clientzertifikate, oder? ;) Bye Norbert Off-Topic:PS: Ich finde es ehrlich gesagt ziemlich "schlimm", wie hier mit Produktivumgebungen umgegangen wird und im Forum ein MIgrationstroubleshooting veranstaltet wird, nur weil man selbst sich damit nicht in dem Maße beschäftigen kann/darf oder will (letzteres unterstelle ich dir mal nicht). Andere Leute verdienen ihr Geld mit sowas und du ziehst es in dem Fall komplett gratis ab. Aber naja. Just my 2ct. Zitieren Link zu diesem Kommentar
Blase 15 Geschrieben 20. Juli 2011 Autor Melden Teilen Geschrieben 20. Juli 2011 Moin Norbert, ich "trau" mich schon gar nicht mehr wirklich, hier zu schreiben. Du hast Recht, mit allem was Du sagst, aber ich habe aktuell keine Wahl.... Ach man eh. Ja natürlich ist das falsch. Was willst du denn mit einem mx Record für webmail.domain.com? Du brauchst nen mx Record für domain.com der auf webmail.domain.com zeigt. Lege ich einen zusätzlichen MX Record für domain.com an, welcher auf webmail.domain.com zeigt oder editiere ich den vorhandenen MX Eintrag, welcher ja bereits domain.com ist und auf domainfactory zeigt? Bester Beweis dafür, warum dein Chef sein Verhalten nie ändern wird. Schade drum. Wird er auch nicht - hatte grade eben ein "nettes" Gespräch mit ihm. Wir sind schließlich ein "IT Haus" und es wäre ja peinlich, wenn wir - der wir ja ach so toll sind - uns jemand externen ins Haus holen. Wir sind Software Entwickler, was ja per se dazu verpflichtet alles im IT Bereich zu können :mad: Man, ich bin geladen. Nun ja, ich bin halt der, der am ehesten im "IT-System Bereich" aufgehoben ist, der Einäugige unter den Blinden sozusagen... 0 geht nicht, aber ansonsten korrekt. Und bevor du da oben jetzt einfach mal den mx für deine Domain verdrehst, solltest du dir vorher Gedanken über die Konsequenzen machen. Ok, weiß ich bescheid. Logo. Schrieb ich bereits zweimal, dass das Zertifikat nicht vertrauenswürdig ist und das zumindest mit Windows Mobiles dann nicht ohne weitere SChritte zum Laufen zu bekommen ist. Es wird doch aber ausreichen, das Zertifikat auf dem Windows Mobiles zu installieren, oder? Ausschalten. Genau das, was da steht machen. Du hast doch keine Clientzertifikate, oder? ;) Wir sind hier im Bereich "Microsoft-Server-ActiveSync", wo ich im IIS im Bereich SSL-Einstellungen die Clientzertifikate "ignorieren" soll, oder? Off-Topic:PS: Ich finde es ehrlich gesagt ziemlich "schlimm", wie hier mit Produktivumgebungen umgegangen wird und im Forum ein MIgrationstroubleshooting veranstaltet wird, nur weil man selbst sich damit nicht in dem Maße beschäftigen kann/darf oder will (letzteres unterstelle ich dir mal nicht). Andere Leute verdienen ihr Geld mit sowas und du ziehst es in dem Fall komplett gratis ab. Aber naja. Just my 2ct. Tja, wie ich schon sagte. Wenn sich einer unserer Kunden erlauben würde, etws selber zu machen, was in unseren Bereich fällt, kannst Du dir sicher vorstellen, wie er darauf reagiert. Dass er hier genau das selbe macht, sieht er nicht. Generell unterschätzt er den Bereich hier extrem, denkt, dass macht man in "nem halben Tag" und gut ist... MfG Blase Zitieren Link zu diesem Kommentar
Marco7488 12 Geschrieben 20. Juli 2011 Melden Teilen Geschrieben 20. Juli 2011 Moin Norbert, ich "trau" mich schon gar nicht mehr wirklich, hier zu schreiben. Du hast Recht, mit allem was Du sagst, aber ich habe aktuell keine Wahl.... [/Quote] Keine Angst, wir beißen nicht ;-) Lege ich einen zusätzlichen MX Record für domain.com an, welcher auf webmail.domain.com zeigt oder editiere ich den vorhandenen MX Eintrag, welcher ja bereits domain.com ist und auf domainfactory zeigt? Entweder Du editierst den MX Eintrag oder fügst einen hinzu, aber dann musst du die Kosten verändern, damit der entsprechende MX Eintrag zuerst dran kommt. Allerdings macht das auch nur Sinn, wenn Du auf Domainfactory im Problemfall ausweichen willst (z.B. Leitungsausfall etc.) Wird er auch nicht - hatte grade eben ein "nettes" Gespräch mit ihm. Wir sind schließlich ein "IT Haus" und es wäre ja peinlich, wenn wir - der wir ja ach so toll sind - uns jemand externen ins Haus holen. Wir sind Software Entwickler, was ja per se dazu verpflichtet alles im IT Bereich zu können :mad: Man, ich bin geladen. Nun ja, ich bin halt der, der am ehesten im "IT-System Bereich" aufgehoben ist, der Einäugige unter den Blinden sozusagen... Ok, weiß ich bescheid. [/Quote] No Comment. Es wird doch aber ausreichen, das Zertifikat auf dem Windows Mobiles zu installieren, oder? [/Quote] Meines Erachtens nach: Ja Hier stellt sich eher die Frage nach dem "Wie" .. manuell oder per GPO oder oder oder ;-) Wir sind hier im Bereich "Microsoft-Server-ActiveSync", wo ich im IIS im Bereich SSL-Einstellungen die Clientzertifikate "ignorieren" soll, oder? [/Quote] Gute Frage, die Einstellung hab ich noch nie gemacht, aber NorbertFe kann die Frage sicherlich beantworten ;-) Tja, wie ich schon sagte. Wenn sich einer unserer Kunden erlauben würde, etws selber zu machen, was in unseren Bereich fällt, kannst Du dir sicher vorstellen, wie er darauf reagiert. Dass er hier genau das selbe macht, sieht er nicht. Generell unterschätzt er den Bereich hier extrem, denkt, dass macht man in "nem halben Tag" und gut ist... MfG Blase Grundsätzlich hat er damit recht, mit einem Testgerät ist das sicherlich in einem halben Manntag erledigt, allerdings muss man auch in der Richtung Know-How und Praxiserfahrung haben ;-) Vielleicht läufts ja bald ;) Gruß Marco Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 20. Juli 2011 Melden Teilen Geschrieben 20. Juli 2011 Entweder Du editierst den MX Eintrag oder fügst einen hinzu, aber dann musst du die Kosten verändern, damit der entsprechende MX Eintrag zuerst dran kommt. Allerdings macht das auch nur Sinn, wenn Du auf Domainfactory im Problemfall ausweichen willst (z.B. Leitungsausfall etc.) Secondary MX sollte man nur pflegen, wenn der identisch zum primary konfigurierbar ist. Und da das bei fast keinen Provider gegeben ists, würde ich darauf verzichten. Und nochmal die Warnung sowas nur zu tun, wenn man sich sicher ist, was man da tut. Meines Erachtens nach: JaHier stellt sich eher die Frage nach dem "Wie" .. manuell oder per GPO oder oder oder ;-) Aha, du hast Windows Mobiles, die GPOs auswerten? Interessant. Gute Frage, die Einstellung hab ich noch nie gemacht, aber NorbertFe kann die Frage sicherlich beantworten ;-) Kann ich und habe ich bereits. Es hilft niemandem, wenn man zu jeder Antwort noch 7 Rückfragen erhält. ;) Entweder man kanns allein (und hat ggf. ein zwei Rückfragen), oder man läßt es. Aber das Thema hatte ich ja bereits. Grundsätzlich hat er damit recht, mit einem Testgerät ist das sicherlich in einem halben Manntag erledigt, allerdings muss man auch in der Richtung Know-How und Praxiserfahrung haben ;-) Nein hat er nicht. Sowas ist auch nicht in einem halben Manntag erledigt, wenn man das Know How und die Erfahrung hat. Dazu ist das Thema eigentlich zu komplex (wie man ja sehr schön an diesem und am anderen THread sehen kann). Vielleicht läufts ja bald ;) Und wenn nicht, ists ja nicht so wichtig würd ich sagen. Bye Norbert Zitieren Link zu diesem Kommentar
Marco7488 12 Geschrieben 20. Juli 2011 Melden Teilen Geschrieben 20. Juli 2011 Off-Topic: Aha, du hast Windows Mobiles, die GPOs auswerten? Interessant.[/Quote] Sorry, ist natürlich quatsch.. Gedankenfehler. Zitieren Link zu diesem Kommentar
Blase 15 Geschrieben 20. Juli 2011 Autor Melden Teilen Geschrieben 20. Juli 2011 Und nochmal die Warnung sowas nur zu tun, wenn man sich sicher ist, was man da tut. Magst Du mir sagen, was das für Konsequenzen haben kann? Hat das Einfluss auf meinen "normalen" E-Mail Verkehr? Damit meine Synchronisation zum Smartphone funktioniert, brauche ich aber sowohl den Typ A als auch den MX Eintrag, oder? MfG Blase ps. Ich kann gut verstehen, dass Dir die Lust vergeht, mir zu helfen. Zu meiner Unwissenheit gesellt sich scheinbar noch ein großes Maß an Unvermögen. Du kannst sicher sein, dass mir die ganze Sache auch inzwischen gewaltig stinkt und ich meinem Chef am liebsten die Meinung geigen würde. Aber das Resultat wäre sehr wahrscheinlich wenig erfreulich. Es hilft also nichts, ich muss hier "durch". Und ich wäre echt froh, wenn ich auf Deine Hilfe auch weiterhin zählen könnte :wink2: Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 20. Juli 2011 Melden Teilen Geschrieben 20. Juli 2011 Magst Du mir sagen, was das für Konsequenzen haben kann? Hat das Einfluss auf meinen "normalen" E-Mail Verkehr? Ja. Damit meine Synchronisation zum Smartphone funktioniert, brauche ich aber sowohl den Typ A als auch den MX Eintrag, oder? Nein. Bye Norbert PS: Nimms nicht persönlich, aber irgendwann hört für mich der Hilfswille auch mal auf. Nämlich dann, wenn ich das Gefühl habe, hier im Endeffekt "Arbeit" abzuliefern, für die ich normalerweise bezahlt werde. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.