Active Sync von extern über SSL

[randy 10]

Hi

 

ich würde gerne unseren iOS Nutzern die Möglichkeit geben von extern auch ActiveSync zu nutzen. Intern klappt das ja sehr gut.

 

Ist mein Plan so in etwa durchführbar?

 

 

Wo ich noch ein Verständnis Problem habe - wenn ich das SSL Zertifikat auf dem Exchange Server installiere auf den öffentlichen DNS Namen - fällt ja vermutlich das selbstsignierte raus, das wir bisher intern verwenden.

 

Ergo würde jeder Outlook User eine Warnmeldung bekommen. Oder gibts dafür auch eine Lösung? Zwei Zertifikate gleichzeitig klappt ja imho nicht...

 

besten dank für jeden Tipp !

 

viele Grüße

[testperson 1.859]

Hallo,

 

dafür benötigst du ein SAN Zertifikat. Dieses beinhaltet beide Namen im Zertifikat. Sowohl intern als auch externe.

[randy 10]

thx !

 

Also sollte das Zertifikat (Multiple Domain UCC) passen (mit 5 Domains)

 

Welche Domains brauche ich denn normal?

 

mail.firma.com

servername.firma.int

 

Benötige ich für ActiveSync noch autodiscover.firma.com :confused:

 

 

Das Multi Domain Zertifikat muss ich allerdings über die Ex2007 Shell erzeugen, da es der IIS noch nicht unterstützt, oder?

[testperson 1.859]

Hi,

 

was da rein muss kommt drauf an wie du es konfiguriert hast.

 

mail.domain.tld (sofern der externe Alias mail ist).

exchangeserver.domain.local

autodiscover.domain.tld

autodiscover.domain.local

exchangeserver

 

Du könntest natürlich auch her gehen und alle internen URLs der virtuellen Verzeichnisse des Exchanges auf die externe zeigen lassen und mit einem Single Name Zertifikat zurecht kommen. Allerdings ist es mit einem SAN Zertifikat einfacher.

[randy 10]

vielen dank.

dann mach eich es mal genau so :)

[randy 10]

So jetzt hätte ich das Zertifikat - allerdings gab es ein Problem :(

 

Die AD Domäne nennt sich "firma.int"

 

leider kann ich .int nicht mehr in ein Zertifikat aufnehmen lassen. Jetzt wollte ich mir firma.int registrieren lassen - angeblich nicht möglich :(

 

Hat jemand einen Vorschlag, wie ich das Zertifikat mit firma.local intern

nutzen könnte? Ich steh da gerade irgendwie auf dem Schlauch...

Die AD Domäne umbenennen ist wohl eine schlechte Idee ;)

[RobertWi 81]

Moin,

 

oha. :(

 

Eine Domäne mit Exchange umzubenennen ist nicht supported.

 

Spontan würde mir noch einfallen, einen CNAME-Eintrag in DNS zu setzen, damit kommt Outlook zurecht, aber ob das andere mobilde Geräte auch können, will ich nicht garantieren.

 

Dazu müssen dann SCP-Einträge und die URLs angepasst werden.

[randy 10]

Gut zu wissen, dass Outlook mit einem CNAME dann laufen sollte.

Danke für die Info :D

 

Es wäre halt unschön, wenn alle Mitarbeiter Warnmeldungen bestätigen

müssen.

 

Es geht intern vor allem um Outlook und OWA.

[RobertWi 81]

Ja, aber man muss einmal in Outlook bestätigen.

 

Sieht dann ungefähr so aus:

MSXFAQ.DE - Autodiscover (im Abschnitt "Autodiscover und Outlook 2007 SP1" das dritte Bild).

[randy 10]

so jetzt muss ich leider nochmals nachfragen...

 

Wo genau / Worauf muss ich dem Fall den CNAME Eintrag setzen?!

Das klappt mir nicht :(

 

DNS

Forward Lookup

- . (Stamm)

- Firma.int

 

Besten Dank!

[RobertWi 81]

Moin,

 

ohne den aktuellen DNS-Aufbau zu kennen, kann man die Frage nicht beantworten. Nur Zonennamen reichen nicht, weil man einige andere Infos (z.B. die DNS-Namen in AD) braucht.