Exchange 2003 und 2010 gleichzeitig über HTTPS mittels TMG 2010 veroffentlichen

[Lavikus 10]

Hallo zusammen, ich benötige euren kompetenten Rat.

 

In der Organisation befindet sich ein Server 2003 R2 Std. auf den ein ISA 2006 sowie Exchange 2003 angewendet werden. Der Exchange 2003 wird über den ISA Server mittels externen Zertifikats veröffentlicht. RAS Dienste bezüglich VPN Einwahl werden auch über den ISA realisiert.

 

Der Server hat 2 Netzwerkkarten 1x 192.168.000.020/24 sowie Intern 192.168.20.2/24.

Die Umgebung ist stabil und soll bis 05/2012 noch benutzt werden

 

Gleichzeitig ist ein neues Netzwerk aufgebaut worden mit einen TMG 2010 sowie 2 DC´s

mittels Server 2008 R2 Ent.

 

Auf einen DC wird Exchange 2010 ausgeführt (DC1) und auf den anderen befindet sich ein WSUS Server (DC2).

Der TMG hat die externe IP 192.168.000.10/24 sowie einen interne NIC mit 192.168.100.1/24. Der DC1 befindet sich in internen Netz mit der IP 192.168.100.10/25 und DC2 auf 192.168.100.11. Der Exchange 2010 (DC1) soll über den TMG 2010 veröffentlicht werden mittels eines externen Zertifikats.

 

Ein ADSL Router realisiert die Portzuweisung bei den alten Server 2003 sodass der Port 443 auf der Exchange 2003 IP 192.168.000.020/24 geroutet wird.

 

Gewünscht ist jetz, dass der Server 2003 R2 in das neue Netzwerk integriert wird und gleichzeitig Exchange 2003 sowie Exchange 2010 über Port 443 von außen zugegriffen werden kann mittels mobile Geräte.

 

Netz ist meinerseits auf einen Netzwerksegment in das neue Netz integriert worden (192.168.50.0/25 externe Nic des 2003 Servers). Alle Portfreigaben sind auch auf den TMG getätigt worden sodass der Exchange 2003 intern funktioniert.

 

Auf den TMG 2010 muss der neue Weblistener für Exchenge 2003 eingetragen werden und meldet immer, dass der Port 443 bereits zugewiesen worden ist. Ist auch richtig denn er hört gleichzeitig auf den Weblistener für Exchange 2010.

 

Meine Frage: Wie kann ich gleichzeitig auf den TMG 2010 Exchange 2010 sowie 2003 über HTTPS realisieren?

 

Vielen Dank

 

Lavikus

[dmetzger 10]

Auf einen DC wird Exchange 2010 ausgeführt

 

Die Installation von Exchange Server 2010 auf einem Domänencontroller ist nicht empfohlen. Ausnahme ist der Small Business Server 2011.

 

Meine Frage: Wie kann ich gleichzeitig auf den TMG 2010 Exchange 2010 sowie 2003 über HTTPS realisieren?

 

Verwendest Du ein Wildcard-Zertifikat auf dem TMG?

[Lavikus 10]

Hallo und vielen Dank für deine Rückmeldung.

 

Ja DC und Exchange 2010 problematik ist mir bereits bekannt jedoch ist das System meinerseits nicht so aufgebaut worden. Ich könnte es auf einen Menber instalieren hätte aber die gleiche ausgangssituation.

 

Wildcard-Zertifikat: Nein es sind zwei einzelne zertifikate mit der notation

contoso.com sowie mail.contoso.com.

 

Beide sind vom TMG validiert worden und im IIS sichbar.

[NorbertFe 1.834]

Das Problem hast du doch aber schon vorher, oder seh das falsch? Du verweist per ADSL Router https auf eine externe IP deines TMG (dem Weblistener dann aber auch nur diese IP geben). Also müßtest du am externen Router schon die Trennung vornehmen. Man könnte ggf. was per Pathtranslation basteln am TMG, aber wie gut das funktioniert weiß ich nicht.

 

Bye

Norbert

[dmetzger 10]

Ich sehe das so: Mit einem Wildcard-Zertifikat *.contoso.com lässt sich ein gemeinsamer Weblistener für zwei https-Veröffentlichungsregeln erstellen. Diese Regeln leiten Zugriffe je nach angefragter URL an den einen oder anderen Exchange Server weiter.

[NorbertFe 1.834]

Wäre auch ne Variante. Praktischer wäre natürlich die Verwendung von 2 public IPs. ;)

 

Bye

Norbert

[Lavikus 10]

Hallo NorbertFe,

 

ja das problem hat sich bereits in vorfelt angezeigt und ist meinerseits massiv miniert worden...... Meinerseits ist bereits versucht worden per HSDPA Gateway (Mobilfunk) den zweiten Exchange 2010 zu erreichen jedoch macht das der TMG nicht mit da die mit diversen ports übermittelt wird die nicht den Port 443 anzeigen.

 

Eine Alternative ist natürlich ein Wildcard-Zertifikat dass jedoch nicht mit mobilen Geräten funktioniert Lt. ext. Zertifikatsstelle.

 

Ich sehe bereits, dass ich einen zweite ADSL Leitung benötige.

 

Vielen Dank für die Hilfe

[Lavikus 10]

sorry, Wildcard-Zertifikat mit mobile Geräte über Comodo ist möglich für 299€

[dmetzger 10]

Praktischer wäre natürlich die Verwendung von 2 public IPs. ;)

 

Kommt drauf an. Wenn auch SharePoint, Terminalserver etc. per https veröffentlicht werden sollen, ist das Wildcard-Zertifikat die wahrscheinlich einfachere Variante. Sonst werden jedes Mal ein eigenes Zertifikat sowie eine zusätzliche öffentliche IP-Adresse benötigt.

[Lavikus 10]

alternative ist auch den alten Server ohne SSL zu betreiben... aber doch etwas fahrlässig oder

[dmetzger 10]

alternative ist auch den alten Server ohne SSL zu betreiben... aber doch etwas fahrlässig oder

 

Das ist hoffentlich keine Alternative, sondern ein Scherz? :shock:

[Lavikus 10]

Das ist hoffentlich keine Alternative, sondern ein Scherz? :shock:

 

 

Wollte nur jemand zum lachen bringen.

 

Vielen Dank