Knorkator 12 Geschrieben 13. Dezember 2012 Melden Teilen Geschrieben 13. Dezember 2012 Hallo, wir stellen auf einen Exchange 2010 Server um und benötigen dafür ein Zertifikat. Ich bin mir aber nicht sicher, ob meine Einträge alle so richtig sind bzw. ob man da etwas verbessern kann. Derzeit verwenden wir einen SBS2003 mit Pop3 und Smarhost. Wir werden wohl ein Multidomainzertifikat / UCC wie z.b. bei psw-group.com benötigen. Wir haben nur einen Exchange der mit diesem Zertifikat alle nötigen Dienste ohne Probleme bereitstellen soll. Nun sollen ja auch Interne Servernamen ab 2016 wegfallen, sodass ich es für die Zukunft schon gerne sauber hätte. Unsere Interne Domain hat den gleichen Namen wie unsere Externe Domain! Hier mal die Eckdaten. Interne Domain: __Ex2010.Domain.com -> Exchange 2010 Server __Mail.Domain.com -> Alias (Cname) auf Ex2010.Domain.com __Owa.Domain.com -> Alias (Cname) auf Ex2010.Domain.com __www -> Host(A) Eintrag auf die IP bei 1und1 Externe Domain bei 1und1: __MX Eintrag auf Mail.Domain.com __Mail.Domain.com -> Subdomain mit Verweis auf unsere Feste IP __Owa.Domain.com -> Subdomain mit Verweis auf unsere Feste IP __Autodiscover.Domain.com -> Subdomain mit Verweis auf unsere Feste IP Neues Exchange Zertifikat - per Exchange Verwaltungskonsole: Anzeigename: Mail.Domain.com Platzhalterzertifikat -> Nicht nötig für uns. Clientzugriffsserver (Outlook Web App) __Outlook Wep APP Intranet : OWA.Domain.com __Outlook Wep App Internet : OWA.Domain.com Clientzugriffsserver (EX Activesync): __mail.Domain.com Clientzugrifsserver (Webdienste, Outlook Anywhere und Autoermittlung): __Externer Hostname für Ihre Organisation: mail.domain.com __Autoermittlungsdienst: lange URL: autodiscover.domain.com Clientzugriffsserver (Pop/Imap) __Nicht benötigt Unified Messaging Server __Nicht benötigt Hub-Transport-Server __Da bin ich mir nicht sicher. __Mails sollen später nicht per Smarthost verschickt werden, sondern direkt. __Sollte man MTLS mit aktivieren? __Mail.domain.com oder nur domain.com Vielen Dank für Tipps und die Geduld, sich das alles anzuschauen! :) Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 13. Dezember 2012 Melden Teilen Geschrieben 13. Dezember 2012 Moin, ehrlich gesagt, sind exakte Aussagen ohne genaue Analyse der Umgebung (Netzwerk, DNS, Anzahl Server, etc.) nicht wirklich möglich. Wenn ich beim Kunden bin, dauert es schon mal zwei Stunden, bis wir alle Namen festgelegt haben. Die Anzahl der NOTWENDIGEN Namen ist zwischen 1 und N variabel. Die anzahl der möglichen Namen weicht davon noch mal ab. Deine Namensliste oben KANN man so machen, muss man aber nicht. Spontan würde ich z.B. mail.* oder owa.* weglassen. Wenn es eh auf die gleiche IP zeigt, kostet das ein doppelter Name nur unnötig Geld. Was genau meinst Du mit "Nun sollen ja auch Interne Servernamen ab 2016 wegfallen, sodass ich es für die Zukunft schon gerne sauber hätte."? Zitieren Link zu diesem Kommentar
Knorkator 12 Geschrieben 13. Dezember 2012 Autor Melden Teilen Geschrieben 13. Dezember 2012 Hallo, bei SSL-Zertifikate ist unter Organisationvalidierte Multidomainzertifikate / UCC zwischen der Zeile 2Jahre und 3Jahre ein Hinweis, dass UCC Zertifikate mit einer Laufzeit von über 2 Jahren keine Internen Namen mehr unterstützen. Was sollte ich anstelle von mail.* und owa.* eintragen? Bzgl. der Festlegung der Namen: So viele haben wir doch nicht? ;) Thx im voraus Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 13. Dezember 2012 Melden Teilen Geschrieben 13. Dezember 2012 Ach so, das mit den Namen bezog sich auf PSW. Ja, interne Namen sind bei vielen CA/RA nicht möglich. Anstelle von mail.* und owa.* reicht halt einfach ein Eintrag. Da Du darüber OWA machst und die Leute tendenziell am meisten dort die URL eingeben würden, würde ich nur owa.* benutzen. Ich habe ja auch nicht gesagt, dass ihr viele Namen habt, nur, dass die Anzahl zwischen 1 und N schwanken kann und Pauschalaussagen daher nicht möglich sind. Du hast z.B. eine SpliDNS-Konfiguration, was auch Auswirkungen auf die Namen hat. Mit einem SRV-Eintrag für autodiscover könntest Du die Anzahl der Namen im Zertifikat auf einen senken. Das geht aber nur, wenn Du auch wirklich SRV-Einträge setzen kannst. Zitieren Link zu diesem Kommentar
Knorkator 12 Geschrieben 14. Dezember 2012 Autor Melden Teilen Geschrieben 14. Dezember 2012 Hallo, die Emails sollen ja an die mail.domain.com geschickt werden. Die Subdomain mit dem Verweis auf die IP Existiert also. Benötige ich für ausgehende Mails nicht auch ein Zertifikat? Dann sollte doch bei Hub-Transport-Server ebenfalls mail.domain.com stehen. Preislich ist es ja auch nicht so dramatisch wenn man ein teureres Multidomain Zertifikat kauft. Hast Du noch einen Tipp bzgl. der MTLS Aktivierung? SRV Einträge kann ich bei 1und1 anscheinend nicht setzen. Danke für die Geduld! :) Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 14. Dezember 2012 Melden Teilen Geschrieben 14. Dezember 2012 Moin, aber Namen sind doch nur "Schall und Rauch". Ob ein Server per SMTP seine Mail an "owa.domäne", "mail.domäne" oder "christkindlmarkt.domäne" verschickt, ist ihm doch vollkommen wurscht. Du machst den passenden MX-Eintrag, der zeigt auf einen Host und fertig. Und wenn hinter dem Host nur eine Adresse hängt, dann reicht auch ein Name. Für SMTP/TLS brauchst Du ein Zertifikat, das auf den FQDN des Mailservers (so, wie er sich im HELO meldet) ausgestellt ist. Aber wieder: Der Name ist doch egal. MTLS setze ich nicht ein und habe ich bei Exchange auch noch nicht wirklich erlebt (eher bei Webserver-Farmen, Lync, o.ä.). Zitieren Link zu diesem Kommentar
Knorkator 12 Geschrieben 14. Dezember 2012 Autor Melden Teilen Geschrieben 14. Dezember 2012 Hallo, da Namen ja Schall und Rauch sind, kannst Du mir bestimmt noch einen Tipp geben. Das Zertifikat wurde bestellt und inzwischen eingefügt. Da ich auf den internen Namen verzichtet habe, sieht das Zertifikat nun so aus: DNS Name=domain.com DNS Name=autodiscover.domain.com DNS Name=mail.domain.com Die HTTPS Verbindung auf mail.domain.com zeigt nun keine Warnung mehr an. Nun habe ich mir gedacht, dass ich bei der Outlook Einrichtung die mail.domain.com eintrage und damit den internen Servernamen EX2010.domain.com umgehe. Die Verbindung über die Outlook Clients zeigt mir trotzdem eine Warnung an. Ist ja auch nachvollziehbar, da der Ex2010.domain.com nicht im Zertifikat auftaucht. Gibt es eine Möglichkeit, dieses Automatische übergeben der Exchange Serverdaten zu verändern? Wenn nicht, kann ich das Zertifikat noch um die ex2010.domain.com Adresse erweitern. Danke! Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 14. Dezember 2012 Melden Teilen Geschrieben 14. Dezember 2012 Moin, na ja, auch wenn Namen Schall und Rauch sind, ersetzt das nicht das Wissen über die Funktionsweise von Exchange. Darum ist es ja so schwer, in einem Forum zu erklären, wie das mit den Namen funktioniert, da man wissen muss, was ein CAS-Array, Load Balancer, internalURL, externalURL, Autodiscover, SplitDNS, etc. ist und wann was wie benutzt wird. Mein erste Schritt von zwei Stunden "Namenssuche" besteht darin, dass ich den Leuten Exchange erkläre (1,5 Stunden) und im Rest weiß der Kunde dann meist selbst, welche Namen er braucht und wie man die Namen, die Exchange nutzt und die, die im Zertifikat stehen, synchronisiert. Nutze die Funktion "E-Mail-Autokonfiguration testen...." in Outlook. Da siehst Du zum einen die URL, die Outlook intern für Autodiscover nimmt. Diese wird mit der EMS und Set-ClientAccessServer geändert. Außerdem sind noch die URLs wichtig, die danach für OAB, Verfügbarkeitsdienst und Abwesenheitsassistent benutzt werden. Die erste kann über die EMC (Serverkonfig -> Clientaccess -> OAB-Verteilung), die zweite leider wieder nur über die EMS mit "Set-WebservicesVirtualdirectory" geändert werden. Da Du nun schon das Zertifikat hast, wirst Du die URLs anpassen müssen. Danke SplintDNS ist das aber kein Problem und die URLs müssten auf "mail.domain.com" geändert werden. BTW: Wenn Du bei der Outlook-Einrichtung intern als Servernamen auch "mail.domain.com" nimmst, hast Du also als CAS-Array (das ist der RPC-Teil von Outlook) den gleichen Namen, wie für den HTTP-Teil benutzt. Das ist nicht empfohlen. Du solltest für den RPC-Teil (=CAS-Array) einen eigenen Namen nehmen, der muss auch nicht ins Zertifikat. Das widerspricht zwar meinen obigen Ausführungen, hier gibt es aber andere Gründe, warum man das macht, die wichtiger sind und in Outlook stecken. Zitieren Link zu diesem Kommentar
Knorkator 12 Geschrieben 17. Dezember 2012 Autor Melden Teilen Geschrieben 17. Dezember 2012 Hallo, Hallo, ich habe nun mittels EMS die Werte soweit auf mail.domain.com geändert, dass per Outlook Test nur noch die Einträge für Abwesenheit, Verfügbarkeitsdienste sowie Unified Messaging auf Ex2010.Domain.com angezeigt werden. Wie soll ich für den RPC Teil in Outlook einen anderen Namen nehmen bzw. wie verhindere ich die Fehlermeldung bzgl. des Zertifikates? Ich glaube es ist besser, wenn ich den Internen Namen noch mit in das Zertifikat aufnehme, oder? Nochmals danke! Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 17. Dezember 2012 Melden Teilen Geschrieben 17. Dezember 2012 Moin, ich gebe zwar zu, dass das ganze Thema ein wenig komplexer ist, aber Du musst schon lesen, was ich schreibe. ;) ich habe nun mittels EMS die Werte soweit auf mail.domain.com geändert, dass per Outlook Test nur noch die Einträge für Abwesenheit, Verfügbarkeitsdienste sowie Unified Messaging auf Ex2010.Domain.com angezeigt werden. genau DIE musst Du aber ändern. Solange Du die nicht geändert hast, wirst Du einen Zertifikatsfehler bekommen. Wie ich schon schrieb, musst Du nicht das Zertifikat anpassen. Es reicht, die URLs zu ändern. Für den RPC-Teil von Outlook (=aka CAS-Array) siehe hier: MSXFAQ.DE:CASArray Dui brauchst die ersten beiden Shell-Befehle, angepasst an Deine Umgebung. Zitieren Link zu diesem Kommentar
Knorkator 12 Geschrieben 17. Dezember 2012 Autor Melden Teilen Geschrieben 17. Dezember 2012 Hallo! so ganz komm ich da nicht mit. Habe nun per New-ClientAccessArray ein Array namnes "CAS-Array-Domain" mit dem fqdn mail.domain.com -site Standort eingerichtet. -RpcClientAccessServer habe ich ebenfalls durchgeführt. Muss ich per Set-WebServicesVirtualDirectory nur die interne URL verändern? Und wenn ja, welchen Wert? Mail.Domain.com oder cas-array.domain.domain.com? Danke! Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 17. Dezember 2012 Melden Teilen Geschrieben 17. Dezember 2012 Also noch mal langsam. Outlook benutzt zwei "Wege", um auf den CAS-Server zuzugreifen (wir gehen mal von internem Outlook aus): RPC -> das, was Du im Profil einstellst HTTPS -> OAB, EWS, F&B (=Verfügbarkeitsdienst) - sieht man nur mit "E-Mail-Autokonfiguration testen..." Und NUR für die HTTPS-Dienste braucht man ein Zertifikat, da RPC kein SSL nutzt. Das CAS-Array ist ein "virtueller" Exchange-Server, der für den RPC-Teil genutzt wird. Und dieser Name sollte anders sein, als der HTTPS-Name. Also: rpc.domäne -> RPC-Teil 1. im internen (nur dort, ist im externen nicht notwendig!) DNS anlegen mit IP-Adresse auf den Exchange 2. mit New-ClientAccessArray anlegen und mit Set-Mailboxdatabase in die Datenbanken einbauen 3. Neue Clients bekommen den automatisch in Ihrem Profil als Exchange-Server eingetragen, alte Clients müssten von Hand angepasst werden, funktionieren aber mit dem alten Namen weiterhin HTTPS-Teil: In das Zertifikat kommt "mail.domäne". Den Eintrag im DNS hast Du schon, zeigt auch auf die IP vom Exchange. "mail.domäne" wird in den verschiedenen "internalURL" von OAB und EWS eingetragen. Zitieren Link zu diesem Kommentar
Knorkator 12 Geschrieben 17. Dezember 2012 Autor Melden Teilen Geschrieben 17. Dezember 2012 (bearbeitet) Hallo nochmal.. Also: rpc.domäne -> RPC-Teil 1. im internen (nur dort, ist im externen nicht notwendig!) DNS anlegen mit IP-Adresse auf den Exchange 2. mit New-ClientAccessArray anlegen und mit Set-Mailboxdatabase in die Datenbanken einbauen 3. Neue Clients bekommen den automatisch in Ihrem Profil als Exchange-Server eingetragen, alte Clients müssten von Hand angepasst werden, funktionieren aber mit dem alten Namen weiterhin Das CAS Array habe ich ja eingerichtet, bekomme dieses bei dem Test der Autokonfiguration trotzdem mail.domain.com anzeigt. Das CAS-Array taucht nicht auf! Somit habe ich immer noch mail.domain.com für RPC und HTTP wenn ich das so richtig deute. Weiterhin wird bei den Ergebnissen kein Ex2010 mehr angzeigt, ich bekomme aber trotzdem eine Fehlermeldung bei der Prüfung des Zertifikates. Im Reiter Protokoll wird trotzdem noch auf Ex2010 bei der Autoermittlung verwiesen. ? -korrektur- Den cas-array Namen habe ich vorher ebenfalls auf Mail gesetzt. Dieser soll ja nicht so lauten wie die externe Adresse. Nun habe ich im DNS einen Eintrag für casarray.domain.com erstellt und ein Array mit diesem Namen erstellt. Die Zertifikatsfehlermeldung kommt allerdings weiterhin. bearbeitet 17. Dezember 2012 von Knorkator Zitieren Link zu diesem Kommentar
Knorkator 12 Geschrieben 17. Dezember 2012 Autor Melden Teilen Geschrieben 17. Dezember 2012 Ok, nachdem ich per set-clientaccessserver -autodiscoverserviceinteraluri die mail.domain... eingetragen habe, funktioniert es nun ohne Zertifikatsfehlermeldung. Danke für´s Lesen und Schreiben und die Arbeit im Forum! Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 17. Dezember 2012 Melden Teilen Geschrieben 17. Dezember 2012 Prima, danke für das Feedback. Das mit der Url hatte ich in Post # geschrieben: "Nutze die Funktion "E-Mail-Autokonfiguration testen...." in Outlook. Da siehst Du zum einen die URL, die Outlook intern für Autodiscover nimmt. Diese wird mit der EMS und Set-ClientAccessServer geändert." Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.