Zertifikat für Exchange autodiscover auf SBS 2008 erstellen?

[peterg 11]

Hallo,

 

wie erstellt man ein Zertifikat beim SBS mit folgenden zwei Inhalten für einen Outlook/Exchange Remotezugriff (die Rechner sind alle Mitglied der Domäne):

outlook.servicedomain.de

autodiscover.servicedomain.de

 

Den Remotezugriff beim SBS aktiviert man ja über die Windows SBS Console unter "Internetadresse einrichten". Hier habe ich als Domain "outlook.servicedomain.de" angegeben.

 

Im Exchange-Server habe ich unter Client-Zugriff als externen Hostnamen ebenfalls "outlook.servicedomain.de" angegeben.

 

Für "outlook.servicedomain.de" wird im IIS dann auch automatisch ein Zertifikat angelegt.

 

Kann man diese für meine Zwecke nutzen (siehe Hintergrund)? Wie bekomme ich jetzt noch ein Zertifikat für "autodiscover.servicedomain.de"?

 

Hintergrund

Wir haben hier zwei Domains (domain1.de und domain2.de) und teilen uns einen Exchange Server 2007 auf einem Small Business Server 2008. Da nun doch so einige Notebooks im Einsatz sind kommt die Anfrage, dass man E-Mails mit Outlook oder OWA auch von überall abholen möchte. Nun kann man beim Exchange nun eine URL hinterlegen. Daher möchte ich das Problem über eine "Service-Domain" regeln. Diese wird dann am Exchange eingetragen (hier z.B. outlook.servicedomain.de).

 

Z.B.

outlook.servicedomain.de -> Host A -> auf feste Internet-IP-Adresse

autodiscover.servicedomain.de -> Host A -> auf feste Internet-IP-Adresse

 

Bei den beiden Domains der Organisationen die ich dann mit Exchange verbinden möchte, muss ich dann nur einen Alias von domain1.de  -> CNAME  -> autodiscover.servicedomain.de anlegen.

 

Ich benötige aber noch das richtige Zertifikat am Server mit "autodiscover.servicedomain.de" und "outlook.servicedomain.de".

 

 

Schöne Grüße

Peter

bearbeitet 5. Mai 2015 von peterg

[testperson 1.543]

Hi,

 

du benötigst ein SAN Zertifikat, welches mehrere Hostnamen enthalten kann. Am sinnvollsten / einfachsten wäre es, eines bei einem beliebigen Anbieter zu kaufen.

Alternativ kannst du auch mit SRV Records für domain1.de und domain2.de arbeiten. Dann funktioniert Autodiscover allerdings nur mit Outlook.

 

Gruß

Jan

[peterg 11]

Hallo,

 

es ist auch nur Outlook im Einsatz und wie gesagt sind alle Mitglieder der Domäne. Wird der SRV-Rechord dann bei der Service-Domain, bei den beiden anderen Domains domain1.de und domain2.de oder am DNS-Server (bei uns am DC) gemacht?

 

Anbei mal das Formular von einem Provider. Da bin ich überfragt.

 

Hostname: autodiscover.domain1.de

Typ: SRV

Ziel: outlook.servicedonain.de ???

Priorität: 0   ???

Port: 443

Gewicht: 0 ???

Protokoll: TCP

Dienst: ???

 

Gruß,

Peter

 

 

[testperson 1.543]

Da würde ich beim DNS Provider in die FAQ schauen oder nachfragen wie man es auszufüllen hat.

[peterg 11]

Hi,

 

also wird der SRV-Eintrag beim Provider gemacht. Dann wohl nicht auf der Servicedomain, sondern auf domain1.de und domain2.de. Richtig?

 

Ich habe aber auch einige Seiten im Web gefunden wo das am DNS selbst gemacht wird.

Z.B. http://stephan-mey.de/autodiscovery-dns-eintrag-srv-erstellen/

 

Funktioniert so was auch?

 

Gruß,

Peter

[testperson 1.543]

 

Man kann Autodiscovery von Outook 2007/2010 auch über den DNS erstellen. Hierbei wird ein SRV-Eintrag in der DNS-Verwaltung, in entsprechender Zone angelegt, wodurch auch Clients, die nicht Mitglied innerhalb der Domäne sind, den CAS-Server (Clientzugriffs-Server) finden können.

;)

Ja den SRV Record setzt du für domain1.de und domain2.de.

[peterg 11]

Danke für die Antwort.

 

Dann teste ich das erst mal dirket beim DNS-Server. Das Beispiel von dem Link ist ja super gemacht.

 

Gruß,

Peter

[peterg 11]

Hallo,

 

das mit dem DNS-Eintrag direkt beim internen DNS-Server (siehe Vorgehen von dem Link oben) macht Probleme, da dann unsere Webseite von den Domänenrechnern nicht mehr erreichbar ist. Kann man das irgendwie berichtigen?

 

Alternativ:

Ich probiere mal den SRV-Eintrag zum Test auf Domain1.de.

 

Gruß,

Peter

[testperson 1.543]

Hi,

 

warum machst du das an eurem SBS DNS? Ist ja wohl logisch, wenn du eine Zone der externen Domain anlegst und dort keine Hosts für www, etc. anlegst, dass diese nicht mehr aufgelöst werden können. Domain joined Clients nutzen so oder so den SCP für Autodiscover.

 

Gruß

Jan

[peterg 11]

Hallo,

 

also das mit dem SRV Eintrag beim Domain-Provider bekomme ich nicht hin. Ich habe schon alle möglichen Einträge probiert. Ich kapiers nicht wirklich und die Typen von unserem Domain-Provider hinsichtlich "Ausfüllen des Formulars für den SRV-Eintrag" stellen sich auch dumm und haben mich an eine allgemeine Webseite verwiesen.

Muss ich den SRV-Eintrag wirklich für domain1.de und domain2.de und nichts bei der Servicedomain machen, oder ist noch was zusätzlich bei der Servicedomain zu tun (die Outlook Anywhere URL ist outlook.servicedomain.de - siehe ganz oben)?

Ich bekomme bei der E-Mail Konfiguration in Outlook noch folgende Meldung:

Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Webseite überein (letzter Punkt bei dem Sicherheitshinweis)

 

Welchen Eintrag muss ich bei Hostname und Ziel beim Provider domain1.de machen?

 

Hostname: ???.domain1.de (domain1.de wird im Formular vorgegeben und kann nicht geändert werden)

Typ: SRV

Ziel: ??? (kann ja nur autodiscover.servicedomain.de oder outlook.servicedomain.de sein)

Priorität: 0 

Port: 443

Gewicht: 0

Protokoll: TCP

Dienst: autodiscover

 

Können andere Einträge bei domain1.de oder servicedomain.de stören?

 

Einträge domain1.de:

autodiscover.domain1.de CNAME autodiscover.servicedomain.de

domain1.de Typ A Ziel: Provider

*.domain1.de Typ A Ziel: Provider

imap.domain1.de CNAME Ziel:Provider

pop3.domain1.de CNAME Ziel:Provider

smtp.domain1.de CNAME Ziel:Provider

domain1.de MX 100 Ziel: Provider

*.domain1.de MX 100 Ziel: Provider

 

Einträge servicedomain.de:

autodiscover.servicedomain.de Typ A Ziel: Feste Internet IP-Adresse

outlook.servicedomain.de Typ A Ziel: Feste Internet IP-Adresse

servicedomain.de Typ A Ziel: Provider

*.servicedomain.de Typ A Ziel: Provider

imap.servicedomain.de.de CNAME Ziel:Provider

pop3.servicedomain.de.de CNAME Ziel:Provider

smtp.servicedomain.de.de CNAME Ziel:Provider

servicedomain.de MX 100 Ziel: Provider

*.servicedomain.de MX 100 Ziel: Provider

 

SAN-Zertifikat:

Ich habe gelesen, dass es haufenweise Probleme beim Import einen SAN-Zertifikats beim SBS 2008 gibt, da der Wizard für SAN nicht funktioniert. Zudem soll es Probleme mit dem Zertifizierer geben, wenn ein .local Verweis im Zertifikat ist. Es gibt einige Infos was man beim SBS tun kann, aber das scheint nicht gerade trivial.

 

Falls das mit dem SRV nicht klappt, kann man nicht über die CA beim SBS (ist ja installiert bzw. zumindest schaut es so aus) selbst ein SAN-Zertifikat erstellen?

 

Sonstiges:

Liegt das Problem evtl. bei den virtuellen Verzeichnissen des Exchange am SBS z.B. autodiscover-URL? Hier scheint es ja Unterschiede zur "normalen" Exchange-Installation zu geben.

 

 

Gruß,

Peter

bearbeitet 10. Mai 2015 von peterg

[testperson 1.543]

Hi,

 

Hostname: _autodiscover._tcp.domain1.de (?)

Ziel: autodiscover.servicedomain.de oder outlook.service.domain.de

 

Die CNAMEs sollten nicht stören. Mit denen sollte es allerdings auch ohne SRV Record funktionieren.

 

Das SAN Zertifikat musst du halt ohne Assistenten erstellen. Auf Probleme bin ich da noch nie gestoßen.Wenn du den SBS Assistenten zur Ersteinrichtung genommen hast, dann brauchst du im Zertifikat keinen .local FQDN. Ab dem 1. November dürfen eh keine Zertifikate mit internen Namen mehr von öffentlichen CAs ausgestellt werden. Split DNS ist hier das Zauberwort.

Die SBS CA kann auch SAN Zertifikate austellen, allerdings würde ich dir raten, ein SAN Zertifikat einer öffentlichen CA zu kaufen.

 

Ob es an den virtuellen Verzeichnissen liegt, lässt sich schwer sagen ohne diese zu kennen ;) Wenn der SBS mit dem Assistenten eingerichtet wurde, sollte hier aber alles passen.

 

Gruß

Jan