Exchange + Zertifikat

[keks01 10]

Hallo,

 

Ich habe hier einen Win Server 2016 mit Exchange 2016 und Outlook 2010/2016 Clients.

Der Exchange ist über Port 443 vom Internet über eine DynDNS Adresse erreichbar.

Da es nun vermehrt Probleme mit dem externen Zugriff von IPhones gibt (Zertifikat wird nicht akzeptiert) wurde über Let´s Encrypt ein Zertifikat auf den Namen des DynDNS erzeugt, im Exchange Importiert und der IIS als Dienst zugewiesen.

Zusätzlich habe ich im Exchange Admin Center unter "Server/Virtuelle Verzeichnisse" die "Externe URL" und die "Interne URL" überall auf den externen DynDNS Namen angepasst.

IPhones von extern funktionieren nun wie gewünscht. Allerdings macht Outlook Probleme. Es kommt nun beim start ein Hinweis, dass "Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein"

Oben im Sicherheitshinweis steht der interne Domänenname des Servers.

Da ich bei Let´s Encrypt das Zertifikat nur auf einen FQDN ausstellen kann, bleibt mir meines erachtens nur die Möglichkeit, dass Outlook den Exchange über den DynDNS Namen anspricht. Das scheint aber nicht zu funktionieren. Zusätzlich habe ich noch einen Split/DNS auf dem Win Server erstellt. Der DynDNS Name zeigt auf die interne Exchange IP.

 

Wie bekomme ich im Outlook die Warnung weg?

Was mache ich falsch? Wo ist der Knoten?

 

[testperson 1.858]

Hi,

 

hast du deine DynDNS Adresse auch als Host-Zone im internen DNS angelegt und dort auf die interen IP deines Exchanges zeigen lassen?

Hast du auch die "AutodiscoverServiceInternalUri" mit "Set-ClientAccessService" angepasst?

Ist im Zertifikat auch autodiscover.<deine SMTP Domänen>.<tld> enthalten?

 

Gruß

Jan

[Nobbyaushb 1.580]

1tens Finger weg vom IIS beim Exchange - da regelt der Exchange selber.

 

2tens ist heute - besonders bei Firmen - Dyndns fahrlässig.

[keks01 10]

Danke für die schnellen Antworten....

 

hast du deine DynDNS Adresse auch als Host-Zone im internen DNS angelegt und dort auf die interen IP deines Exchanges zeigen lassen?

--> habe ich gemacht (splitDNS)

 

Hast du auch die "AutodiscoverServiceInternalUri" mit "Set-ClientAccessService" angepasst?

--> wurde erledigt

 

Ist im Zertifikat auch autodiscover.<deine SMTP Domänen>.<tld> enthalten?

--> das geht leider nicht, da ja nur DynDNS

 

MfG

 

vor 40 Minuten schrieb Nobbyaushb:

ens Finger weg vom IIS beim Exchange - da regelt der Exchange selber.

 

2tens ist heute - besonders bei Firmen - Dyndns fahrlässig.

ich hab am IIS nix gemacht.

warum ist DynDNS fahrlässig? Zugegeben, ne feste IP wäre besser, aber gehen muss es doch auch so....

[Sanches 22]

Moin,

 

da die Let´s Encrypt  Zertifikate nur eine kurze Gültigkeitsdauer haben (60 oder 90 Tage; weiß ich jedoch nicht 100%ig) müsstest du entweder manuell oder gescriptet hierzu für eine Erneuerung sorgen.

Ich würde dir hierzu eher empfehlen, dir ein richtiges Zertifikat, z.B. bei der psw group, zu holen. Die Kosten (ab 39 €) sollte für eine Firma möglich sein.

[testperson 1.858]

vor 2 Minuten schrieb keks01:

Ist im Zertifikat auch autodiscover.<deine SMTP Domänen>.<tld> enthalten?

--> das geht leider nicht, da ja nur DynDNS

CNAME?

[keks01 10]

Ok! Habe nun mal einen CNAME am Provider DNS angelegt. Das Problem habe ich aber eigentlich mit den Netzinternen Outlooks.

@Sanches: auch wenn ich mir jetzt ein Zertifikat kaufe, habe ich noch immer das gleiche Problem....

[Nobbyaushb 1.580]

Wenn Split-DNS passt, und du beide Namen im Cert hats, kein Problem - owa (oder webmail oder was-auch-immer) und autodiscover müssen in das Cert.

 

Losgelöst von DynDNS

[keks01 10]

Guten Morgen....

 

ich wollte nur kurz bescheid geben. Das Anlegen des autodiscover. im DNS hat geholfen. Im Outlook kommen nun keine Warnmeldungen mehr.

 

@Nobbyaushbwas mich aber noch stutzig macht: Warum soll DynDNS fahrlässig sein?

[Nobbyaushb 1.580]

vor 4 Minuten schrieb keks01:

Guten Morgen....

 

ich wollte nur kurz bescheid geben. Das Anlegen des autodiscover. im DNS hat geholfen. Im Outlook kommen nun keine Warnmeldungen mehr.

 

@Nobbyaushbwas mich aber noch stutzig macht: Warum soll DynDNS fahrlässig sein?

Danke für die Rückmeldung.

 

Warum - nun, viele Mailserver akzeptieren schlicht keine Mails die auf Dyndns Namen registriert / von solchen Adressen kommen.

Heute bietet nahezu jeder ISP eine oder mehrere feste IP´s inkl. der zugehörenden Namensauflösung an, manche muss man nur fragen, teilweise kostenlos, meistens um die 5€/Monat

bearbeitet 22. November 2018 von Nobbyaushb

[keks01 10]

dessen bin ich mir bewusst. Darum werden die Mails auch über einen Smarthost versendet und über einen POP3connector vom Provider abgeholt. Aber wo ist die fahrlässigkeit?

[Nobbyaushb 1.580]

Ich war davon ausgegangen, das du Mails direkt versendest.

 

Mit einem PopConnector hast du ggf. andere Probleme, aber wir sollten den Thread nicht unnötig aufbohren - wenn es für klappt, wunderbar.

[Sunny61 833]

vor 56 Minuten schrieb keks01:

 

@Nobbyaushbwas mich aber noch stutzig macht: Warum soll DynDNS fahrlässig sein?

Weil man deinen DynDNS Account kapern könnte und eine andere IP eintragen. Oder der DynDNS Dienst, meistens kostenlos, macht von heute auf morgen zu.