Jump to content

Empfohlene Beiträge

Hallo,

 

Ich habe hier einen Win Server 2016 mit Exchange 2016 und Outlook 2010/2016 Clients.

Der Exchange ist über Port 443 vom Internet über eine DynDNS Adresse erreichbar.

Da es nun vermehrt Probleme mit dem externen Zugriff von IPhones gibt (Zertifikat wird nicht akzeptiert) wurde über Let´s Encrypt ein Zertifikat auf den Namen des DynDNS erzeugt, im Exchange Importiert und der IIS als Dienst zugewiesen.

Zusätzlich habe ich im Exchange Admin Center unter "Server/Virtuelle Verzeichnisse" die "Externe URL" und die "Interne URL" überall auf den externen DynDNS Namen angepasst.

IPhones von extern funktionieren nun wie gewünscht. Allerdings macht Outlook Probleme. Es kommt nun beim start ein Hinweis, dass "Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein"

Oben im Sicherheitshinweis steht der interne Domänenname des Servers.

Da ich bei Let´s Encrypt das Zertifikat nur auf einen FQDN ausstellen kann, bleibt mir meines erachtens nur die Möglichkeit, dass Outlook den Exchange über den DynDNS Namen anspricht. Das scheint aber nicht zu funktionieren. Zusätzlich habe ich noch einen Split/DNS auf dem Win Server erstellt. Der DynDNS Name zeigt auf die interne Exchange IP.

 

Wie bekomme ich im Outlook die Warnung weg?

Was mache ich falsch? Wo ist der Knoten?

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi,

 

hast du deine DynDNS Adresse auch als Host-Zone im internen DNS angelegt und dort auf die interen IP deines Exchanges zeigen lassen?

Hast du auch die "AutodiscoverServiceInternalUri" mit "Set-ClientAccessService" angepasst?

Ist im Zertifikat auch autodiscover.<deine SMTP Domänen>.<tld> enthalten?

 

Gruß

Jan

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Danke für die schnellen Antworten....

 

hast du deine DynDNS Adresse auch als Host-Zone im internen DNS angelegt und dort auf die interen IP deines Exchanges zeigen lassen?

--> habe ich gemacht (splitDNS)

 

Hast du auch die "AutodiscoverServiceInternalUri" mit "Set-ClientAccessService" angepasst?

--> wurde erledigt

 

Ist im Zertifikat auch autodiscover.<deine SMTP Domänen>.<tld> enthalten?

--> das geht leider nicht, da ja nur DynDNS

 

MfG

 

vor 40 Minuten schrieb Nobbyaushb:

ens Finger weg vom IIS beim Exchange - da regelt der Exchange selber.

 

2tens ist heute - besonders bei Firmen - Dyndns fahrlässig.

ich hab am IIS nix gemacht.

warum ist DynDNS fahrlässig? Zugegeben, ne feste IP wäre besser, aber gehen muss es doch auch so....

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

da die Let´s Encrypt  Zertifikate nur eine kurze Gültigkeitsdauer haben (60 oder 90 Tage; weiß ich jedoch nicht 100%ig) müsstest du entweder manuell oder gescriptet hierzu für eine Erneuerung sorgen.

Ich würde dir hierzu eher empfehlen, dir ein richtiges Zertifikat, z.B. bei der psw group, zu holen. Die Kosten (ab 39 €) sollte für eine Firma möglich sein.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ok! Habe nun mal einen CNAME am Provider DNS angelegt. Das Problem habe ich aber eigentlich mit den Netzinternen Outlooks.

@Sanches: auch wenn ich mir jetzt ein Zertifikat kaufe, habe ich noch immer das gleiche Problem....

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Guten Morgen....

 

ich wollte nur kurz bescheid geben. Das Anlegen des autodiscover. im DNS hat geholfen. Im Outlook kommen nun keine Warnmeldungen mehr.

 

@Nobbyaushbwas mich aber noch stutzig macht: Warum soll DynDNS fahrlässig sein?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 4 Minuten schrieb keks01:

Guten Morgen....

 

ich wollte nur kurz bescheid geben. Das Anlegen des autodiscover. im DNS hat geholfen. Im Outlook kommen nun keine Warnmeldungen mehr.

 

@Nobbyaushbwas mich aber noch stutzig macht: Warum soll DynDNS fahrlässig sein?

Danke für die Rückmeldung.

 

Warum - nun, viele Mailserver akzeptieren schlicht keine Mails die auf Dyndns Namen registriert / von solchen Adressen kommen.

Heute bietet nahezu jeder ISP eine oder mehrere feste IP´s inkl. der zugehörenden Namensauflösung an, manche muss man nur fragen, teilweise kostenlos, meistens um die 5€/Monat

bearbeitet von Nobbyaushb

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

dessen bin ich mir bewusst. Darum werden die Mails auch über einen Smarthost versendet und über einen POP3connector vom Provider abgeholt. Aber wo ist die fahrlässigkeit?

  • Traurig 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich war davon ausgegangen, das du Mails direkt versendest.

 

Mit einem PopConnector hast du ggf. andere Probleme, aber wir sollten den Thread nicht unnötig aufbohren - wenn es für klappt, wunderbar.

  • Danke 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 56 Minuten schrieb keks01:

 

@Nobbyaushbwas mich aber noch stutzig macht: Warum soll DynDNS fahrlässig sein?

Weil man deinen DynDNS Account kapern könnte und eine andere IP eintragen. Oder der DynDNS Dienst, meistens kostenlos, macht von heute auf morgen zu.

  • Danke 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

Werbepartner:


×