maverick82 10 Geschrieben 3. August 2007 Melden Teilen Geschrieben 3. August 2007 Hallo zusammen, wir haben seit kurzem Exchange 2007 bei uns installiert (vorher gab's ein anderes Mailsystem). Im LAN steht unser Exchange-Server mit dem FQDN exchange07.firma.int. In der DMZ steht ein ISA 2006 um OWA extern nutzbar zu machen. Das Zertifikat für OWA ist auf den Namen mail.firma.de ausgestellt. mail.firma.de ist der CNAME für den PTR-Eintrag exchange07.firma.de. Der Zugriff von extern auf OWA funktioniert ohne Probleme. Allerdings haben wir intern das Problem beim Zugriff über den Namen exchange07.firma.de, dass wir die Zertifikats-Fehlermeldung bekommen, dass der angegebene Name ungültig ist ("Der auf dem Sicherheitszertifikat angegebene Name ist ungültig oder stimmt nicht mit dem Namen der Site überein"). Was müssen wir ändern, damit wir auch intern kein Fehler mehr mit dem Zertifikat bekommen? PS: Die Artikel Exchange 2007 & Outlook Zertifikat Problem, Fehlende Übereinstimmung bei Zertifikat-Prinzipal Exchange 2007 und Exchange 2007 Zertifikate haben wir schon gelesen. Wir sind damit aber nicht weitergekommen. Zitieren Link zu diesem Kommentar
posterme 10 Geschrieben 3. August 2007 Melden Teilen Geschrieben 3. August 2007 wenn du intern mit der externen adresse arbeitest, funktioniert die OWA auch oder ? Zitieren Link zu diesem Kommentar
maverick82 10 Geschrieben 3. August 2007 Autor Melden Teilen Geschrieben 3. August 2007 OWA funktioniert mit dem externen FQDN aus dem LAN (ohne Proxy), aber nicht mit der externen IP-Adresse. Wenn wir über die externe IP-Adresse gehen, kommt die Fehlermeldung mit dem Zertifikat wie beim internen Zugriff, danach allerdings wird die Anmeldemaske von OWA nicht angezeigt. Fehler: "Fehlercode: 403 Verboten. Der Server hat die angegebene URL verweigert. Wenden Sie sich an den Serveradministrator. (12202)" Zitieren Link zu diesem Kommentar
maverick82 10 Geschrieben 22. August 2007 Autor Melden Teilen Geschrieben 22. August 2007 Hallo zusammen, unser Zertifikat ist nun richtig ausgestellt. Wir haben einen neuen CSR erstellt und die SANs (Subject Alternative Names) angegeben. Hier ne kurze Auflistung wie wir vorgegangen sind: New-ExchangeCertificate -GenerateRequest -SubjectName "C=DE, O=Firma, CN=mail.firma.de" -DomainName mail.firma.de,mail.firma.int,autodiscover.firma.de,autodiscover.firma.int,exchange07.firma.int,exchange07 -privatekeyexportable $true -Path c:\install\exchange07.certreq.txt Das Zertifikat importiert Import-exchangecertificate –path C:\install\mail.firma.de.cer und das Zertifikat für den IIS aktiviert Enable-exchangecertificate -services IIS –thumbprint 8C878D9E99064617192807528562FAB98C9E8588 Von intern funktioniert der Zugriff über die (interne) URL https://mail.opitz-consulting.int/owa/ ohne Probleme. Auch die Zertifikatsfehler beim starten von Outlook 2007 sind verschwunden. Beim Zugriff von intern über die externe URL https://mail.opitz-consulting.de/owa/ bekommen allerdings eine Fehlermeldung vom ISA2006. "Fehlercode: 500 Interner Serverfehler. Der Zielprinzipalname ist falsch. (-2146893022)" Wir haben das Zertifikat vom Exchange Server exportiert und im Listener für OWA auf dem ISA2006 importiert (wir haben nur 1 Zertifikat; werden 2 Zertifikate benötigt?). Die IP-Adresse für mail.firma.de verweist per NAT auf den ISA2006. Weiß jemand, wie wir das Problem lösen können? Wir würden gerne mit dem einen Zertifikat auskommen (falls dies das Problem ist). Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.