öffentliche Domäne fuer exchange 2007

[Parkesel 10]

Hallo Leute

 

 

Exchange 2007 und Outlook 2007 machen irgendwie ein Kaos sobald man OWA von extern verwenden will, also ab den moment das das zertifikat gwechselt wird.

 

Ich habe das bis jetzt mit einer 2 ten Webseite gelöst was nicht die saubere Art ist aber funktioniert.

 

Microsoft beschreibt es so

Warning message when you start Outlook 2007 and then connect to a mailbox that is hosted on an Exchange 2007-based server: "The name of the security certificate is invalid or does not match the name of the site"

 

Nun meine überlegung währe es sinnvoller die Externe und interne domäne gleich zu heissen? exch2k7.domain.de dann hätte man diese Zert Probleme nicht.

 

Ich verwende immer domain.lcoal für intern aber ???

 

Wie macht ihr das immer?

 

 

Vielen dank leute

[LukasB 10]

Du willst ein sogenanntes UCC / SAN Zertifikat, das mehrere Namen abdecken kann.

 

Mehr dazu findest du z.B. hier:

 

You Had Me At EHLO... : More on Exchange 2007 and certificates - with real world scenario

[Parkesel 10]

Hallo

 

Danke für deine Schnelle Antwort, ich weiss das es sowas gibt doch danach muss noch alles moegliche umgestellt werden autodiscovery usw.

 

Ist irgendwie nicht recht inteligent geloesst worden oder?

 

Wie macht ihr das ?

 

Hast du interne und externe Domaene immer unterschiedlich?

 

Danke dir

[LukasB 10]

Danke für deine Schnelle Antwort, ich weiss das es sowas gibt doch danach muss noch alles moegliche umgestellt werden autodiscovery usw.

 

Damit AutoDiscovery bei Nicht-Domain Clients (EAS Endgeräte, Home Office, etc. pp.) musst du das sowieso machen.

 

Ist irgendwie nicht recht inteligent geloesst worden oder?

 

Hmm, ich finde die Sache ist sehr intelligent gelöst und sehr detailliert dokumentiert.

 

Wie macht ihr das ?

 

Gemäss Best Practice. D.h. ein UCC/SAN Zertifikat, autodiscovery.company.tld, eine externe URL (mail.company.tld) und eine interne URL (cas-01.ad-domain.internal). Funktioniert hervorragend, verursacht keine Probleme, und ist garantiert nicht bastelig.

 

Du kannst aber auch alles auf den externen Namen konsolidieren und mit Split-DNS, Loopback NAT oder einem Reverse-Proxy arbeiten, und einen SRV RR für Autodiscovery verwenden. Dann reicht auch ein nicht-UCC Zertifikat. Hab ich in meiner privaten Spielumgebung so gemacht, und es funktioniert auch. Produktiv würde ich sowas nicht deployen.

[TheDonMiguel 11]

Hallo

 

Bei einem SAN Certificate sollte nebst webmail.domain.com und autodiscover.domain.com auch der NetBIOS Name und FQDN des Exchange Servers als Alternative Name eingetragen werden. Dann kann InternalURL auf dem FQDN belassen werden. Als ExterneURL trage ich dann auch die externe URL ein, z.B. webmail.domain.com...

 

Hier eine unterstützung für den CSR: https://www.digicert.com/easy-csr/exchange2007.htm und das Autodiscover Whitepaper: White Paper: Exchange 2007 Autodiscover Service

 

Edit: Lukas war schneller :) Sein Vorschlag mit SRV Record habe ich auch mit einem Single Name Certificate von GoDaddy am Laufen. Erfordert einfach Outlook 2007 SP1...

 

Gruss

Miguel

[Parkesel 10]

Hallo Leute

 

 

Sorry das ich noch mal nachhake

 

Werde das das Wochenende nochmal nachbauen.

 

Haettet ih ein Dokument was ich durchgehen muss?

 

Ich werde die domäne test.local heissen und extern test.de

 

Dan stellt exchange ein zertifikat fuer test.local aus.

 

Ueber OWA greif ich mit mail.test.de zu ich brauche also ein zertifikat mit den CSR mail.test.de server.test.local autodiscovery.test.local

 

Habt ihr da ne Anleitung die ihr immer durchgeht oder wisst ihr das auswendig?

 

Danke Leute