blob 10 Geschrieben 29. September 2009 Melden Teilen Geschrieben 29. September 2009 Guten Morgen Zusammen, ich habe eine Verständnisfrage/kleines Problem zu SBS 2008 und Zertifikaten: Wie gewohnt richtet der SBS eine Standardwebseite ein (remote.domain.net) und hat auch ein selbst-ausgestelltes Zertifikat parat. Ich habe nun mit der Verwaltungsshell vom Exchange ein gekauftes Zertifikat für den Exchange eingespielt, welches nur den Namen mail.domain.net beinhaltet. Andere Änderungen zu diesem Thema habe ich noch nicht unternommen (IIS in Ruhe gelassen). Jetzt sehe ich bei unseren Outlook 2007 Clients, dass beim Start eine Zertifikatswarnung kommt das zwar alles stimmt ausser der Name vom Zertifikat nicht korrekt ist. Das ist ja auch richtig so, denn er meckert das das mail.domain.net Zertifikat für remote.magelan.net nicht gültig sei?! Wie gewöhne ich ihm das ab? :-| Danke im voraus. Zitieren Link zu diesem Kommentar
fluehmann 10 Geschrieben 29. September 2009 Melden Teilen Geschrieben 29. September 2009 Hallo blob Auf welche URLs der Client connected siehst du am besten wenn du im Outlook 2007 (Ctrl+rechter Mausclick auf Outlook Symbol+ E-mail Autoconfig testen) öffnest und dann einen Test durchführst. Das meiste Problem wird Autodiscover sein, da sich der Client diese URL selber zusammenbastelt. Beispiel: https://autodiscover.internaldomain.de..... Es kommt auch draufan ob die Clients Members der Domain sind. Wenn es so ist wird Autodiscover über einen SCP vom AD benutzt. Die Autodiscover Probleme könnte man mit SRV Records im DNS lösen. White Paper: Exchange 2007 Autodiscover Service Gruss fluehamnn Zitieren Link zu diesem Kommentar
blob 10 Geschrieben 29. September 2009 Autor Melden Teilen Geschrieben 29. September 2009 Also ich habe mal den Test ausgeführt, hier das Ergebnis: <?xml version="1.0" encoding="utf-8"?> <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006"> <Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a"> <User> <DisplayName>Mustermann, Hans</DisplayName> <LegacyDN>/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=hmustermann</LegacyDN> <DeploymentId>66b12023-a4b4-4ac1-9947-bb56648930ba</DeploymentId> </User> <Account> <AccountType>email</AccountType> <Action>settings</Action> <Protocol> <Type>EXCH</Type> <Server>SV01.domain.local</Server> <ServerDN>/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=SV01</ServerDN> <ServerVersion>720180F0</ServerVersion> <MdbDN>/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=SVC01/cn=Microsoft Private MDB</MdbDN> <PublicFolderServer>SV01.domain.local</PublicFolderServer> <AD>SV01.domain.local</AD> <ASUrl>https://remote.domain.net/EWS/Exchange.asmx</ASUrl> <EwsUrl>https://remote.domain.net/EWS/Exchange.asmx</EwsUrl> <OOFUrl>https://remote.domain.net/EWS/Exchange.asmx</OOFUrl> <UMUrl>https://remote.domain.net/UnifiedMessaging/Service.asmx</UMUrl> <OABUrl>https://sv01.domain.local/OAB/325aece0-783d-4fd4-bfe6-d02bf9ce3141/</OABUrl> </Protocol> <Protocol> <Type>EXPR</Type> <Server>mail.domain.net</Server> <SSL>On</SSL> <AuthPackage>Basic</AuthPackage> <ASUrl>https://remote.domain.net/EWS/Exchange.asmx</ASUrl> <EwsUrl>https://remote.domain.net/EWS/Exchange.asmx</EwsUrl> <OOFUrl>https://remote.domain.net/EWS/Exchange.asmx</OOFUrl> <UMUrl>https://remote.domain.net/UnifiedMessaging/Service.asmx</UMUrl> <OABUrl>https://mail.domain.net/OAB/325aece0-783d-4fd4-bfe6-d02bf9ce3141/</OABUrl> </Protocol> <Protocol> <Type>WEB</Type> <External> <OWAUrl AuthenticationMethod="Fba">https://mail.domain.net/owa/</OWAUrl> <Protocol> <Type>EXPR</Type> <ASUrl>https://remote.domain.net/EWS/Exchange.asmx</ASUrl> </Protocol> </External> <Internal> <OWAUrl AuthenticationMethod="Basic, Fba">https://sv01.domain.local/owa/</OWAUrl> <Protocol> <Type>EXCH</Type> <ASUrl>https://remote.domain.net/EWS/Exchange.asmx</ASUrl> </Protocol> </Internal> </Protocol> </Account> </Response> </Autodiscover> Also in der Verwaltungskonsole habe ich z.B. bei den OWA Einstellungen die externe Adresse "mail.domain.net" angegeben, diese ist auch von außen erreichbar und unser gekauftes Zertifikat läuft auf "mail.domain.net". Und wie gesagt, das Zert habe ich über die Verwaltungsshell eingespielt und für den Service IIS aktiviert. Ich verstehe nicht wie er auf remote.domain.net kommt bzw wie ich es ihm abgewöhnen kann?! Die URL kann von mir aus sv01.domain.local o. mail.domain.local heissen, beides führt zum Ziel. Aber mit dem Externen Namen habe ich eben ein offzizielles Zertifikat. Zitieren Link zu diesem Kommentar
fluehmann 10 Geschrieben 29. September 2009 Melden Teilen Geschrieben 29. September 2009 Wenn die URl sv01.domain.local o. mail.domain.local heissen sollte, dann müsste diese auch im Zertifikat vorhanden sein. Dann müsste dein Zertifikat SAN tauglich sein (mehrer Hostnamen unterstützen). Die Service URLs kannst du alle für eine interne und externe Domain konfigurieren. Schau dir mal folgenden Artikel an: Outlook 2007 Certificate Error? | Elan Shudnow's Blog Gruss fluehmann Zitieren Link zu diesem Kommentar
Zweckoptimist 10 Geschrieben 29. September 2009 Melden Teilen Geschrieben 29. September 2009 Wenn Dein Zertifikat nur den externen Namen eingetragen hat wirst Du zwar authentifiziert, aber eben nur extern. Ohne entsprechende .local-Einträge in Deinem Zertifikat wirst Du dauerhaft Fehlermeldungen bekommen, da Du ja quasi extern die Anfrage nach der Gültigkeit Deiner Zertifikate stellen müsstest und Deine Clients logischerweise Deine lokale Domain abfragen wollen. Zitieren Link zu diesem Kommentar
h2o 10 Geschrieben 29. September 2009 Melden Teilen Geschrieben 29. September 2009 Hallo Zwexkoptimist Der Artikel von fluehman geht wohl auf das Wesentliche ein. Aber Achtung diese Befehle funktionieren auf dem SBS nicht! Die Identity stimmt bei dir nicht da es sich biem SBS nicht um die Default Web Site handelt. Du kannst dies aber mit get-WebServicesVirtualDirectory usw. abfragen. Ebenfalls empfehle ich dir auf dem DNS-Server einen Eintrag für mail.domain.de zu erstellen, dann findet der Client direkt deinen Exchange! Das Ganze erinnert ist ein Gebastel, funktioniert aber wunderbar und ist am günstigsten... gruss h2o Zitieren Link zu diesem Kommentar
blob 10 Geschrieben 30. September 2009 Autor Melden Teilen Geschrieben 30. September 2009 also es ist so: anhand des Artikels habe ich Gestern schon am CAS die Weiterleitungen geändert, ALLE auf die externe Adresse mail.domain.net, die das Zert auch abdeckt! Das mit der Standardwebseite habe ich erkannt und dementsprechend die Befehle angepasst. Wir hosten selbst die domain.net bei uns, daher werden alle Anfragen von Intern (auf mail.domain.net/x) direkt auf die IP von dem SV01.domain.local (welcher ja der SBS ist) weitergeleitet. Die Zertifikatsmeldung kommt nun nicht mehr *freu* Jetzt geht nur mein OAB noch nicht... kann es mit keinem Client downloaden. Auf dem Exchange gibt es dazu keine Eventlogeinträge. SSL ist auf dem OAB Verzeichnis aktiviert. Das OAB ist up-2-date, das Verzeichnis \\SV01\ExchangeOAB\234233.... hat zum Test JEDER Leserechte (Exchange Server auch). Werde erstmal hier das Forum durchwühlen nach Tipps, aber falls jmd direkt dazu was einfällt... ;-) Thema erledigt, danke! Zitieren Link zu diesem Kommentar
fluehmann 10 Geschrieben 1. Oktober 2009 Melden Teilen Geschrieben 1. Oktober 2009 hallo Blob Kannst du per Browser die oab.xml öffnen? Ist ein Web Distribution Point veröffentlicht? https://domain.ch/oab/325aece0-783d-4fd4-bfe6-d02bf9ce3141/oab.xml Wichtige Berechtigungen sind vor allem: Administrators: full Exchange Servers: full Authenticated Users: read Vielleicht findest du hier noch ein Hinweis: You Had Me At EHLO... : Offline Address Book web distribution in Exchange Server 2007 Gruss fluehmann Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.