2013 - SAN Zertifikat

[PathFinder 10]

Hallo zusammen,

 

ich schaue mir gerade die neue Ex2013 Version in meinem Testlab an.

 

Ich habe noch ein 5er SAN Zertifikat von GoDaddy "übrig" das ich jetzt gerne dafür heranziehen möchte.

 

Ich bin jetzt gerade mal den Assistenten durchgelaufen.

 

Dieser empfiehlt mir folgende Konfiguration:

 

autodiscover.domain.local

server

server.domain.local

domain.local

 

Die ersten drei Einträge kenne ich von 2007 und 2010 auch so und denke das diese alternativlos sind.

 

Aber brauche ich auch "domain.local"?

 

Ich möchte erstmal auf nichts verzichten (autodiscover z.b.)

 

Ich möchte keine Fehlermeldungen von dem Outlook Client bekommen (SERVER)

 

Hat der Assistent noch etwas übersehen?

 

Angepeilt ist die Grundausstattung + autodiscover intern/extern und Outlook WepApp / Outlook Anywhere.

 

Vorstellen würde ich mir :

autodiscover.domain.local

autodiscover.domain.de

owa.domain.de

server.domain.local

server

 

Für Aufklärung danke ich, ich möchte nichts falsch machen, wenn das Zertifikat erstmal fertig ist wird es stressig.

[testperson 1.729]

Hi,

 

theoretisch kommst du beim Exchange mit einem Single Name Cert aus. Dazu müssen halt die URLs sowie dein DNS / der Provider DNS angepasst werden.

 

Bezüglich .local im Zertifikat: http://www.mcseboard.de/tipps-links-5/ssl-san-zertifikate-keine-interne-namen-mehr-erlaubt-189421.html

[PathFinder 10]

hi,

 

danke für deine Antwort.

 

Habe letztens erst unser Firmen Zertifikat bei GoDaddy erneurt "wie immer" da gabs keine deartige Meldung ^^

 

Nun gut, verstehe ich, macht Sinn und kommt mir ja grundsätzlich eher Gelegen als das es ein Problem wäre.

 

Bedeutet das dann: Das ich meine "externe Domänen Konfiguration" im DNS intern abbilde für die Hosts die Relevant sind?

 

Also im Zertifikat steht z.b. autodiscover.domain.de von "außen" ist eh klar. Von "innen" zeigt dann der eigentlich externe Name auf den internen Server so das der SA-Name stimmt? Gleiche dann für den server.domain.local der intern dann auch über beispielsweise owa.domain.de angesprochen wird?

 

Kann man das so sagen?

[testperson 1.729]

Hi,

 

entweder erstellst du im DNS dann eine Zone für die domain.de und fügst dort alle Hosts mit der externen IP von Hand ein die es im externen DNS gibt. Den Host für owa konfigurierst du dann allerdings mit der internen IP. (Das ist meist viel Arbeit ;) )

 

Du könntest auch Hostzonen anlegen z.B. eine Zone mit dem Namen owa.domain.de und dort einen Eintrag ohne Namen erstellen mit der internen IP des Server. Ebenfalls dann für autodiscover.domain.de.

 

Wenn du beim externen DNS Provider SRV Records setzen kannst/darfst, brauchst du nicht einmal den autodiscover Eintrag.

[PathFinder 10]

hi danke für deine Mühe,

 

das habe ich auch gerade nochmal nachgelesen.

 

Das es nur zu Testzwecken ist werde ich erst mal mit der externen Zone arbeiten und von Hand.

 

Das Stichwort ist doch Split-Brain, Split-Horizon, Split-DNS - was nach dem Artikel den ich hier gerade lese das selbe ist.

 

Da wir unser eigener Provider sind stehen mir alle Möglichkeiten offen =)

[Doso 77]

domain.local kommt von autodiscover. Entsprechende Clients gehen bei Autodiscover eine Liste von Möglichkeiten durch. Die Domäne an sich ist dabei an erster Stelle, autodiscover.domain.local kommt erst danach. Das berücksichtigt auch der Assistent beim Zertifikat. Ich fahre jetzt 3 Jahre ohne diesen Eintrag domain.local auf Exchange 2010 ohne Probleme.