Jump to content

Neues Exchange Zertifikat erstellen - Worauf muss man achten?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

wir stellen auf einen Exchange 2010 Server um und benötigen dafür ein Zertifikat. Ich bin mir aber nicht sicher, ob meine Einträge alle so richtig sind bzw. ob man da etwas verbessern kann. Derzeit verwenden wir einen SBS2003 mit Pop3 und Smarhost.

 

Wir werden wohl ein Multidomainzertifikat / UCC wie z.b. bei psw-group.com benötigen.

 

Wir haben nur einen Exchange der mit diesem Zertifikat alle nötigen Dienste ohne Probleme bereitstellen soll.

Nun sollen ja auch Interne Servernamen ab 2016 wegfallen, sodass ich es für die Zukunft schon gerne sauber hätte.

 

Unsere Interne Domain hat den gleichen Namen wie unsere Externe Domain!

 

Hier mal die Eckdaten.

 

Interne Domain:

__Ex2010.Domain.com -> Exchange 2010 Server

__Mail.Domain.com -> Alias (Cname) auf Ex2010.Domain.com

__Owa.Domain.com -> Alias (Cname) auf Ex2010.Domain.com

__www -> Host(A) Eintrag auf die IP bei 1und1

 

Externe Domain bei 1und1:

__MX Eintrag auf Mail.Domain.com

__Mail.Domain.com -> Subdomain mit Verweis auf unsere Feste IP

__Owa.Domain.com -> Subdomain mit Verweis auf unsere Feste IP

__Autodiscover.Domain.com -> Subdomain mit Verweis auf unsere Feste IP

 

Neues Exchange Zertifikat - per Exchange Verwaltungskonsole:

 

Anzeigename: Mail.Domain.com

Platzhalterzertifikat -> Nicht nötig für uns.

Clientzugriffsserver (Outlook Web App)

__Outlook Wep APP Intranet : OWA.Domain.com

__Outlook Wep App Internet : OWA.Domain.com

Clientzugriffsserver (EX Activesync):

__mail.Domain.com

Clientzugrifsserver (Webdienste, Outlook Anywhere und Autoermittlung):

__Externer Hostname für Ihre Organisation: mail.domain.com

__Autoermittlungsdienst: lange URL: autodiscover.domain.com

Clientzugriffsserver (Pop/Imap)

__Nicht benötigt

Unified Messaging Server

__Nicht benötigt

Hub-Transport-Server

__Da bin ich mir nicht sicher.

__Mails sollen später nicht per Smarthost verschickt werden, sondern direkt.

__Sollte man MTLS mit aktivieren?

__Mail.domain.com oder nur domain.com

 

 

Vielen Dank für Tipps und die Geduld, sich das alles anzuschauen!

:)

Link zu diesem Kommentar

Moin,

 

ehrlich gesagt, sind exakte Aussagen ohne genaue Analyse der Umgebung (Netzwerk, DNS, Anzahl Server, etc.) nicht wirklich möglich. Wenn ich beim Kunden bin, dauert es schon mal zwei Stunden, bis wir alle Namen festgelegt haben.

 

Die Anzahl der NOTWENDIGEN Namen ist zwischen 1 und N variabel. Die anzahl der möglichen Namen weicht davon noch mal ab.

 

Deine Namensliste oben KANN man so machen, muss man aber nicht. Spontan würde ich z.B. mail.* oder owa.* weglassen. Wenn es eh auf die gleiche IP zeigt, kostet das ein doppelter Name nur unnötig Geld.

 

Was genau meinst Du mit "Nun sollen ja auch Interne Servernamen ab 2016 wegfallen, sodass ich es für die Zukunft schon gerne sauber hätte."?

Link zu diesem Kommentar

Hallo,

 

bei SSL-Zertifikate ist unter Organisationvalidierte Multidomainzertifikate / UCC zwischen der Zeile 2Jahre und 3Jahre ein Hinweis, dass UCC Zertifikate mit einer Laufzeit von über 2 Jahren keine Internen Namen mehr unterstützen.

 

Was sollte ich anstelle von mail.* und owa.* eintragen?

 

Bzgl. der Festlegung der Namen:

So viele haben wir doch nicht?

;)

 

Thx im voraus

Link zu diesem Kommentar

Ach so, das mit den Namen bezog sich auf PSW. Ja, interne Namen sind bei vielen CA/RA nicht möglich.

 

Anstelle von mail.* und owa.* reicht halt einfach ein Eintrag. Da Du darüber OWA machst und die Leute tendenziell am meisten dort die URL eingeben würden, würde ich nur owa.* benutzen.

 

Ich habe ja auch nicht gesagt, dass ihr viele Namen habt, nur, dass die Anzahl zwischen 1 und N schwanken kann und Pauschalaussagen daher nicht möglich sind.

 

Du hast z.B. eine SpliDNS-Konfiguration, was auch Auswirkungen auf die Namen hat. Mit einem SRV-Eintrag für autodiscover könntest Du die Anzahl der Namen im Zertifikat auf einen senken. Das geht aber nur, wenn Du auch wirklich SRV-Einträge setzen kannst.

Link zu diesem Kommentar

Hallo,

 

die Emails sollen ja an die mail.domain.com geschickt werden.

Die Subdomain mit dem Verweis auf die IP Existiert also.

 

Benötige ich für ausgehende Mails nicht auch ein Zertifikat?

Dann sollte doch bei Hub-Transport-Server ebenfalls mail.domain.com stehen.

 

Preislich ist es ja auch nicht so dramatisch wenn man ein teureres Multidomain Zertifikat kauft.

 

 

Hast Du noch einen Tipp bzgl. der MTLS Aktivierung?

 

SRV Einträge kann ich bei 1und1 anscheinend nicht setzen.

 

Danke für die Geduld!

:)

Link zu diesem Kommentar

Moin,

 

aber Namen sind doch nur "Schall und Rauch".

 

Ob ein Server per SMTP seine Mail an "owa.domäne", "mail.domäne" oder "christkindlmarkt.domäne" verschickt, ist ihm doch vollkommen wurscht.

 

Du machst den passenden MX-Eintrag, der zeigt auf einen Host und fertig. Und wenn hinter dem Host nur eine Adresse hängt, dann reicht auch ein Name.

 

Für SMTP/TLS brauchst Du ein Zertifikat, das auf den FQDN des Mailservers (so, wie er sich im HELO meldet) ausgestellt ist. Aber wieder: Der Name ist doch egal.

 

MTLS setze ich nicht ein und habe ich bei Exchange auch noch nicht wirklich erlebt (eher bei Webserver-Farmen, Lync, o.ä.).

Link zu diesem Kommentar

Hallo,

 

da Namen ja Schall und Rauch sind, kannst Du mir bestimmt noch einen Tipp geben.

 

Das Zertifikat wurde bestellt und inzwischen eingefügt.

Da ich auf den internen Namen verzichtet habe, sieht das Zertifikat nun so aus:

DNS Name=domain.com

DNS Name=autodiscover.domain.com

DNS Name=mail.domain.com

 

Die HTTPS Verbindung auf mail.domain.com zeigt nun keine Warnung mehr an.

 

Nun habe ich mir gedacht, dass ich bei der Outlook Einrichtung die mail.domain.com eintrage und damit den internen Servernamen EX2010.domain.com umgehe.

Die Verbindung über die Outlook Clients zeigt mir trotzdem eine Warnung an.

Ist ja auch nachvollziehbar, da der Ex2010.domain.com nicht im Zertifikat auftaucht.

 

Gibt es eine Möglichkeit, dieses Automatische übergeben der Exchange Serverdaten zu verändern?

 

Wenn nicht, kann ich das Zertifikat noch um die ex2010.domain.com Adresse erweitern.

 

Danke!

Link zu diesem Kommentar

Moin,

 

na ja, auch wenn Namen Schall und Rauch sind, ersetzt das nicht das Wissen über die Funktionsweise von Exchange. Darum ist es ja so schwer, in einem Forum zu erklären, wie das mit den Namen funktioniert, da man wissen muss, was ein CAS-Array, Load Balancer, internalURL, externalURL, Autodiscover, SplitDNS, etc. ist und wann was wie benutzt wird.

 

Mein erste Schritt von zwei Stunden "Namenssuche" besteht darin, dass ich den Leuten Exchange erkläre (1,5 Stunden) und im Rest weiß der Kunde dann meist selbst, welche Namen er braucht und wie man die Namen, die Exchange nutzt und die, die im Zertifikat stehen, synchronisiert.

 

Nutze die Funktion "E-Mail-Autokonfiguration testen...." in Outlook. Da siehst Du zum einen die URL, die Outlook intern für Autodiscover nimmt. Diese wird mit der EMS und Set-ClientAccessServer geändert.

 

Außerdem sind noch die URLs wichtig, die danach für OAB, Verfügbarkeitsdienst und Abwesenheitsassistent benutzt werden. Die erste kann über die EMC (Serverkonfig -> Clientaccess -> OAB-Verteilung), die zweite leider wieder nur über die EMS mit "Set-WebservicesVirtualdirectory" geändert werden.

 

Da Du nun schon das Zertifikat hast, wirst Du die URLs anpassen müssen. Danke SplintDNS ist das aber kein Problem und die URLs müssten auf "mail.domain.com" geändert werden.

 

BTW: Wenn Du bei der Outlook-Einrichtung intern als Servernamen auch "mail.domain.com" nimmst, hast Du also als CAS-Array (das ist der RPC-Teil von Outlook) den gleichen Namen, wie für den HTTP-Teil benutzt. Das ist nicht empfohlen. Du solltest für den RPC-Teil (=CAS-Array) einen eigenen Namen nehmen, der muss auch nicht ins Zertifikat. Das widerspricht zwar meinen obigen Ausführungen, hier gibt es aber andere Gründe, warum man das macht, die wichtiger sind und in Outlook stecken.

Link zu diesem Kommentar

Hallo,

 

Hallo,

 

ich habe nun mittels EMS die Werte soweit auf mail.domain.com geändert, dass per Outlook Test nur noch die Einträge für Abwesenheit, Verfügbarkeitsdienste sowie Unified Messaging auf Ex2010.Domain.com angezeigt werden.

 

Wie soll ich für den RPC Teil in Outlook einen anderen Namen nehmen bzw. wie verhindere ich die Fehlermeldung bzgl. des Zertifikates?

 

Ich glaube es ist besser, wenn ich den Internen Namen noch mit in das Zertifikat aufnehme, oder?

 

Nochmals danke!

Link zu diesem Kommentar

Moin,

 

ich gebe zwar zu, dass das ganze Thema ein wenig komplexer ist, aber Du musst schon lesen, was ich schreibe. ;)

 

ich habe nun mittels EMS die Werte soweit auf mail.domain.com geändert, dass per Outlook Test nur noch die Einträge für Abwesenheit, Verfügbarkeitsdienste sowie Unified Messaging auf Ex2010.Domain.com angezeigt werden.

 

genau DIE musst Du aber ändern. Solange Du die nicht geändert hast, wirst Du einen Zertifikatsfehler bekommen.

 

Wie ich schon schrieb, musst Du nicht das Zertifikat anpassen. Es reicht, die URLs zu ändern.

 

Für den RPC-Teil von Outlook (=aka CAS-Array) siehe hier: MSXFAQ.DE:CASArray

 

Dui brauchst die ersten beiden Shell-Befehle, angepasst an Deine Umgebung.

Link zu diesem Kommentar

Hallo!

 

so ganz komm ich da nicht mit.

Habe nun per New-ClientAccessArray ein Array namnes "CAS-Array-Domain" mit dem fqdn mail.domain.com -site Standort eingerichtet.

-RpcClientAccessServer habe ich ebenfalls durchgeführt.

 

Muss ich per Set-WebServicesVirtualDirectory nur die interne URL verändern? Und wenn ja, welchen Wert? Mail.Domain.com oder cas-array.domain.domain.com?

 

Danke!

Link zu diesem Kommentar

Also noch mal langsam.

 

Outlook benutzt zwei "Wege", um auf den CAS-Server zuzugreifen (wir gehen mal von internem Outlook aus):

 

RPC -> das, was Du im Profil einstellst

HTTPS -> OAB, EWS, F&B (=Verfügbarkeitsdienst) - sieht man nur mit "E-Mail-Autokonfiguration testen..."

 

Und NUR für die HTTPS-Dienste braucht man ein Zertifikat, da RPC kein SSL nutzt.

 

Das CAS-Array ist ein "virtueller" Exchange-Server, der für den RPC-Teil genutzt wird. Und dieser Name sollte anders sein, als der HTTPS-Name.

 

Also:

 

rpc.domäne -> RPC-Teil

1. im internen (nur dort, ist im externen nicht notwendig!) DNS anlegen mit IP-Adresse auf den Exchange

2. mit New-ClientAccessArray anlegen und mit Set-Mailboxdatabase in die Datenbanken einbauen

3. Neue Clients bekommen den automatisch in Ihrem Profil als Exchange-Server eingetragen, alte Clients müssten von Hand angepasst werden, funktionieren aber mit dem alten Namen weiterhin

 

HTTPS-Teil:

In das Zertifikat kommt "mail.domäne". Den Eintrag im DNS hast Du schon, zeigt auch auf die IP vom Exchange.

 

"mail.domäne" wird in den verschiedenen "internalURL" von OAB und EWS eingetragen.

Link zu diesem Kommentar

Hallo nochmal..

 

Also:

rpc.domäne -> RPC-Teil
1. im internen (nur dort, ist im externen nicht notwendig!) DNS anlegen mit IP-Adresse auf den Exchange
2. mit New-ClientAccessArray anlegen und mit Set-Mailboxdatabase in die Datenbanken einbauen
3. Neue Clients bekommen den automatisch in Ihrem Profil als Exchange-Server eingetragen, alte Clients müssten von Hand angepasst werden, funktionieren aber mit dem alten Namen weiterhin

 

Das CAS Array habe ich ja eingerichtet, bekomme dieses bei dem Test der Autokonfiguration trotzdem mail.domain.com anzeigt. Das CAS-Array taucht nicht auf! Somit habe ich immer noch mail.domain.com für RPC und HTTP wenn ich das so richtig deute.

 

Weiterhin wird bei den Ergebnissen kein Ex2010 mehr angzeigt, ich bekomme aber trotzdem eine Fehlermeldung bei der Prüfung des Zertifikates.

Im Reiter Protokoll wird trotzdem noch auf Ex2010 bei der Autoermittlung verwiesen.

 

?

 

-korrektur-

Den cas-array Namen habe ich vorher ebenfalls auf Mail gesetzt.

Dieser soll ja nicht so lauten wie die externe Adresse.

Nun habe ich im DNS einen Eintrag für casarray.domain.com erstellt und ein Array mit diesem Namen erstellt.

 

Die Zertifikatsfehlermeldung kommt allerdings weiterhin.

bearbeitet von Knorkator
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...