Öffentliches Zertifikat von godaddy unterstützt keine lokalen TLDs mehr (ala .local).

[Navy 11]

Hi,

 

folgendes Problem: Ein Zertifikat von godaddy wurde verlängert und von außen (owa, iphones) passt alles da die externe Adresse noch im Zert eingetragen ist.

godaddy erlaubt aber keine lokalen Adressen mehr im Zert (.local, .lokal, .intern, usw.) und deshlab meldet Outlook immer das der Name im Zertifikat nicht mit dem servernamen (exchange.domäne.local) übereinstimmt, was auch so stimmt.

 

Ich habe jetzt noch ein selbst ausgestelltes Zertifikat eingerichtet und im Exchange zugewiesen aber wie es aussieht wird das Zertifikat von der öffentlichen CA bevorzugt verwendet und die Outlooks ignorieren das selbst erstellte Zert komplett.

 

Hat jemand ne Idee für mein Problem wo ich ansetzen könnte zu Suchen?

 

Gruß und Danke im Voraus

Ben

[RobertWi 81]

Moin,

 

Du kannst prinzipbedingt nur ein Zertifikat pro IP-Adresse im IIS konfigurieren. Du müsstest also mit zwei IP-Adressen, anderen Bindings und doppelten Verzeichnissen arbeiten. Nicht schön, fehlerträchtig und teilweise nicht supported.

 

Alternativen:

 - Proxy nach außen mit externem Zertifikat, Exchange nach innen mit internen.

 - SplitDNS verwenden

 

Self-Signed Zertifikate sind eh nicht richtig supported, und bevor Du eine interne PKI hochziehst, solltest Du lieber über SplitDNS nachdenken.

[Navy 11]

Hi Robert,

 

mein Problem ist aber doch eher das meine Outlooks auf einen Server mit einer TLD .local zugreifen (exchangeserver.domäne.local) und für diese keine Zertifikat zuständig ist in der aktuellen Konfiguration. Ein SplitDNS würde mir da nicht helfen oder sehe ich da was nicht richtig?

[RobertWi 81]

Natürlich musst Du die interne Konfig von Exchange auch anpassen. Bei Deinem alten Zertifikat waren interne und externe Konfig auf die unterschiedlichen Namen angepasst. Da Du nun nur noch einen Namen hast, muss die Konfig auf diesen Namen vereinheitlicht werden und das ganz dann natürlich noch in DNS passen.

[Navy 11]

Okay,    also sämtliche InternalURLs auf z.B: owa.zertifiziertedomäne.de\OAB für als Beispiel das offline Adressbuch umstellen und im DNS dann owa.zertifiziertedomöne.de auf die IP des Exchangeservers verweisen?

 

Gruß

Ben

[RobertWi 81]

Korrekt. Das wäre SplitDNS.

[Navy 11]

Danke für die Klärung, ich hab mit splitDNS nichts anfangen können da wir solche Konfigurationen als Standard ansehen.

 

Kann man sagen wie sich die Clients verhalten werden? Bekommen die über autoconfig die neuen Serveradressen oder müssen an allen Clients die Outlooks neu mit Ihren Postfächern verbunden werden? (Muss evtl autoconfig erstmal auf der alten internen Domain verbleiben bis alle umgestellt sind?)

 

Und als 2. Punkt: Zu ändern sind OWA, OOF, OAB, und Unified Message Service Internal Urls, korrekt? Oder hab ich welche vergessen?

 

Danke und schöne Grüße

Ben

[RobertWi 81]

Die URLs passen. Wobei bei den URLs EWS und OAB sehr wichtig sind (sonst funktioniert Outlook nicht korrekt,  OWA, ECP und UM eher unwichtig sind. Die sollten aber auch korrekt sein, nur nicht für Outlook.

 

Die URLs kommen via Autodiscover, da ist am Client nichts zu tun. Allerdings werden die vom IIS gecacht, wenn Du sofortige Änderungen sehen willst, muss Du den IIS oder den AppPool neustarten. Die Verbindung zum Postfach ändert sich ja nicht, weil Du ja HTTPS änderst, nicht RPC.

[Navy 11]

Danke für die schnelle und kompetente Hilfe, ich hab dann aber doch EWS und ECP in meiner Aufzählung übersehen.

 

Ich werd die Sache heute Abend angehen und dann Morgen berichten.

 

Schöne Grüße

Ben

[RobertWi 81]

EWS hast Du geschrieben, nur nanntest Du es "OOF". OOF kommt seit 2007 über die EWS. ;)

 

ECP fehlte, das stimmt.

[Navy 11]

Oh ihr schönen Abkürzungen... :rolleyes:

[Navy 11]

Ok, alles schmerzlos verlaufen. Im DNS die Adresse aus dem Zertifikat (bei mir exchangeservername.domäne.de) auf die IP des Exchanges und alle internen CASURLs ersetzt.

http://www.msxfaq.de/e2007/casurls.htm gibt ne schöne Übersicht über alle Adressen.

 

Danke Robert und ein schönes Wochenende an alle

Ben