Jump to content

SAN zertifikate Exchange Server 2013


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Community,

 

ich habe mich hier in diesem Forum registriert, da ich hier schon öfters interessante Lösungen gefunden habe. 
Zu meinem Szenario: 

Wir möchten eine neue Exchange Umgebung zur Verfügung stellen, dies ist auch soweit in einer testumgebung durchgeführt worden. 

2x Exchange Server 2013 auf Windows Server 2012

beide Server sind CAS+MBX Server, Außerdem ist eine DAG eingerichtet. Da beide Rollen jeweils auf beiden Servern installiert sind, kann ich leider nicht das HA von Microsoft direkt verwenden, deshalb verwende ich einen LoadBalancer. Die Funktionen sind auch soweit alle klar. 

Wir möchten uns nun Zertifikate von einem SSL-Anbieter holen. Mir ist dabei bewusst, dass ich SAN, Zertifikate benötige. Ich weiß nur nicht wie viele. Da wir zwei Exchange Server haben, aber die DNS einträge ja auf beiden Servern gleich sind für den HA Betrieb. Ich steige hierbei leider nicht durch. Kann mir dabei vielleicht jemand einen Hinweis geben? 

Vielen Dank im voraus. 

Link zu diesem Kommentar
Ein Zertifikat reicht aus. Müssen halt alle benötigten Namen drin stehen. ;)

 

 

aber das funktioniertd doch nicht oder? ich muss ja das request von beiden servern erstellen.

dazu check ich nicht wie ich das mit den internen und externen adressen machen soll. da benötige ich doch dann auch die doppelte anzahl an zertifikaten.

 

Ich möchte:

owa.abcde.de

autodiscover.abcde.de

ews.abcde.de

oab.abcde.de

 

das sind doch dann 4 san zertifikate. kenn hier jemand evtl. ein best practise dafür. Wildcard Zertifikate sollen ja ungeeignet sein für exchange.

 

danke schonmal für deine antwort

Link zu diesem Kommentar

aber das funktioniertd doch nicht oder?

Warum sollte es nicht funktionieren? Dann mach ich seit Jahren was falsch. ;)

ich muss ja das request von beiden servern erstellen.

Wo und womit du einen CSR erstellst ist vollkommen wurscht. ich kann dir auch einen CSR für deine Server erstellen wenn du magst.

dazu check ich nicht wie ich das mit den internen und externen adressen machen soll.

Split-DNS, so dass nur externe Namen verwendet werden. Theoretisch reichen zwei Namen für eine funktionale Umgebung. Technisch wäre es sogar mit nur einem Namen möglich.

da benötige ich doch dann auch die doppelte anzahl an zertifikaten. Ich möchte: owa.abcde.de autodiscover.abcde.de ews.abcde.de oab.abcde.de das sind doch dann 4 san zertifikate. kenn hier jemand evtl. ein best practise dafür. Wildcard Zertifikate sollen ja ungeeignet sein für exchange. danke schonmal für deine antwort

Ich denk, du hast das mit den Zertifikaten noch nicht so ganz drin. ;) Ausserdem wäre Groß- und Kleinschreibung nett. Liest sich angenehmer. Übrigens heißt SAN Subject Alterntative Names. Heißt ein Zertifikat und mehrere Namen, nicht 4 Zertifikate. ;)

 

Bye

Norbert

Link zu diesem Kommentar

Hallo Community,

 

ich habe mir nun die sache etwas genauer angeschaut. Wenn ich das richtig verstanden habe, kann man mit einem SAN-Zertifikat Domains mit einbinden, also mehrere Domains mit einem Zertifikat. Dabei darf man aber nur bekannte Domains verwenden und keine lokalen Domains. (Bzw. ab 2015 werden keine lokalen domains mehr unterstüzt) 

Überlegung zur Konfiguration: 

 

(Beispiel IP-Adressen)

 

Router Öffentliche ip: 217.X.X.X 
Port Forwarding zum HA-Loadbalancer: 217.X.X.X --> 192.168.1.10
 

Einträge im DNS Server (DNS-Splitting): 

autodiscover.domain.de - 192.168.1.70

owa.domain.de - 192.168.1.71

ews.domain.de - 192.168.1.72
eas.domain.de - 192.168.1.73
oab.domain.de - 192.168.1.74
 

 

ExchangeServer1:
192.168.1.21
Virtuelle Verzeichnisse von Exchange Server1:
Interne URL: https://owa.domain.de/ecp  
externe URL: https://owa.domain.de/ecp


ExchangeServer2:
192.168.1.22

Interne URL: https://owa.domain.de/ecp  
externe URL: https://owa.domain.de/ecp

Konfiguration Loadbalancer:
 

virtuelle IP: 192.168.168.71
name: owa
type: TCP

realer Server: 192.168.1.21 , 192.168.1.22

usw.... . 


Sollte das so funktionieren? 
Muss ich dann von meinem Provider für jeden Namen eine subdomain einrichten, d.h. 
Ich habe die Domain domain.de und benötige dann owa.domain.de und diese domain muss ich auf die virutelle adresse weiterleiten???

Vielen Dank im voraus!

 

 



 

Link zu diesem Kommentar

ich habe mir nun die sache etwas genauer angeschaut. Wenn ich das richtig verstanden habe, kann man mit einem SAN-Zertifikat Domains mit einbinden, also mehrere Domains mit einem Zertifikat. Dabei darf man aber nur bekannte Domains verwenden und keine lokalen Domains. (Bzw. ab 2015 werden keine lokalen domains mehr unterstüzt) 

 

Korrekt.

 

Einträge im DNS Server (DNS-Splitting): 

autodiscover.domain.de - 192.168.1.70

owa.domain.de - 192.168.1.71

ews.domain.de - 192.168.1.72

eas.domain.de - 192.168.1.73

oab.domain.de - 192.168.1.74

 

Eventuell hast Du "DNS-Splitting" falsch verstanden oder verstehst was anderes drunter, als normalerweise, aber das ist nicht notwendig und viel zu aufwendig - siehe auch Post #6

 

 

Sollte das so funktionieren? 

Muss ich dann von meinem Provider für jeden Namen eine subdomain einrichten, d.h. 

 

Warum reitest Du immer auf den Subdomänen rum? Bekommst Du die extre bezahlt, oder was?

 

Thereotisch reicht 1 Name (in Worten EINS) aus. Da aber manche Geräte den SRV-Eintrag für Autodiscover nicht kennen, nimmt man in der Regel 2 Namen:

autodiscover.domain.de -> Name pflicht

owa.domain.de -> Subdomain frei auswählbar

 

Und wenn man es richtig schön macht, gibt es intern noch einen Namen für RPC. Den braucht man aber extern nicht und auch nicht im Zertifikat, der wird nur als RPCClientacccess-Server benutzt.

bearbeitet von RobertWi
Link zu diesem Kommentar

 

Ich muss doch dafür eine subdomain erstellen, sonst kann ich diese doch beim Zertifikat als SAN gar nicht angeben oder?

 

 

Ja, aber nur EINE (eventuell zwei mit Autodiscover). OWA/ECP/OAB usw. sind Verzeichnisse innerhalb einer Seite.

 

Und theoretisch bräuchtest Du noch nicht mal das, auch "domain.de" könnte bei Port 443 auf dem Exchange landen.

Link zu diesem Kommentar

@RobertWi

 

Ok, ich glaube ich komme der sache etwas näher. Das Wort "Unterverzeichnise" erklärt glaube ich so einiges. 
Logischerweise muss ich das ja gar nicht als Subdomain anlegen. da ich ja immer domain.de/ecp domain.de/ews usw als Verzeichnis habe und das in einer Domain ja mit abgedeckt ist!



Aber jetzt kommt das nächste, wie handle ich das mit den internen und externen urls?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...