SAN zertifikate Exchange Server 2013

[KevinRo 0]

Hallo Community,

 

ich habe mich hier in diesem Forum registriert, da ich hier schon öfters interessante Lösungen gefunden habe. 
Zu meinem Szenario: 

Wir möchten eine neue Exchange Umgebung zur Verfügung stellen, dies ist auch soweit in einer testumgebung durchgeführt worden. 

2x Exchange Server 2013 auf Windows Server 2012

beide Server sind CAS+MBX Server, Außerdem ist eine DAG eingerichtet. Da beide Rollen jeweils auf beiden Servern installiert sind, kann ich leider nicht das HA von Microsoft direkt verwenden, deshalb verwende ich einen LoadBalancer. Die Funktionen sind auch soweit alle klar. 

Wir möchten uns nun Zertifikate von einem SSL-Anbieter holen. Mir ist dabei bewusst, dass ich SAN, Zertifikate benötige. Ich weiß nur nicht wie viele. Da wir zwei Exchange Server haben, aber die DNS einträge ja auf beiden Servern gleich sind für den HA Betrieb. Ich steige hierbei leider nicht durch. Kann mir dabei vielleicht jemand einen Hinweis geben? 

Vielen Dank im voraus. 

[NorbertFe 2.041]

Ein Zertifikat reicht aus. Müssen halt alle benötigten Namen drin stehen. ;)

[KevinRo 0]

Ein Zertifikat reicht aus. Müssen halt alle benötigten Namen drin stehen. ;)

 

 

aber das funktioniertd doch nicht oder? ich muss ja das request von beiden servern erstellen.

dazu check ich nicht wie ich das mit den internen und externen adressen machen soll. da benötige ich doch dann auch die doppelte anzahl an zertifikaten.

 

Ich möchte:

owa.abcde.de

autodiscover.abcde.de

ews.abcde.de

oab.abcde.de

 

das sind doch dann 4 san zertifikate. kenn hier jemand evtl. ein best practise dafür. Wildcard Zertifikate sollen ja ungeeignet sein für exchange.

 

danke schonmal für deine antwort

[NorbertFe 2.041]

aber das funktioniertd doch nicht oder?

Warum sollte es nicht funktionieren? Dann mach ich seit Jahren was falsch. ;)

ich muss ja das request von beiden servern erstellen.

Wo und womit du einen CSR erstellst ist vollkommen wurscht. ich kann dir auch einen CSR für deine Server erstellen wenn du magst.

dazu check ich nicht wie ich das mit den internen und externen adressen machen soll.

Split-DNS, so dass nur externe Namen verwendet werden. Theoretisch reichen zwei Namen für eine funktionale Umgebung. Technisch wäre es sogar mit nur einem Namen möglich.

da benötige ich doch dann auch die doppelte anzahl an zertifikaten. Ich möchte: owa.abcde.de autodiscover.abcde.de ews.abcde.de oab.abcde.de das sind doch dann 4 san zertifikate. kenn hier jemand evtl. ein best practise dafür. Wildcard Zertifikate sollen ja ungeeignet sein für exchange. danke schonmal für deine antwort

Ich denk, du hast das mit den Zertifikaten noch nicht so ganz drin. ;) Ausserdem wäre Groß- und Kleinschreibung nett. Liest sich angenehmer. Übrigens heißt SAN Subject Alterntative Names. Heißt ein Zertifikat und mehrere Namen, nicht 4 Zertifikate. ;)

 

Bye

Norbert

[Doso 77]

Ich kann nur bestätigen was Norbert sagt, ein SAN Zertifikat reicht.

[RobertWi 81]

Für ews und oab finde ich es ziemlich sinnlos, ein eigenes Zertifikat oder einen eigenen Namen zu bauen. OWA/ECP/EAS/EWS/OAB laufen alle über den gleichen Kanal. Außer bei OWA kommt niemand außer dem Admin mit der URL wirklich in Berührung, also läuft das alles über den gleichen Namen.

[KevinRo 0]

Danke für die vielen Antworten. Ich werde mich wohl mit den Zertifikaten noch vertraut machen müssen. Ich melde mich wieder, sobald ich hierfür eine weiter Information benötige. 

[KevinRo 0]

Hallo Community,

 

ich habe mir nun die sache etwas genauer angeschaut. Wenn ich das richtig verstanden habe, kann man mit einem SAN-Zertifikat Domains mit einbinden, also mehrere Domains mit einem Zertifikat. Dabei darf man aber nur bekannte Domains verwenden und keine lokalen Domains. (Bzw. ab 2015 werden keine lokalen domains mehr unterstüzt) 

Überlegung zur Konfiguration: 

 

(Beispiel IP-Adressen)

 

Router Öffentliche ip: 217.X.X.X 
Port Forwarding zum HA-Loadbalancer: 217.X.X.X --> 192.168.1.10
 

Einträge im DNS Server (DNS-Splitting): 

autodiscover.domain.de - 192.168.1.70

owa.domain.de - 192.168.1.71

ews.domain.de - 192.168.1.72
eas.domain.de - 192.168.1.73
oab.domain.de - 192.168.1.74
 

 

ExchangeServer1:
192.168.1.21
Virtuelle Verzeichnisse von Exchange Server1:
Interne URL: https://owa.domain.de/ecp  
externe URL: https://owa.domain.de/ecp

ExchangeServer2:
192.168.1.22

Interne URL: https://owa.domain.de/ecp  
externe URL: https://owa.domain.de/ecp

Konfiguration Loadbalancer:
 

virtuelle IP: 192.168.168.71
name: owa
type: TCP

realer Server: 192.168.1.21 , 192.168.1.22

usw.... . 


Sollte das so funktionieren? 
Muss ich dann von meinem Provider für jeden Namen eine subdomain einrichten, d.h. 
Ich habe die Domain domain.de und benötige dann owa.domain.de und diese domain muss ich auf die virutelle adresse weiterleiten???

Vielen Dank im voraus!

 

 

 

[RobertWi 81]

ich habe mir nun die sache etwas genauer angeschaut. Wenn ich das richtig verstanden habe, kann man mit einem SAN-Zertifikat Domains mit einbinden, also mehrere Domains mit einem Zertifikat. Dabei darf man aber nur bekannte Domains verwenden und keine lokalen Domains. (Bzw. ab 2015 werden keine lokalen domains mehr unterstüzt) 

 

Korrekt.

 

Einträge im DNS Server (DNS-Splitting): 

autodiscover.domain.de - 192.168.1.70

owa.domain.de - 192.168.1.71

ews.domain.de - 192.168.1.72

eas.domain.de - 192.168.1.73

oab.domain.de - 192.168.1.74

 

Eventuell hast Du "DNS-Splitting" falsch verstanden oder verstehst was anderes drunter, als normalerweise, aber das ist nicht notwendig und viel zu aufwendig - siehe auch Post #6

 

 

Sollte das so funktionieren? 

Muss ich dann von meinem Provider für jeden Namen eine subdomain einrichten, d.h. 

 

Warum reitest Du immer auf den Subdomänen rum? Bekommst Du die extre bezahlt, oder was?

 

Thereotisch reicht 1 Name (in Worten EINS) aus. Da aber manche Geräte den SRV-Eintrag für Autodiscover nicht kennen, nimmt man in der Regel 2 Namen:

autodiscover.domain.de -> Name pflicht

owa.domain.de -> Subdomain frei auswählbar

 

Und wenn man es richtig schön macht, gibt es intern noch einen Namen für RPC. Den braucht man aber extern nicht und auch nicht im Zertifikat, der wird nur als RPCClientacccess-Server benutzt.

bearbeitet 16. Januar 2014 von RobertWi

[NorbertFe 2.041]

Warum reitest Du immer auf den Subdomänen rum? Bekommst Du die extre bezahlt, oder was?

Weil so tolle Hoster wie 1&1 nur subdomains, aber keine A-Records anlegen lassen. ;) Grundsätzlich ja auch unkritisch, aber führt so so einem Mist. ;)

 

Bye

Norbert

[KevinRo 0]

Hallo RobertWi,

 

vielen Dank für deine Rückmeldung. 
Nein ich bekomme keine Subdomains bezahlt. Ich arbeite als Mitglied einer unterstützende Abteilung in der Firma. Leider stehe ich nun erneut auf dem Schlauch. 

Ich muss doch dafür eine subdomain erstellen, sonst kann ich diese doch beim Zertifikat als SAN gar nicht angeben oder?
 

[RobertWi 81]

 

Ich muss doch dafür eine subdomain erstellen, sonst kann ich diese doch beim Zertifikat als SAN gar nicht angeben oder?

 

 

Ja, aber nur EINE (eventuell zwei mit Autodiscover). OWA/ECP/OAB usw. sind Verzeichnisse innerhalb einer Seite.

 

Und theoretisch bräuchtest Du noch nicht mal das, auch "domain.de" könnte bei Port 443 auf dem Exchange landen.

[NorbertFe 2.041]

Und ausserdem ist ein A-Record (Host) dns-technisch was anderes als eine subdomain. (mail.domain.de könnte beides sein ;))

 

Bye

Norbert

[KevinRo 0]

@RobertWi

 

Ok, ich glaube ich komme der sache etwas näher. Das Wort "Unterverzeichnise" erklärt glaube ich so einiges. 
Logischerweise muss ich das ja gar nicht als Subdomain anlegen. da ich ja immer domain.de/ecp domain.de/ews usw als Verzeichnis habe und das in einer Domain ja mit abgedeckt ist!

Aber jetzt kommt das nächste, wie handle ich das mit den internen und externen urls?

[RobertWi 81]

Split-DNS, wie Norbert schon in Post #4 schrieb.

 

http://en.wikipedia.org/wiki/Split-horizon_DNS

http://www.msxfaq.de/konzepte/dns.htm