KevinRo 0 Geschrieben 10. Januar 2014 Melden Teilen Geschrieben 10. Januar 2014 Hallo Community, ich habe mich hier in diesem Forum registriert, da ich hier schon öfters interessante Lösungen gefunden habe. Zu meinem Szenario: Wir möchten eine neue Exchange Umgebung zur Verfügung stellen, dies ist auch soweit in einer testumgebung durchgeführt worden. 2x Exchange Server 2013 auf Windows Server 2012beide Server sind CAS+MBX Server, Außerdem ist eine DAG eingerichtet. Da beide Rollen jeweils auf beiden Servern installiert sind, kann ich leider nicht das HA von Microsoft direkt verwenden, deshalb verwende ich einen LoadBalancer. Die Funktionen sind auch soweit alle klar. Wir möchten uns nun Zertifikate von einem SSL-Anbieter holen. Mir ist dabei bewusst, dass ich SAN, Zertifikate benötige. Ich weiß nur nicht wie viele. Da wir zwei Exchange Server haben, aber die DNS einträge ja auf beiden Servern gleich sind für den HA Betrieb. Ich steige hierbei leider nicht durch. Kann mir dabei vielleicht jemand einen Hinweis geben? Vielen Dank im voraus. Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 10. Januar 2014 Melden Teilen Geschrieben 10. Januar 2014 Ein Zertifikat reicht aus. Müssen halt alle benötigten Namen drin stehen. ;) Zitieren Link zu diesem Kommentar
KevinRo 0 Geschrieben 10. Januar 2014 Autor Melden Teilen Geschrieben 10. Januar 2014 Ein Zertifikat reicht aus. Müssen halt alle benötigten Namen drin stehen. ;) aber das funktioniertd doch nicht oder? ich muss ja das request von beiden servern erstellen. dazu check ich nicht wie ich das mit den internen und externen adressen machen soll. da benötige ich doch dann auch die doppelte anzahl an zertifikaten. Ich möchte: owa.abcde.de autodiscover.abcde.de ews.abcde.de oab.abcde.de das sind doch dann 4 san zertifikate. kenn hier jemand evtl. ein best practise dafür. Wildcard Zertifikate sollen ja ungeeignet sein für exchange. danke schonmal für deine antwort Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 10. Januar 2014 Melden Teilen Geschrieben 10. Januar 2014 aber das funktioniertd doch nicht oder? Warum sollte es nicht funktionieren? Dann mach ich seit Jahren was falsch. ;) ich muss ja das request von beiden servern erstellen. Wo und womit du einen CSR erstellst ist vollkommen wurscht. ich kann dir auch einen CSR für deine Server erstellen wenn du magst. dazu check ich nicht wie ich das mit den internen und externen adressen machen soll. Split-DNS, so dass nur externe Namen verwendet werden. Theoretisch reichen zwei Namen für eine funktionale Umgebung. Technisch wäre es sogar mit nur einem Namen möglich. da benötige ich doch dann auch die doppelte anzahl an zertifikaten. Ich möchte: owa.abcde.de autodiscover.abcde.de ews.abcde.de oab.abcde.de das sind doch dann 4 san zertifikate. kenn hier jemand evtl. ein best practise dafür. Wildcard Zertifikate sollen ja ungeeignet sein für exchange. danke schonmal für deine antwort Ich denk, du hast das mit den Zertifikaten noch nicht so ganz drin. ;) Ausserdem wäre Groß- und Kleinschreibung nett. Liest sich angenehmer. Übrigens heißt SAN Subject Alterntative Names. Heißt ein Zertifikat und mehrere Namen, nicht 4 Zertifikate. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 11. Januar 2014 Melden Teilen Geschrieben 11. Januar 2014 Ich kann nur bestätigen was Norbert sagt, ein SAN Zertifikat reicht. Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 11. Januar 2014 Melden Teilen Geschrieben 11. Januar 2014 Für ews und oab finde ich es ziemlich sinnlos, ein eigenes Zertifikat oder einen eigenen Namen zu bauen. OWA/ECP/EAS/EWS/OAB laufen alle über den gleichen Kanal. Außer bei OWA kommt niemand außer dem Admin mit der URL wirklich in Berührung, also läuft das alles über den gleichen Namen. Zitieren Link zu diesem Kommentar
KevinRo 0 Geschrieben 13. Januar 2014 Autor Melden Teilen Geschrieben 13. Januar 2014 Danke für die vielen Antworten. Ich werde mich wohl mit den Zertifikaten noch vertraut machen müssen. Ich melde mich wieder, sobald ich hierfür eine weiter Information benötige. Zitieren Link zu diesem Kommentar
KevinRo 0 Geschrieben 16. Januar 2014 Autor Melden Teilen Geschrieben 16. Januar 2014 Hallo Community, ich habe mir nun die sache etwas genauer angeschaut. Wenn ich das richtig verstanden habe, kann man mit einem SAN-Zertifikat Domains mit einbinden, also mehrere Domains mit einem Zertifikat. Dabei darf man aber nur bekannte Domains verwenden und keine lokalen Domains. (Bzw. ab 2015 werden keine lokalen domains mehr unterstüzt) Überlegung zur Konfiguration: (Beispiel IP-Adressen) Router Öffentliche ip: 217.X.X.X Port Forwarding zum HA-Loadbalancer: 217.X.X.X --> 192.168.1.10 Einträge im DNS Server (DNS-Splitting): autodiscover.domain.de - 192.168.1.70 owa.domain.de - 192.168.1.71 ews.domain.de - 192.168.1.72eas.domain.de - 192.168.1.73oab.domain.de - 192.168.1.74 ExchangeServer1:192.168.1.21Virtuelle Verzeichnisse von Exchange Server1:Interne URL: https://owa.domain.de/ecp externe URL: https://owa.domain.de/ecp ExchangeServer2:192.168.1.22 Interne URL: https://owa.domain.de/ecp externe URL: https://owa.domain.de/ecpKonfiguration Loadbalancer: virtuelle IP: 192.168.168.71name: owatype: TCP realer Server: 192.168.1.21 , 192.168.1.22 usw.... . Sollte das so funktionieren? Muss ich dann von meinem Provider für jeden Namen eine subdomain einrichten, d.h. Ich habe die Domain domain.de und benötige dann owa.domain.de und diese domain muss ich auf die virutelle adresse weiterleiten???Vielen Dank im voraus! Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 16. Januar 2014 Melden Teilen Geschrieben 16. Januar 2014 (bearbeitet) ich habe mir nun die sache etwas genauer angeschaut. Wenn ich das richtig verstanden habe, kann man mit einem SAN-Zertifikat Domains mit einbinden, also mehrere Domains mit einem Zertifikat. Dabei darf man aber nur bekannte Domains verwenden und keine lokalen Domains. (Bzw. ab 2015 werden keine lokalen domains mehr unterstüzt) Korrekt. Einträge im DNS Server (DNS-Splitting): autodiscover.domain.de - 192.168.1.70 owa.domain.de - 192.168.1.71 ews.domain.de - 192.168.1.72 eas.domain.de - 192.168.1.73 oab.domain.de - 192.168.1.74 Eventuell hast Du "DNS-Splitting" falsch verstanden oder verstehst was anderes drunter, als normalerweise, aber das ist nicht notwendig und viel zu aufwendig - siehe auch Post #6 Sollte das so funktionieren? Muss ich dann von meinem Provider für jeden Namen eine subdomain einrichten, d.h. Warum reitest Du immer auf den Subdomänen rum? Bekommst Du die extre bezahlt, oder was? Thereotisch reicht 1 Name (in Worten EINS) aus. Da aber manche Geräte den SRV-Eintrag für Autodiscover nicht kennen, nimmt man in der Regel 2 Namen: autodiscover.domain.de -> Name pflicht owa.domain.de -> Subdomain frei auswählbar Und wenn man es richtig schön macht, gibt es intern noch einen Namen für RPC. Den braucht man aber extern nicht und auch nicht im Zertifikat, der wird nur als RPCClientacccess-Server benutzt. bearbeitet 16. Januar 2014 von RobertWi Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 16. Januar 2014 Melden Teilen Geschrieben 16. Januar 2014 Warum reitest Du immer auf den Subdomänen rum? Bekommst Du die extre bezahlt, oder was? Weil so tolle Hoster wie 1&1 nur subdomains, aber keine A-Records anlegen lassen. ;) Grundsätzlich ja auch unkritisch, aber führt so so einem Mist. ;) Bye Norbert Zitieren Link zu diesem Kommentar
KevinRo 0 Geschrieben 16. Januar 2014 Autor Melden Teilen Geschrieben 16. Januar 2014 Hallo RobertWi, vielen Dank für deine Rückmeldung. Nein ich bekomme keine Subdomains bezahlt. Ich arbeite als Mitglied einer unterstützende Abteilung in der Firma. Leider stehe ich nun erneut auf dem Schlauch. Ich muss doch dafür eine subdomain erstellen, sonst kann ich diese doch beim Zertifikat als SAN gar nicht angeben oder? Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 16. Januar 2014 Melden Teilen Geschrieben 16. Januar 2014 Ich muss doch dafür eine subdomain erstellen, sonst kann ich diese doch beim Zertifikat als SAN gar nicht angeben oder? Ja, aber nur EINE (eventuell zwei mit Autodiscover). OWA/ECP/OAB usw. sind Verzeichnisse innerhalb einer Seite. Und theoretisch bräuchtest Du noch nicht mal das, auch "domain.de" könnte bei Port 443 auf dem Exchange landen. Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 16. Januar 2014 Melden Teilen Geschrieben 16. Januar 2014 Und ausserdem ist ein A-Record (Host) dns-technisch was anderes als eine subdomain. (mail.domain.de könnte beides sein ;)) Bye Norbert Zitieren Link zu diesem Kommentar
KevinRo 0 Geschrieben 16. Januar 2014 Autor Melden Teilen Geschrieben 16. Januar 2014 @RobertWi Ok, ich glaube ich komme der sache etwas näher. Das Wort "Unterverzeichnise" erklärt glaube ich so einiges. Logischerweise muss ich das ja gar nicht als Subdomain anlegen. da ich ja immer domain.de/ecp domain.de/ews usw als Verzeichnis habe und das in einer Domain ja mit abgedeckt ist! Aber jetzt kommt das nächste, wie handle ich das mit den internen und externen urls? Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 16. Januar 2014 Melden Teilen Geschrieben 16. Januar 2014 Split-DNS, wie Norbert schon in Post #4 schrieb. http://en.wikipedia.org/wiki/Split-horizon_DNS http://www.msxfaq.de/konzepte/dns.htm Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.