crazymetzel 11 Geschrieben 15. Dezember 2014 Melden Teilen Geschrieben 15. Dezember 2014 (bearbeitet) Hi, bin jetzt am Migrieren von 2010 zu 2013 und möchte nun auch auf ein öffentliches Zertifikat. Habe im Exchange alle Pfade auf mail.internetadresse.eu wobei internetadresse unsere Firmen-url ist. Im DNS dementsprechend eine Zone angelegt welche webmail.internetadresse.eu sowie mail.internetadresse.eu auf den Exchange intern direkt umleitet (Also AD-DNS). Von extern gibt es beim Provider des Webpakets eine DNS Weiterleitung für mail. webmail. und autodiscover. jeweils auf unsere feste ip. welche URLS brauche ich nun im Zertifikat, damit Autodiscover nicht meckert, auch wenn ich von außen Connecte, damit Outlook anywhere funktioniert und der Webmailer auch grün im Titel zeigt und keine Sicherheitswarnung macht. Als Produkt wird es denke ich mal das Godaddy San- Zertifikat werden. Ergänzung: webmail.internetadresse.eu ist eine http Weiterleitung auf mail.internetadresse.eu/owa. mail.internetadresse.eu ist ein dns Hosteintrag mit meiner festen IP des Internetanschlusses in der Firma. Hier ist eine direkte Weiterleitung des Traffics auf Port 443 an den Exchange Server. Ich hoffe ihr könnt mir helfen. Sollten noch Informationen fehlen, sagt bescheid :-) Da ich alles über Subdomains mache, würde es hier evtl Sinn machen ein Wildcard Cert zu benutzen? Somit könnte ich noch andere Server wie FTP. usw absichern? bearbeitet 15. Dezember 2014 von crazymetzel Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 15. Dezember 2014 Melden Teilen Geschrieben 15. Dezember 2014 (bearbeitet) Moin, ein Wildcard-Zert kann man nehmen. Für Exchange brauchst Du zwingend nur einen Namen (egal, wie der heißt), inkl. Autodiscover für intern via SCP. Dann musst Du allerdings Autodiscover (für Externe) via SRV-Einträgen machen, was nicht von allen mobilen Geräten unterstützt wird. Wenn Du Autodiscover ohne SRV machen willst, brauchst Du auch diesen Namen im Zertifikat. bearbeitet 15. Dezember 2014 von RobertWi Zitieren Link zu diesem Kommentar
crazymetzel 11 Geschrieben 15. Dezember 2014 Autor Melden Teilen Geschrieben 15. Dezember 2014 (bearbeitet) Danke für die schnelle Antwort. Ok, also wenn ich autodiscover ohne SRV Eintrag will brauche ich dann wohl URL.eu, autodiscover.URL.eu und dann noch mail.URL.eu, da ich ja nicht die gesamte Url Umleiten mag/kann, da unsere Webseite unter dieser URL beim Dienstleister am Server liegt. Oder hab ich hier noch Verständnisprobleme? Achso, wenn ich ein noch gültiges Zertifikat habe, bekomme ich das auch in Exchange importiert oder jedes Mal nur über die Anforderung ? So müsste ich ja jedes mal ein neues Zertifikat kaufen obwohl das alte noch nicht abgelaufen ist bearbeitet 15. Dezember 2014 von crazymetzel Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 15. Dezember 2014 Melden Teilen Geschrieben 15. Dezember 2014 Moin, wie gesagt: Neben autodiscover.URL.eu brauchst Du EINE weitere Adresse. Ob Du die mail.URL.eu, owa.URL.eu, exchange.URL.eu oder weihnachtenfindeichdoof.URL.eu nennst, ist egal. Theoretisch geht sogar nur URL.eu, was aber eher zu Verwirrungen führen wird. Wichtig ist nur, dass Du SplitDNS korrekt einrichtest und alle URLs in Exchange gleichlautend setzt. Ach ja: Eine HTTP-Weiterleitung, wie Du oben schreibst, geht nicht. Der Name muss per IP-Adresse beim Exchange/Firewall landen. Zitieren Link zu diesem Kommentar
crazymetzel 11 Geschrieben 15. Dezember 2014 Autor Melden Teilen Geschrieben 15. Dezember 2014 Ahhh ok. Weihnachtenfindeichdoof muss also auch mit rein , fast vergessen :-) In meinem Falle nehme ich dann mal beides, so hab ich nochmal Möglichkeiten für eine Testumgebung auf einem 2. Exchange evtl... Die Weiterleitung ist für mich eigentlich nur für owa da und leitet auf mail.URL.eu/owa um, da die Leute webmail.URL.eu besser im Kopf behalten als mail.URL.eu/owa. im Exchange selber ist mail.URL.eu/owa eingetragen. Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 15. Dezember 2014 Melden Teilen Geschrieben 15. Dezember 2014 Dann musst Du allerdings Autodiscover (für Externe) via SRV-Einträgen machen, was nicht von allen mobilen Geräten unterstützt wird. Wenn Du Autodiscover ohne SRV machen willst, brauchst Du auch diesen Namen im Zertifikat. Gibt's überhaupt mobile Geräte, welche mit Service Records klarkommen? Bye Norbert Zitieren Link zu diesem Kommentar
crazymetzel 11 Geschrieben 15. Dezember 2014 Autor Melden Teilen Geschrieben 15. Dezember 2014 Interessant wäre dann noch meine Frage von eben: Ist es auch möglich ein Zertifikat zuzuweisen ohne über die Anforderung in der Exchange Konsole zu gehen um ein schon vorhandenes bezahltes Zertifikat einzubinden? Zitieren Link zu diesem Kommentar
Alith Anar 40 Geschrieben 15. Dezember 2014 Melden Teilen Geschrieben 15. Dezember 2014 Du kannst auch die Shell nehmen: http://technet.microsoft.com/de-de/library/dd351183%28v=exchg.141%29.aspx Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 15. Dezember 2014 Melden Teilen Geschrieben 15. Dezember 2014 Ja natürlich. Du kannst quasi jedes Zertifikat einbinden, solange es als gültig vom Server akzeptiert wird. Kannst es also auch mit jedem anderen Server anfordern und dann dort nur importieren. Müßtest du bei einer DAG sowieso so regeln, da dort alle Member das selbe Zertifikat brauchen. Bye Norbert Zitieren Link zu diesem Kommentar
crazymetzel 11 Geschrieben 15. Dezember 2014 Autor Melden Teilen Geschrieben 15. Dezember 2014 Ahh prima. Weil die benötigten URLS hab ich alle im aktuellen CERT für den 2010er schon drin sehe ich gerade, und das läuft noch bis Dezember 16. achso, im AD-DNS als Forward Lookupzone habe ich in meinem dns auch mail.URL.eu drin, nicht URL.eu. Dort ist ein Hosteintrag welcher mail.URL.eu direkt auf die interne ip des Mailservers leitet. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.