tsaenger 13 Geschrieben 7. Oktober 2015 Melden Geschrieben 7. Oktober 2015 Hallo zusammen, ich soll einem Ex2010 Server ein Zertifikat verpassen. Generell sehe ich das auch nicht als große Herausvorderung an. Mein Problem ist nun, das der Server installiert wurde mit server.firma.local. Für .local kann ich ja keine offiziellen Zertifikate erstellen. Für die externe Domain aber schon. Wenn ich nun ein Zertifikat im Exchange installiere (IIS) mit dem Namen der offiziellen Domain, werden mir die localen Clients ja um die Ohren fliegen, da nun das Zertifikat für die im Unternehmensnetz eingetragenen PCs nicht mehr stimmt. Habt Ihr eine Idee, wie ich das realiseren kann. Muss ich dem Exchange beibringen, das er nun auch intern nur auf die externe Domain hört? Wenn ja, wie/wo muss ich das tun? Vielen Dank für eure Hilfe Tobias Zitieren
NorbertFe 2.175 Geschrieben 7. Oktober 2015 Melden Geschrieben 7. Oktober 2015 Du brauchst für .local auch kein Zertifikat. Bau deine Konfiguration auf Split-DNS mit deine öffentlichen Domain um und alles ist gut. Und im iis sollst du gar nix rumklicken wenns um Zertifikate für den Exchange geht. Das wird über die Möglichkeiten des Exchange emc und powershell geregelt. Zitieren
tsaenger 13 Geschrieben 7. Oktober 2015 Autor Melden Geschrieben 7. Oktober 2015 hallo NorbertFe, vielen Dank. Im IIS mache ich auch nichts. Meinte damit, das ich in der Console den IIS-Dienst dem Zertifikat zuordne. Dann muss ich mich erst einmal in Split-DNS einlesen. Hatte es vor Jahren mal getan. Ne andere Lösung gibt es nicht? Vielen Dank. Zitieren
testperson 1.761 Geschrieben 7. Oktober 2015 Melden Geschrieben 7. Oktober 2015 Hi, eigene CA, die stellt dir aus was du willst ;) Gruß Jan Zitieren
NorbertFe 2.175 Geschrieben 7. Oktober 2015 Melden Geschrieben 7. Oktober 2015 Sinnvoll wäre es die Konfiguration anzupassen oder anpassen zu lassen. ;) Zitieren
Dukel 461 Geschrieben 7. Oktober 2015 Melden Geschrieben 7. Oktober 2015 Eine alternative wäre ein Reverse Proxy, welcher SSL terminiert oder neu verschlüsselt, mit dem externen DNS Namen. Zitieren
NorbertFe 2.175 Geschrieben 7. Oktober 2015 Melden Geschrieben 7. Oktober 2015 Da das zumindest für mobile Geräte trotzdem jedesmal nervig sein dürfte, würde ich es einmal nach best practise Konfigurieren, danach hat man Ruhe. Zitieren
Dukel 461 Geschrieben 7. Oktober 2015 Melden Geschrieben 7. Oktober 2015 Wenn man es richtig macht sollte es auch mit Mobilen Geräten kein Problem sein. Aber die einfachere Lösung wäre Split DNS. Ich wollte das mit dem Reverse Proxy zur vervollständigung nennen. Zitieren
NorbertFe 2.175 Geschrieben 7. Oktober 2015 Melden Geschrieben 7. Oktober 2015 Das würde dazu führen, dass du mobile Geräte entweder von intern zum Reverse Proxy schickst, oder regelmäßig Umschaltung zwischen internal/external konfig hättest. In meinen Augen überflüssig und komplexer als notwendig. Gehen würde beides, aber wenns jetzt eh schon nicht verstanden wird... Zitieren
tsaenger 13 Geschrieben 8. Oktober 2015 Autor Melden Geschrieben 8. Oktober 2015 Hallo zusammen, Wenn ich es richtig verstanden habe, bedeutet splitDNS, das ich ein meiner internen Zone die externeZone als Zone einrichte und den A-Record mit der internen IP vergebe. Wenn es so ist, dann habe ich das sowieso schon eingerichtet. Das Problem ist aber, das die OutlookClients beim verbinden nicht nach der externen URL fragen, sondern den Internen Servernamen verwenden, auf den das Zertifikat ja nicht ausgestellt ist. Wie bekomme ich das umgestellt? Mit der Shell habe ich bereits: ClientAccessServer AutodiscoverVirtualDirectory WebServicesVirtualDirectory OWAVirtualDirectory ECPVirtualDirectory ActiveSyncVirtualDirectory OABVirtualDirectory für InternURL und externURL auf die externe Adresse gesetzt. Leider aber ohne Erfolg. Vielen Dank für eure Hilfe Tobias Zitieren
NorbertFe 2.175 Geschrieben 8. Oktober 2015 Melden Geschrieben 8. Oktober 2015 (bearbeitet) Du musst natürlich auch autodiscover konfigurieren. Das heißt ja nicht autoconfigure :p Da fehlt der scp mittels set-casserver bearbeitet 8. Oktober 2015 von NorbertFe Zitieren
tsaenger 13 Geschrieben 8. Oktober 2015 Autor Melden Geschrieben 8. Oktober 2015 (bearbeitet) Hi NorbertFe, du meinst doch: [PS] C:\Windows\system32>get-AutodiscoverVirtualDirectory | ft InternalUrl, ExternalUrlInternalUrl ExternalUrl----------- -----------https://owa.mws-xxx.de/Autodiscover/Autodiscover.xml https://owa.mws-xxx.de/Autodiscover/Autodiscover.xml Das habe ich eingerichtet. Ich habe auch eine Subdomain http://autodiscover.mws-xxx.de eingerichtet und auf den Server zeigen lassen. Wenn ich die Adresse in den Browser eingebe bekomme ich nach Eingabe der Userdaten folgende Ausgabe: Mit dieser XML-Datei sind anscheinend keine Style-Informationen verknüpft. Nachfolgend wird die Baum-Ansicht des Dokuments angezeigt. <Autodiscover><Response><Error Time="19:47:24.3906279" Id="2367596199"><ErrorCode>600</ErrorCode><Message>Ungültige Anforderung</Message><DebugData/></Error></Response></Autodiscover> Hast du noch eine Idee für mich? vielen Dank. Tobias bearbeitet 8. Oktober 2015 von tsaenger Zitieren
testperson 1.761 Geschrieben 8. Oktober 2015 Melden Geschrieben 8. Oktober 2015 Hi, Get-ClientAccessServer | fl *uri* und dann entsprechend das ganze mit Set-ClientAccessServer anpassen. Gruß Jan Zitieren
tsaenger 13 Geschrieben 8. Oktober 2015 Autor Melden Geschrieben 8. Oktober 2015 Hallo testperson, Das habe ich auch schon getan: [PS] C:\Windows\system32>Get-ClientAccessServer | fl *uri* AutoDiscoverServiceInternalUri : https://owa.mws-xxx.de/Autodiscover/Autodiscover.xml Gruß Tobias Zitieren
NorbertFe 2.175 Geschrieben 8. Oktober 2015 Melden Geschrieben 8. Oktober 2015 Die url im autodiscover Virtual Directory haben keine Aufgabe, deswegen kann man die auch leer lassen. Bzw. es ist vollkommen egal was du da einträgst. Alle anderen internal und external url müssen aber auf den jeweils passenden Single Name Space konfiguriert werden. Welchen Fehler hast du denn? Bye Norbert Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.