keks01 10 Geschrieben 21. November 2018 Melden Teilen Geschrieben 21. November 2018 Hallo, Ich habe hier einen Win Server 2016 mit Exchange 2016 und Outlook 2010/2016 Clients. Der Exchange ist über Port 443 vom Internet über eine DynDNS Adresse erreichbar. Da es nun vermehrt Probleme mit dem externen Zugriff von IPhones gibt (Zertifikat wird nicht akzeptiert) wurde über Let´s Encrypt ein Zertifikat auf den Namen des DynDNS erzeugt, im Exchange Importiert und der IIS als Dienst zugewiesen. Zusätzlich habe ich im Exchange Admin Center unter "Server/Virtuelle Verzeichnisse" die "Externe URL" und die "Interne URL" überall auf den externen DynDNS Namen angepasst. IPhones von extern funktionieren nun wie gewünscht. Allerdings macht Outlook Probleme. Es kommt nun beim start ein Hinweis, dass "Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein" Oben im Sicherheitshinweis steht der interne Domänenname des Servers. Da ich bei Let´s Encrypt das Zertifikat nur auf einen FQDN ausstellen kann, bleibt mir meines erachtens nur die Möglichkeit, dass Outlook den Exchange über den DynDNS Namen anspricht. Das scheint aber nicht zu funktionieren. Zusätzlich habe ich noch einen Split/DNS auf dem Win Server erstellt. Der DynDNS Name zeigt auf die interne Exchange IP. Wie bekomme ich im Outlook die Warnung weg? Was mache ich falsch? Wo ist der Knoten? Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben 21. November 2018 Melden Teilen Geschrieben 21. November 2018 Hi, hast du deine DynDNS Adresse auch als Host-Zone im internen DNS angelegt und dort auf die interen IP deines Exchanges zeigen lassen? Hast du auch die "AutodiscoverServiceInternalUri" mit "Set-ClientAccessService" angepasst? Ist im Zertifikat auch autodiscover.<deine SMTP Domänen>.<tld> enthalten? Gruß Jan Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 21. November 2018 Melden Teilen Geschrieben 21. November 2018 1tens Finger weg vom IIS beim Exchange - da regelt der Exchange selber. 2tens ist heute - besonders bei Firmen - Dyndns fahrlässig. Zitieren Link zu diesem Kommentar
keks01 10 Geschrieben 21. November 2018 Autor Melden Teilen Geschrieben 21. November 2018 Danke für die schnellen Antworten.... hast du deine DynDNS Adresse auch als Host-Zone im internen DNS angelegt und dort auf die interen IP deines Exchanges zeigen lassen? --> habe ich gemacht (splitDNS) Hast du auch die "AutodiscoverServiceInternalUri" mit "Set-ClientAccessService" angepasst? --> wurde erledigt Ist im Zertifikat auch autodiscover.<deine SMTP Domänen>.<tld> enthalten? --> das geht leider nicht, da ja nur DynDNS MfG vor 40 Minuten schrieb Nobbyaushb: ens Finger weg vom IIS beim Exchange - da regelt der Exchange selber. 2tens ist heute - besonders bei Firmen - Dyndns fahrlässig. ich hab am IIS nix gemacht. warum ist DynDNS fahrlässig? Zugegeben, ne feste IP wäre besser, aber gehen muss es doch auch so.... Zitieren Link zu diesem Kommentar
Sanches 22 Geschrieben 21. November 2018 Melden Teilen Geschrieben 21. November 2018 Moin, da die Let´s Encrypt Zertifikate nur eine kurze Gültigkeitsdauer haben (60 oder 90 Tage; weiß ich jedoch nicht 100%ig) müsstest du entweder manuell oder gescriptet hierzu für eine Erneuerung sorgen. Ich würde dir hierzu eher empfehlen, dir ein richtiges Zertifikat, z.B. bei der psw group, zu holen. Die Kosten (ab 39 €) sollte für eine Firma möglich sein. Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben 21. November 2018 Melden Teilen Geschrieben 21. November 2018 vor 2 Minuten schrieb keks01: Ist im Zertifikat auch autodiscover.<deine SMTP Domänen>.<tld> enthalten? --> das geht leider nicht, da ja nur DynDNS CNAME? Zitieren Link zu diesem Kommentar
keks01 10 Geschrieben 21. November 2018 Autor Melden Teilen Geschrieben 21. November 2018 Ok! Habe nun mal einen CNAME am Provider DNS angelegt. Das Problem habe ich aber eigentlich mit den Netzinternen Outlooks. @Sanches: auch wenn ich mir jetzt ein Zertifikat kaufe, habe ich noch immer das gleiche Problem.... Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 21. November 2018 Melden Teilen Geschrieben 21. November 2018 Wenn Split-DNS passt, und du beide Namen im Cert hats, kein Problem - owa (oder webmail oder was-auch-immer) und autodiscover müssen in das Cert. Losgelöst von DynDNS Zitieren Link zu diesem Kommentar
keks01 10 Geschrieben 22. November 2018 Autor Melden Teilen Geschrieben 22. November 2018 Guten Morgen.... ich wollte nur kurz bescheid geben. Das Anlegen des autodiscover. im DNS hat geholfen. Im Outlook kommen nun keine Warnmeldungen mehr. @Nobbyaushbwas mich aber noch stutzig macht: Warum soll DynDNS fahrlässig sein? Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 22. November 2018 Melden Teilen Geschrieben 22. November 2018 (bearbeitet) vor 4 Minuten schrieb keks01: Guten Morgen.... ich wollte nur kurz bescheid geben. Das Anlegen des autodiscover. im DNS hat geholfen. Im Outlook kommen nun keine Warnmeldungen mehr. @Nobbyaushbwas mich aber noch stutzig macht: Warum soll DynDNS fahrlässig sein? Danke für die Rückmeldung. Warum - nun, viele Mailserver akzeptieren schlicht keine Mails die auf Dyndns Namen registriert / von solchen Adressen kommen. Heute bietet nahezu jeder ISP eine oder mehrere feste IP´s inkl. der zugehörenden Namensauflösung an, manche muss man nur fragen, teilweise kostenlos, meistens um die 5€/Monat bearbeitet 22. November 2018 von Nobbyaushb Zitieren Link zu diesem Kommentar
keks01 10 Geschrieben 22. November 2018 Autor Melden Teilen Geschrieben 22. November 2018 dessen bin ich mir bewusst. Darum werden die Mails auch über einen Smarthost versendet und über einen POP3connector vom Provider abgeholt. Aber wo ist die fahrlässigkeit? 1 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 22. November 2018 Melden Teilen Geschrieben 22. November 2018 Ich war davon ausgegangen, das du Mails direkt versendest. Mit einem PopConnector hast du ggf. andere Probleme, aber wir sollten den Thread nicht unnötig aufbohren - wenn es für klappt, wunderbar. 1 Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 22. November 2018 Melden Teilen Geschrieben 22. November 2018 vor 56 Minuten schrieb keks01: @Nobbyaushbwas mich aber noch stutzig macht: Warum soll DynDNS fahrlässig sein? Weil man deinen DynDNS Account kapern könnte und eine andere IP eintragen. Oder der DynDNS Dienst, meistens kostenlos, macht von heute auf morgen zu. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.