2008 - Zertifikate und Dynamic DNS

[Horstenberg 13]

Hallo, ich habe einen SBS 2008-Server aufgesetzt. Die Internet-Domain des Unternehmens Startseite wird extern verwaltet (über 1&1). Bei 1&1 ist ein pop3-Sammelpostfach eingerichtet, die E-Mails werden vom Server über einen pop3-Konnektor (efs Chimera) abgeholt.

 

Um den Zugriff auf OWA und Outlook Anywhere von extern zu ermöglichen, habe ich einen dyndns-account (firma.dyndns.org) eingerichtet, für die ständige Verbindung zum Server trägt der Router Sorge.

 

Jetzt habe ich aber ein Problem:

 

Der SBS stellt das Zertifikat für Exchange und IIS nur für die Internet-Domain Startseite aus, nicht aber für firma.dyndns.org. Deher erscheint in owa stets eine Zertifikatewarnung (Zertifikat ist für andere Webseite ausgestellt), die ich nicht wegkriege. Outlook anywhere ist gar nicht möglich, da kein korrektes Zertifikat vorliegt. ActiveSync für Mobiltelefone weist immer wieder darauf hin, dass das Zertifikat für eine andere Website gilt, funktioniert aber (jedenfalls unter symbian).

 

Jetzt meine Fragen:

 

1. Kann ich irgendwie ein zweites Zertifikat für die firma.dyndns.org-Adresse einrichten?

 

2. Oder gibt es (mit 1&1) eine Form der Weiterleitung auf die dyndns-Seite, mit der ich das Problem überwinden kann? Über das Anlegen einer Subdomain hat das bisher nicht funktioniert.

 

Danke für Hinweise und Anregungen!

[PowerMike 10]

Mit SelfSSL (im IIS Resource Kit enthalten) kannst du dir das passende Zertifikat erstellen:

"selfssl /N:CN=firma.dyndns.org /V:365"

 

Gruß

PowerMike

[Stephan Betken 43]

Der SBS stellt das Zertifikat für Exchange und IIS nur für die Internet-Domain Startseite aus

Nein, nicht ganz richtig.

In the default certificate Microsoft includes the following name by default, externaldomain.com, remote.externaldomain.com and server.internaldomain.local

Der SBS2008 legt also extra ein Zertifikat an, um mit REMOTE.DOMAIN.TLD auf den SBS zugreifen zu können. Es ist also doch das korrekte Zertifikat, aber nicht die optimale Konfiguration.

Man muss nur noch einen ALIAS namens REMOTE im externen DNS-Server anlegen, der auf die DYNDNS-Adresse verweist.

 

Die Geschichte mit dem zweiten Zertifikat solltest du schnell wieder vergessen. ;)

 

Und wenn du dir selbst einen Gefallen tun willst, dann schick die POP3-Geschichte in Rente und verwende SMTP-Empfang.

[Innuendo 10]

Im SBS gibt es für die Aufgaben die Assistenten - ich meine der hieß Internet Verbindungs und Firewall Assistent (oder so ähnlich). Dieser erstellt auch das Zertifikat für deine SBS Umgebung und konfiguriert (mehr oder minder) alles automatisch.

 

innu

[Stephan Betken 43]

Redest du vom SBS 2003 oder vom SBS 2008?

 

Der SBS ist doch bereits richtig konfiguriert, es fehlt nur der Alias im externen DNS.

[Innuendo 10]

Es haben doch beide einen ICS Wizard.

Ein Alias im externen dns wird glaube ich nicht ausreichen. Er hat eine maildomaine bei 1und1, connected aber mit einer dyndns adresse auf owa. Deshalb war meine Vermutung, dass der Zertfehler erscheint, weil er die dyndns.org url nicht angegeben hat.

 

Innu

[LukasB 10]

Damit du die SBS Wizards benutzen kannst musst du einen CNAME von remote.domain.tld auf myname.dyndns.org machen. Direkt über die dyndns.org Adresse wird nicht funktionieren - dafür müsstest du viele Dinge manuell konfigurieren, was bei einem SBS generell eine sehr schlechte Idee ist.

[Stephan Betken 43]

Das mit dem Zertifikatsfehler bei der DynDNS-Adresse siehst du schon richtig, aber das Zertifikat wird für folgende Hosts/Domains ausgestellt: externaldomain.tld, remote.externaldomain.tld and server.internaldomain.local.

Wenn man jetzt im externen DNS-Server für die Zone externaldomain.tld einen Alias namens REMOTE anlegt, der auf den DynDNS-Namen verweist, dann kann man mit dem Namen remote.externaldomain.tld auf den Server zugreifen. Man darf halt nicht den DynDNS-Namen direkt für die Verbindungen verwenden.

 

EDIT: Da war Lukas schneller.

[JJ1 10]

Hallo,

ich habe ein ähnliches Problem, bei dem ich Hilfe benötige.

 

Der neue SBS 2008 Premium ist fertig und läuft. Den Remotezugang habe ich über den Assistenten eingerichtet und hierfür eine dyndns-Adresse verwendet (<firma>.dyndsn.org).

 

Wenn ich über https://<firma>.dyndns.org/remote zugreife, bekomme ich Zertifikatswarnungen, erreiche aber die Anmeldeseite des Servers. Sobald ich das Serverzertifikat installiert habe, komme ich nicht mehr auf die Anmeldeseite. Ich vermute, dass die im Board beschriebene Problematik daran schuld ist: Man darf halt nicht den DynDNS-Namen direkt für die Verbindungen verwenden.

 

Meine Kenntnisse reichen aber nicht aus, um den beschriebenen Lösungsansatz umzusetzen - vielleicht könnt Ihr mir das noch einmal detailliert erläutern: Ich will mit einem StandAlone-PC über Internet auf den Serverdesktop zugreifen.

[thetrue_way 10]

Damit du die SBS Wizards benutzen kannst musst du einen CNAME von remote.domain.tld auf myname.dyndns.org machen. Direkt über die dyndns.org Adresse wird nicht funktionieren - dafür müsstest du viele Dinge manuell konfigurieren, was bei einem SBS generell eine sehr schlechte Idee ist.

 

Hallo Lukas

 

Ich habe auch einen SBS 2008 installiert nun hab ich das Problem wenn ich über dyndnsadresse.org (dyndns Adresse FW Router mit nats 80 25 987 443 und entsprechnde FW Rules konfiguriert)

 

wenn ich https://dyndnsadresse.org/remote eingebe lande ich auf Remote Workplace wenn ich OWA ancklicke und benutze funktioniert es problem los

 

wenn ich aber auf Interne Webseite klicke erscheint ein neuerIE Fenster mit der URL https//dyndnsadresse.org:987

 

und mit der meldung Internet Exploerer cannot display this webpage

 

Ich habe einen CNAME erstellt siehe bitte

 

Bei mit einem Computer verwenden bekomme ich die meldung das Zertifikat für den Remote Webarbeitzplatz instalieren den ich zuvor gerade installiert habe auf dem Client

 

siehe bitte Screenshot

 

wieso funktionierts nicht ich habe auch den Server Zertifikat auf dem Client installiert ? kann mir bitte jemand helfen?

bearbeitet 6. Januar 2010 von thetrue_way
Ergänzung

[Stephan Betken 43]

Der CNAME-Eintrag muss im externen DNS-Server, der für die Internet-Domain zuständig ist, erfolgen.

Die DynDNS-Adresse wird nur für das "Weiterleitungsziel" des Aliases verwendet (und evtl. als MX) und wird anderweitig nicht benötigt. Damit klappt der Zugriff nicht sauber.

[thetrue_way 10]

Hallo Lukas

 

Ich habe auch einen SBS 2008 installiert nun hab ich das Problem wenn ich über dyndnsadresse.org (dyndns Adresse FW Router mit nats 80 25 987 443 und entsprechnde FW Rules konfiguriert)

 

wenn ich https://dyndnsadresse.org/remote eingebe lande ich auf Remote Workplace wenn ich OWA ancklicke und benutze funktioniert es problem los

 

wenn ich aber auf Interne Webseite klicke erscheint ein neuerIE Fenster mit der URL https//dyndnsadresse.org:987

 

und mit der meldung Internet Exploerer cannot display this webpage

 

Ich habe einen CNAME erstellt siehe bitte

 

Bei mit einem Computer verwenden bekomme ich die meldung das Zertifikat für den Remote Webarbeitzplatz instalieren den ich zuvor gerade installiert habe auf dem Client

 

siehe bitte Screenshot

 

wieso funktionierts nicht ich habe auch den Server Zertifikat auf dem Client installiert ? kann mir bitte jemand helfen?

 

Hallo Leute die Lösung ist den Zertifikat des SBS2008 Server auf den Clients Manuel zu installieren.

¨¨

Ohne korrekte installation des Server Zertifikates ist es nicht möglich vom Internet auf die Internen Webseiten zuzugreifen. Outlook Anywehre sowie remote sind auch vom Zertifikat betroffen.

 

Freundliche Grüsse