8
OWA und Active Sync (Handy) funktioniert, aber kein Outlook.
Hallo
Voraussetzung :
Server 2008 mit Exchange 2010
Zugriff via OWA funktioniert (mit Zertifikatswarnung)
Zugriff via Telefon funktioniert, wenn auch mit Zertifikatswarnung.
Allerdings nicht von einem W7 Phone aus.
Zugriff via Outlook 2010 nicht möglich, keine Verbindung zum Exchange server von extern.
Der Server steht in der DMZ und hat eine de Domain.
DNS Extern :
@ IN A 212.95.xxx.xxx
mail IN A 212.95.xxx.xxx
www IN A 212.95.xxx.xxx
ftp IN CNAME www
imap IN CNAME www
loopback IN CNAME localhost
pop IN CNAME www
relay IN CNAME www
smtp IN CNAME www
@ IN MX 10 mail
Also um sicher zu gehen alles auf die öffentliche feste IP.
dnslookup Domainname ergibt die ip Adresse.
Den DNS Eintrag poste ich weil ich immer wieder lese das der DNS Eintrag nicht stimmen soll, bzw nicht aufgelöst werden kann bei der Outlook Fehlermeldung.
Welche Herantastvorgehensweise gibt es um dem Fehler auf die Schliche zu kommen ?
Gruß Bernd
Voraussetzung :
Server 2008 mit Exchange 2010
Zugriff via OWA funktioniert (mit Zertifikatswarnung)
Zugriff via Telefon funktioniert, wenn auch mit Zertifikatswarnung.
Allerdings nicht von einem W7 Phone aus.
Zugriff via Outlook 2010 nicht möglich, keine Verbindung zum Exchange server von extern.
Der Server steht in der DMZ und hat eine de Domain.
DNS Extern :
@ IN A 212.95.xxx.xxx
- IN A 212.95.xxx.xxx
mail IN A 212.95.xxx.xxx
www IN A 212.95.xxx.xxx
ftp IN CNAME www
imap IN CNAME www
loopback IN CNAME localhost
pop IN CNAME www
relay IN CNAME www
smtp IN CNAME www
@ IN MX 10 mail
Also um sicher zu gehen alles auf die öffentliche feste IP.
dnslookup Domainname ergibt die ip Adresse.
Den DNS Eintrag poste ich weil ich immer wieder lese das der DNS Eintrag nicht stimmen soll, bzw nicht aufgelöst werden kann bei der Outlook Fehlermeldung.
Welche Herantastvorgehensweise gibt es um dem Fehler auf die Schliche zu kommen ?
Gruß Bernd
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 165671
Url: https://administrator.de/contentid/165671
Printed on: April 16, 2024 at 08:04 o'clock
8 Comments
Latest comment
Hallo.
Der Zugriff mit dem IE muss ohne Zertifikatswarnung erfolgen. Solange das nicht klappt, dann klappt es auch mit Outlook nicht.
a) Zertifikat muss auf den externen FQDN lauten
b) Zertifikat muss auf dem Client importiert werden (wenn es sich um ein selbst ausgestelltes handelt)
Und was macht bitte ein Exchange in der DMZ?
LG Günther
Zugriff via OWA funktioniert (mit Zertifikatswarnung)
Der Zugriff mit dem IE muss ohne Zertifikatswarnung erfolgen. Solange das nicht klappt, dann klappt es auch mit Outlook nicht.
a) Zertifikat muss auf den externen FQDN lauten
b) Zertifikat muss auf dem Client importiert werden (wenn es sich um ein selbst ausgestelltes handelt)
Der Server steht in der DMZ und hat eine de Domain.
Und was macht bitte ein Exchange in der DMZ?
LG Günther
OK, also Zertifikat muss auf die fqdn lauten. Schätze also mal mail.domain.de oder einfach domain.de
importieren ist soweit klar.
Das gehe ich morgen mal an.
Was der Server in der DMZ macht ?
Naja .. Erste Versuche scheiterten immer wieder an fehlenden Weiterleitungen und Freigaben (ports) und da der Exchange sowiso von aussen erreichbar sein soll (ausschließlich) und ich mir beim Ausprobieren garantiert das eine oder andere Scheunentor baue (es müssen doch recht viele Ports geöffnet werden, und OWA stellt sich mir als nicht sonderlich sicher da) ist der Server in der DMZ ganz gut aufgehoben. Da er dann natürlich keine Verbindung zu unserem DC hat, hat er seinen eigenen.
Alles nicht sonderlich professionell, aber allemal sicherer als wenn ich ihn ins interne Netz stelle wenn ein Aussenzugriff gewünscht wird.
Ist aber glaube ich für das momentane Problem unerheblich.
importieren ist soweit klar.
Das gehe ich morgen mal an.
Was der Server in der DMZ macht ?
Naja .. Erste Versuche scheiterten immer wieder an fehlenden Weiterleitungen und Freigaben (ports) und da der Exchange sowiso von aussen erreichbar sein soll (ausschließlich) und ich mir beim Ausprobieren garantiert das eine oder andere Scheunentor baue (es müssen doch recht viele Ports geöffnet werden, und OWA stellt sich mir als nicht sonderlich sicher da) ist der Server in der DMZ ganz gut aufgehoben. Da er dann natürlich keine Verbindung zu unserem DC hat, hat er seinen eigenen.
Alles nicht sonderlich professionell, aber allemal sicherer als wenn ich ihn ins interne Netz stelle wenn ein Aussenzugriff gewünscht wird.
Ist aber glaube ich für das momentane Problem unerheblich.
Hallo.
Ja, so wäre es korrekt
2 Ports (25 und 443) sind doch nicht viel. Und wie viele sind von der DMZ ins LAN offen. Ich glaube, da wiegt sich jemand in falscher Sicherheit
Eines bin ich mir sicher, wenn jemand in deine DMZ kommt, dann ist er auch im LAN.
Von woher nimmst du diese Aussage? Wann gab es eine Sicherheitslücke in OWA, oder hast du passende Beispiele. Die Sicherheit von OWA ist vom Passwort abhängig.
Und wenn du OWA wirklich ganz sicher machen willst, dann stelle einen Reverse Proxy in die DMZ
LG Günther
Schätze also mal mail.domain.de
Ja, so wäre es korrekt
es müssen doch recht viele Ports geöffnet werden
2 Ports (25 und 443) sind doch nicht viel. Und wie viele sind von der DMZ ins LAN offen. Ich glaube, da wiegt sich jemand in falscher Sicherheit
Eines bin ich mir sicher, wenn jemand in deine DMZ kommt, dann ist er auch im LAN.und OWA stellt sich mir als nicht sonderlich sicher da
Von woher nimmst du diese Aussage? Wann gab es eine Sicherheitslücke in OWA, oder hast du passende Beispiele. Die Sicherheit von OWA ist vom Passwort abhängig.
Und wenn du OWA wirklich ganz sicher machen willst, dann stelle einen Reverse Proxy in die DMZ
LG Günther
Hallo Günther
Vielen Dank für deine Antwort.
Ich bin an der Zertifikatserstellung nach gefundener Anleitung (weis nicht ob links hier erlaubt sind) scheitere aber an der CA warscheinlich einfach mittlerweile zu müde.
Was die Ports angeht so wr die Liste doch deutlich läger welche man angeblich öffnen musste. Eventuell kann ich diese ja doch reduzieren. Aber ein Mailserver gehört soweit ich weis nicht in ein internes Netz ;) (der Exchange holt die Mails nicht sondern fungiert selbst als Mailserver) OWA Sicherheit mag vom Passwort abhängen, aber dieses kann man Buten, per keylogger speichern etc. und Hintertüren gibts selbst bei Linux
All das hat aber nichts mit dem eigentlichem Thema zutun. Für das Problem ansich müsste es unerheblich sein ob der Server in einer DMZ steht oder nicht. Ich fühle mich lediglich wohler dabei.
Pinholes ins interne Netz sind nicht gesetzt, und die dmz hat eine eigene Netzwerkkarte wie sich das gehört, da sehe ich wenig Möglichkeiten ins interne zu kommen. Nicht für einen Jugendlichen mit Langeweile und echte Hacker interessieren sich nicht für uns.
Es mag Leute geben die es schaffen einen Windows Server trotz seiner Unmenge Dienste sicher zu bekommen, ich gehöre definitiv nicht dazu. Jedem das seine.
tun wir einfach so als wäre er nicht in der dmz
Vielen Dank für deine Antwort.
Ich bin an der Zertifikatserstellung nach gefundener Anleitung (weis nicht ob links hier erlaubt sind) scheitere aber an der CA warscheinlich einfach mittlerweile zu müde.
Was die Ports angeht so wr die Liste doch deutlich läger welche man angeblich öffnen musste. Eventuell kann ich diese ja doch reduzieren. Aber ein Mailserver gehört soweit ich weis nicht in ein internes Netz ;) (der Exchange holt die Mails nicht sondern fungiert selbst als Mailserver) OWA Sicherheit mag vom Passwort abhängen, aber dieses kann man Buten, per keylogger speichern etc. und Hintertüren gibts selbst bei Linux
All das hat aber nichts mit dem eigentlichem Thema zutun. Für das Problem ansich müsste es unerheblich sein ob der Server in einer DMZ steht oder nicht. Ich fühle mich lediglich wohler dabei.
Pinholes ins interne Netz sind nicht gesetzt, und die dmz hat eine eigene Netzwerkkarte wie sich das gehört, da sehe ich wenig Möglichkeiten ins interne zu kommen. Nicht für einen Jugendlichen mit Langeweile und echte Hacker interessieren sich nicht für uns.
Es mag Leute geben die es schaffen einen Windows Server trotz seiner Unmenge Dienste sicher zu bekommen, ich gehöre definitiv nicht dazu. Jedem das seine.
tun wir einfach so als wäre er nicht in der dmz
So, ich bin einen Schritt weiter. Auch wenn es mit dem Verisign Testzertifikat nicht geht, (schätze weil es kein echtes Zertifikat ist, und Hilfszertifikate benötigt) scheint ersichtlich das eine Verbindung von aussen nur mit nicht Microsoftgeräten ohne Zertifikat möglich ist. Also mit meinem Samsunghandy gehts, mit einem Windows 7 Mobile Phone nicht, genausowenig mit Outlook.
Ist die Feststellung also richtig das es keine Möglichkeit gibt mit selbstsignierten zertifikaten ausserhalb der Domäne zu arbeiten ? Ein kostenpflichtig fremdsigniertes Zertifikat ist zum Betrieb von Exchange bei Zugriff von aussen zwingend erforderlich ?
Ist die Feststellung also richtig das es keine Möglichkeit gibt mit selbstsignierten zertifikaten ausserhalb der Domäne zu arbeiten ? Ein kostenpflichtig fremdsigniertes Zertifikat ist zum Betrieb von Exchange bei Zugriff von aussen zwingend erforderlich ?
Hallo.
Nein. Fast alle mobile Geräte funktionieren auch mit selbst ausgestellten Zertifikaten.
LG Günther
Ist die Feststellung also richtig das es keine Möglichkeit gibt mit selbstsignierten zertifikaten ausserhalb der Domäne zu arbeiten
Nein. Fast alle mobile Geräte funktionieren auch mit selbst ausgestellten Zertifikaten.
LG Günther
Dauert alles etwas länger bei mir ;)
Also es gibt nun kurzzeitig aus dem Action Pack eine Zertifizierungsstelle in der Domäne vom Exchange. Die Zertifikatsanforderung wurde auch akzeptiert. Im Exchange die Zertifikatsanforderung abschließen funktionierte scheinbar
fehlerfrei!! Grüne Haken, fertigstellen etc. Jedoch wird mir das Zertifikat immer noch als "anforderung" angezeigt. Wenn ich die Anforderung nochmals abschließen will sagt mir Exchange das es diesen Fingerprint bereits gibt.
Doppelklicke ich auf das Zertifikat sagt er mir das das Zertifikat nicht im Speicher vertrauenswürdiger (stamm)Zertifikate ist. Dort ist es aber.
Ich habe im Netz etwas dazu gefunden das manchmal der Zertifikatsspeicher "defekt" oder "falsch verlinkt" ist. Die Shellbefehle jedoch welche das beheben sollen laufen nicht durch (obwohl angeblich für Exchange2010). Sicher eine Forenente.
Was könnte ich noch testen ? bzw. sagt dir das Problem etwas ?
Also es gibt nun kurzzeitig aus dem Action Pack eine Zertifizierungsstelle in der Domäne vom Exchange. Die Zertifikatsanforderung wurde auch akzeptiert. Im Exchange die Zertifikatsanforderung abschließen funktionierte scheinbar
fehlerfrei!! Grüne Haken, fertigstellen etc. Jedoch wird mir das Zertifikat immer noch als "anforderung" angezeigt. Wenn ich die Anforderung nochmals abschließen will sagt mir Exchange das es diesen Fingerprint bereits gibt.
Doppelklicke ich auf das Zertifikat sagt er mir das das Zertifikat nicht im Speicher vertrauenswürdiger (stamm)Zertifikate ist. Dort ist es aber.
Ich habe im Netz etwas dazu gefunden das manchmal der Zertifikatsspeicher "defekt" oder "falsch verlinkt" ist. Die Shellbefehle jedoch welche das beheben sollen laufen nicht durch (obwohl angeblich für Exchange2010). Sicher eine Forenente.
Was könnte ich noch testen ? bzw. sagt dir das Problem etwas ?
Zum junge Hunde bekommen.....
Dieses Zertifizierungsstellen-Stammzertifikat ist nicht vertrauenswürdig, da es sich nicht in dem Speicher vertrauenswürdiger Stammzertifizierungsstellen befindet
Da ist es aber bereits ... Das Fertigstellen der Anforderung verlief ja auch reibungslos ... Nachdem ich nun das ganze Prozedere 11 mal durchgespielt habe (mit Umweg über das kopieren der Anforderung auf einen Zertifikatsserver in einer VM) weis ich nicht weiter.
Scheibar ist selbst in einem frisch neu installiertem Exchange der Wurm. Mittlerweile sind wir soweit das wir mit dem editieren der Mitarbeiterkalender auch via Web klar kämen und mein Kollege halt sein Windows Phone gegen was von Google tauschen muss ... aber Tadaa via OWA geht das natürlich nicht.
Gibt es einen Befehl für Exchange 2010 welcher den Speicher neu aufbaut ? bzw. einen eventuell fehlerhafen Pfad repariert ? Der gefundene für 2003 wird nicht akzeptiert.
Das ganze kommt mir langsam so vor als ob die Exchange Entwickler jeden Morgen einen mobilen Werkzeugmacher bestellen welcher ihnen eine Kneifzange in Pink herstellen muss, damit sie sich die Hose zumachen können.
Dieses Zertifizierungsstellen-Stammzertifikat ist nicht vertrauenswürdig, da es sich nicht in dem Speicher vertrauenswürdiger Stammzertifizierungsstellen befindet
Da ist es aber bereits ... Das Fertigstellen der Anforderung verlief ja auch reibungslos ... Nachdem ich nun das ganze Prozedere 11 mal durchgespielt habe (mit Umweg über das kopieren der Anforderung auf einen Zertifikatsserver in einer VM) weis ich nicht weiter.
Scheibar ist selbst in einem frisch neu installiertem Exchange der Wurm. Mittlerweile sind wir soweit das wir mit dem editieren der Mitarbeiterkalender auch via Web klar kämen und mein Kollege halt sein Windows Phone gegen was von Google tauschen muss ... aber Tadaa via OWA geht das natürlich nicht.
Gibt es einen Befehl für Exchange 2010 welcher den Speicher neu aufbaut ? bzw. einen eventuell fehlerhafen Pfad repariert ? Der gefundene für 2003 wird nicht akzeptiert.
Das ganze kommt mir langsam so vor als ob die Exchange Entwickler jeden Morgen einen mobilen Werkzeugmacher bestellen welcher ihnen eine Kneifzange in Pink herstellen muss, damit sie sich die Hose zumachen können.