Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange 2007 und Zertifikate

Frage Microsoft Exchange Server

Mitglied: Stops

Stops (Level 1) - Jetzt verbinden

15.11.2010 um 14:38 Uhr, 6601 Aufrufe, 11 Kommentare

Hallo Ihr

ich habe ein grundsätzliches Verständnissproblem mit den Exchangezertifikaten.

Ich habe einen einzelnen Exchangeserver mit nur einem Namespace bzw. Domain.

Nehmen wir als Beispiel einfach als Domain "contoso.de" - intern natürlich "contoso.local" und der Mailserver heißt: "mailserver"

Jetzt möchte ich ein Zertifikat bei Verisign kaufen. Dort muss ich die Subject Alternate Name (SAN) angben.

Welche sind das in diesem Fall? Wo ich mir sicher bin ist:
(WINS-Name + FQDN)

- mailserver
- mailserver.contoso.de



Aber was ist mit:
- mailserver.contoso.local ???
- autodiscover.contoso.local ???
- autodiscover.contoso.de ???


Ich habe bei Exchange immer 2 Domains. *.local und *.de
Ich verstehe nicht wie ich mit *.local umgehen muss??

Vielen Dank für die wahrscheinliche bescheuerte Frage....
Viele Grüße
Mitglied: madlj
15.11.2010 um 17:45 Uhr
Was willst Du mit dem Zertifikat erreichen?
Von Außen z.B. für Handys erreichbar sein oder OWA nutzen?
Bitte warten ..
Mitglied: Stops
15.11.2010 um 18:37 Uhr
Hei,
erst mal vielen Dank für die Antwort.

Ja, ich möchte OWA und ActiveSync nutzen.

Viele Grüsse...
Bitte warten ..
Mitglied: MiniStrator
15.11.2010 um 19:33 Uhr
Hi,

es kommt auf deinen öffentlichen Namen an. Also den im DNS. Wenn du z.b. owa.contoso.de auf deine feste IP routen lässt muss auch das Zertifikat auf owa.contoso.de ausgestellt sein. Active Sync tut hier auch. Wenn du von intern auch activesyncen willst (über USB-Kabel) musst du dir halt eine contoso.de Zone in deinem DNS anlegen und da den beispielhaften Eintrag owa als Host (A) auf deine interne IP des Exchange.

Kurz und Knapp, aber es Essen is fertig

Gruß MiniStrator
Bitte warten ..
Mitglied: supportatnsnw
15.11.2010 um 20:22 Uhr
Hi

Wir haben das anderst gelöst....

Wir haben uns ein klassischens Wildcard gelöst... *.contoso.com...

Hat den riesen vorteil, kann für alle subdomains genutzt werden, jedoch den Nachteil, is ein bisserl teuerer....


Aber hat sich bei uns schon bezahlt gemacht, schliesslich nutzen wir dieses schon für Sync (OMA) mail. (OWA) und in Zukunft auch noch für Citrix ..


3 Zertifikate sind erheblich teurer...

Kläre ab, was du noch alles brauchst... Nimm das Wildcard, und du musst nicht mehr den Zertifikaten nachrennen.

Gruess uss dr schwyyyz

Fredy
Bitte warten ..
Mitglied: Stops
15.11.2010 um 20:36 Uhr
Hei,

ok - das mit dem Wildcard klingt plausibel und ein guter Gedankenanreiz. Aber mir geht es mehr um die TLD - *.local & *.de

Was passiert, wenn ich "nur"

- mailserver
- mailserver.contoso.de

angebe.....

Funktioniert dann noch mein "autodiscover" von intern und mein OWA von intern sowie mein Outlookzugriff per Mapi????
Mit der OWA als A klingt logisch - aber was ist mit autodiscover und mapi....

1. Wildcard ist eine Überlegung wert - löst aber nicht mein Problem
2. @ Ministrator - klingt irgendwie logisch - aber funktioniert denn dann noch der Outlookzugriff per Mapi sowie Autodiscover??
Bitte warten ..
Mitglied: MiniStrator
15.11.2010 um 20:41 Uhr
Hi

Dem Wildcard kann ich nur voll und ganz zustimmen. Ist alles einfacher und evtl auch günstiger.

Wenn ihr 'nur' Owa etc. machen wollt, warum dann so ein hochheiliges Verisign Zertifikat für ein paar hundert Euro? Da gibt es doch günstigere Alternativen, so für 69€/3 Jahre oder 109 für 5. Wildcard 3 Jahre 499.

Ich poste hier mal lieber keinen Link, falls Interesse schick ich dir ne PN. (Ist keine Schleichwerbung oder so, wir kaufen da halt unsere Zertifikate)

Gruß MiniStrator
Bitte warten ..
Mitglied: Stops
15.11.2010 um 20:44 Uhr
Klaro - Interesse... bin für alles offen.... schickst du mir bitte ne PN??
Bitte warten ..
Mitglied: MiniStrator
15.11.2010 um 20:48 Uhr
Hi,

also bei uns gehts wunderbar. Wir haben intern noch ein selbsterstelltes Zertifikat auf servername.domain.bla. Outlook ist hochzufrieden damit, Autodiscover tut auch. Was ich noch nicht probiert habe weil nicht erwünscht ist Outlook Anywhere.

Das offizielle Zert lautet auf owa.bla.bla und tut für OWA und syncen mit dem Windows Mobile geht auch wunderbar.

Gruß MiniStrator
Bitte warten ..
Mitglied: supportatnsnw
16.11.2010 um 06:26 Uhr
HI @ all un guten Morgen

Der Exchange kann seine Zertifikate für Intern selber erstellen. ist relativ einfach. Danach (jedenfalls beim 2007 Exchange) kannst Du via CMDlet das Zertifikat auf dem Exchange so registrieren, dass die Zertifikatmeldungen beim Klient verschwinden...

Die internen Exchange Zertifikate sind einfach nur 12 Monate gültig....

Für die Syncronisation, pass einfach auf, nimm einen Herstell, welcher bereits auf dem Mobile drauf ist mit einem Trust... Ansonsten musst Du das Zertifikat umständlich auf jedem Gerät installieren.....

Das spricht auch noch für ein externes "offizielles" Zertifikat...

Okay wenns nur um ein Gerät geht, passt das aber wenns um mehrere Geräte geht, wirds mühsam.

Gruess uss dr Schwyyyz

Fredy
Bitte warten ..
Mitglied: Stops
16.11.2010 um 09:38 Uhr
OK,

wie würde das im folgenden Beispiel aussehen:

Zert-Aussteller: Verisign
Name des Mailserver: mailserver
Domäne: domaene.local
Akzeptiere Domänen in Exchange: domaene.local, domaene.de


1. Ich erstelle wie folgt den Request in der Exchange Powershell:
New-ExchangeCertificate -GenerateRequest -SubjectName "C=DE, S=BAYERN, L=CITY, O=FIRMA, OU=IT, CN=mailserver.domaene.de" -privatekeyexportable:$true -keysize 1024 -Path c:\certificate_request.txt

https://knowledge.verisign.de/support/ssl-certificates-support/index?vpr ...


2. Beim Einreichen gebe ich die SAN (alle erreichbaren Namen) an:
- mailserver
- mailserver.domaene.de
- autodiscover.domaene.de


3. Das erhaltene Zertifikat importieren:
Import-ExchangeCertificate -Path c:\cert.cer


4. Dem Zertifikat die Dienste zuweisen
Enable-ExchangeCertificate -thumbprint blubberlaberlatsch -Services IIS,POP,IMAP,SMTP
(Abfrage des Thumbprints mittels Get-ExchangeCertificate | fl)


5. Zertifikat wird funktionieren - ABER WIE ERSTELLE ICH JETZT DAS ZERTIFIKAT FÜR
- AUTODISCOVER.DOMAENE.LOCAL
- MAILSERVER.DOMAENE.LOCAL


New-ExchangeCertificate -SubjectName "C=DE, S=BAYERN, L=CITY, O=FIRMA, OU=IT, CN=mailserver.domaene.local, autodiscover.domaene.local"

Enable-ExchangeCertificate -thumbprint des selbsterstellen Zertifikates -Services IIS,POP,IMAP,SMTP

Ist das soweit richtig?????????

Alternative:
Ich erstelle eine secondary zone im DNS namens "domaene.de"
setze dort zwei A - Einträge namens
A - autodiscover auf die IP des lokalen Servers (sich selber)
A - mailserver auf die IP des lokalen Server (sich selber)

Ist das ausreichend, oder muss ich noch weitere Eintrage wie z.B. SRV - Einträge oder ähnliches vornhmen.

Vielen Dank für eure Antworten

Viele Grüße
Bitte warten ..
Mitglied: Stops
18.11.2010 um 17:25 Uhr
Hei Ihr,

so - nun habe ich mir ein UCC-Zertifikat erstellen lassen.

SAN:
mailserver
mailserver.contoso.de
mailserver.contoso.local
autodiscover.contoso.de

Desweiteren habe ich bei meinem Provider eine Subdomain erstellt: autodiscover.contoso.de
Dessen DNS-Eintrag habe ich auf die feste IP des ExchangeServers (SBS2008) verweisen lassen.

Das Zertifikat funktioniert mit OWA und ActiveSync.
Autodiscover funktioniert intern
Autodiscover funktioniert nicht von EXTERN

1. Zuerst wird mittels SCP im AD nach https://autodiscover.contoso.local/autodiscover/autodiscover.xml gesucht
Geht vom Internet logischerweise nicht - (intern findet er den SCP im AD)

2. Danach versucht er mittels DNS einen SRV-Eintrag zu finden der auf https://autodiscover.contoso.de/autodiscover/autodiscover.xml verweist
Damit er Ihn finden kann habe ich zusätzlich eine Primäre DNS-Zone (contoso.de) mit einem SRV Eintrag (_autodiscover._tcp.contoso.de auf mailserver.contoso.local) erstellt.

Nun müsste es ihn doch finden - aber leider funktioniert es autodiscover vom Internet immer noch nicht!! Also habe ich die DNS-Zone contoso.de vom SBS wieder gelöscht....


Auf der Website "www.testexchangeconnectivity.com" habe ich es mit folgendem Ergebniss testen lassen:


Es wird versucht, die mögliche AutoErmittlungs-URL https://autodiscover.contoso.de/AutoDiscover/AutoDiscover.xml zu testen.
Fehler beim Testen dieser potenziellen AutoErmittlungs-URL.
Testschritte
Es wird versucht, den Hostnamen autodiscover.contoso.de im DNS aufzulösen.
Der Hostname wurde erfolgreich aufgelöst.
Weitere Details
Zurückgegebene IP-Adressen: 1.2.3.4
Es wird getestet, ob TCP-Port 443 auf Host autodiscover.contoso.de überwacht wird/geöffnet ist.
Der Port wurde erfolgreich geöffnet.
Die Gültigkeit des SSL-Zertifikats wird überprüft.
Das Zertifikat hat alle Überprüfungsanforderungen bestanden.
Testschritte
Der Zertifikatsname wird überprüft.
Zertifikatsnamen erfolgreich überprüft.
Weitere Details
Hostname autodiscover.contoso.de wurde im Eintrag für den alternativen Antragstellernamen des Zertifikats gefunden.

Zertifikatsvertrauensstellung wird überprüft.
Das Zertifikat wird als vertrauenswürdig angesehen, und in der Kette sind alle Zertifikate vorhanden.
Weitere Details
Die Zertifikatskette wurde bis zu einem vertrauenswürdigen Stamm überprüft. Stamm = CN=Entrust.net Secure Server Certification Authority, OU=(c) 1999 Entrust.net Limited, OU=www.entrust.net/CPS incorp. by ref. (limits liab.), O=Entrust.net, C=US.

Das Datum des Zertifikats wird getestet, um zu bestätigen, dass das Zertifikat gültig ist.
Datenüberprüfung bestanden. Das Zertifikat ist nicht abgelaufen.
Weitere Details
Das Zertifikat ist gültig. NotBefore = 11/18/2010 12:00:00 AM, NotAfter = 2/16/2012 11:59:59 PM



Die IIS-Konfiguration Wird im Hinblick auf die Clientzertifikatsauthentifizierung überprüft.
Keine Clientzertifikatsauthentifizierung erkannt.
Weitere Details
Clientzertifikate für Akzeptieren/Anfordern nicht konfiguriert.

Es wird versucht, dem AutoErmittlungsdienst eine POST-Anforderung zu senden, damit er URLs ggf. automatisch erkennen kann.
Beim Senden der POST-Anforderungen für die AutoErmittlung konnten keine AutoErmittlungseinstellungen abgerufen werden.
Testschritte
ExRCA versucht, eine XML-Antwort des AutoErmittlungsdiensts von URL https://autodiscover.contoso.de/AutoDiscover/AutoDiscover.xml für Benutzer mustermann@contoso.de abzurufen.
Von ExRCA konnte keine XML-Antwort von der AutoErmittlung abgerufen werden.
Weitere Details
Webausnahme aufgrund des Empfangs der Antwort 'HTTP 401 - Unauthorized' von Unknown.



Es wird versucht, mit der HTTP-Umleitungsmethode eine Verbindung zum AutoErmittlungsdienst herzustellen.
Fehler beim Verbindungsversuch zur AutoErmittlung mit der HTTP-Umleitungsmethode.
Testschritte
Es wird versucht, den Hostnamen autodiscover.contoso.de im DNS aufzulösen.
Der Hostname wurde erfolgreich aufgelöst.
Weitere Details
Zurückgegebene IP-Adressen: 5.6.7.8
Es wird getestet, ob TCP-Port 80 auf Host autodiscover.contoso.de überwacht wird/geöffnet ist.
Der Port wurde erfolgreich geöffnet.
AutoErmittlung von Host contoso.de wird von ExRCA für HTTP-Umleitung zum AutoErmittlungsdienst überprüft.
Von ExRCA konnte keine HTTP-Umleitungsantwort für die AutoErmittlung abgerufen werden.
Weitere Details
Webausnahme aufgrund des Empfangs der Antwort 'HTTP 404 - NotFound' von IIS7.



Es wird versucht, mit der DNS-SRV-Umleitungsmethode eine Verbindung zum AutoErmittlungsdienst herzustellen.
Mit der DNS-SRV-Umleitungsmethode konnte keine Verbindung von ExRCA zum AutoErmittlungsdienst hergestellt werden.
Testschritte
Es wird versucht, den SRV-Datensatz _autodiscover._tcp.contoso.de im DNS zu finden.
Der SRV-Datensatz für die AutoErmittlung wurde nicht in DNS gefunden.

----------------

Jetzt noch 2 Dinge:

1.
Bei diesem Test habe ich den Benutzername "UPN" also als E-Mailadresse angegeben.
Gebe ich domaene benutzername an - scheint der Test wie folgt erfolgreich zu sein.

Es wird versucht, dem AutoErmittlungsdienst eine POST-Anforderung zu senden, damit er URLs ggf. automatisch erkennen kann.
ExRCA hat AutoErmittlung-Einstellungen erfolgreich durch Senden von AutoErmittlung-POST-Daten abgerufen.
Testschritte
ExRCA versucht, eine XML-Antwort des AutoErmittlungsdiensts von URL https://autodiscover.contoso.de/AutoDiscover/AutoDiscover.xml für Benutzer mustermann@contoso.de abzurufen.
Die XML-Antwort der AutoErmittlung wurde erfolgreich abgerufen.


Wieso???? Wie kann ich das umstellen, damit auch UPN akzeptiert wird??? (Das wäre für die Smartphones wichtig, da die nur die E-Mailadresse und Passwort wollen!)

2.
Wieso findet er https://autodiscover.contoso.de/AutoDiscover/AutoDiscover.xml obwohl ich die DNS-Zone auf dem lokalen SBS gar nicht mehr existiert!!! (Hab jch ja wieder gelöscht)

Vielen Dank für eure Hilfe
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Exchange Server
Exchange 2007 Datenbank restore ohne Exchange zu verändern - SBS2008

Frage von pitamerica zum Thema Exchange Server ...

DSL, VDSL
Fritzbox Exchange 2007 UM Gateway mit Freetz (2)

Frage von Herbrich19 zum Thema DSL, VDSL ...

Exchange Server
gelöst Zertifikatsfehler nach Migration von Exchange 2007 zu Exchange 2013 (2)

Frage von Tommy1983 zum Thema Exchange Server ...

Exchange Server
gelöst Exchange 2007 Migration auf Exchange 2016 (3)

Frage von Tommy1983 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...