Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Exchange 2010 SSL Zertifikat

Frage Microsoft Exchange Server

Mitglied: wuggale

wuggale (Level 1) - Jetzt verbinden

20.10.2012 um 09:20 Uhr, 3162 Aufrufe, 10 Kommentare

Hallo zusammen,

ich bin leider im Internet nicht so richtig fündig geworden darum wende ich mich an euch bzw. an das Forum und hoffe ihr könnt mir helfen und zwar:

Ich mache gerade eine Exchange 2003 auf 2010 Migration und jetzt ist es an der Zeit ein Zertifikat zur erstellen jedoch habe ich folgendes Problem und weis daher gar nicht ob das so funktioniert also:
Ich befinde mich im Besitz von 2 Domainname, Im folgenden genannt test.com und test2.net

AD Domain Name: intern.test.com
Ex2003: Ex03.intern.test.com
Ex2010: Ex10.intern.test.com
Netbios: test.com


Ist Situation:
Public IP MX Record (mail.test.com) --> Firewall NAT zu Ex2003 Server Mail Mail-Adressen Vorname.Nachname@test.com
OWA Zugriff mit exchange.test.com

Soweit denke ist das ja nix neues ;)

Soll Situation
Public IP MX Record Weiterleitung mail.test.com auf mail.test2.net
Mail-Adressen soll bestehend bleiben auf Vorname.Nachname@test.com
Zusätzlich sollen die Domains autodiscover.test2.net archive.test2.net owa.test2.net mit der selben IP wie der MX regestriert werden oder neue IP aber da sind wir ins Intern noch nicht einig.
Und wenn ich auf OWA.test2.net surfe dann soll ich natürlich auf das WebbAcces mit der Mail Adresse von *@test.com kommen und auf Archive.test2.com auf das Mail Archiv, DNS Records werde ich natürlich dazu erstellen.


Jetzt kommt meine Quizfrage:

Wenn ich das Zertifikat erstelle mit den Domains *.test2.net und diese am Exchange2010 einbinde Funktioniert das überhaupt da die Mailadresse auf *.test.com bzw. der Echange auf *.test.com hört.?
Firewall und NAT vorrausgesetzt funktionieren.

Muss ich hier bei dem SSL dann mit Multiple Domains arbeiten?


Ziel wäre:
Mail Adressen von test.com unverändert beizubehalten
Autodiscover,OWA und Archive sollen von extern mit xxx.test2.net erreichbar sein


Ich hoffe ich konnte es einigermassen vernüftig erklären und Ihr versteht was ich meine und hoffe ihr könnt mir da helfen

Gruss und Danke
Mitglied: GuentherH
20.10.2012 um 12:41 Uhr
Hallo.

Autodiscover,OWA und Archive sollen von extern mit xxx.test2.net erreichbar sein

Dann muss auch das Zertifikat auf xxx.test2.net lauten. Für welche zusätzlichen Domänen der Exchange noch verantwortlich ist (Empfängerrichtlinien) ist dem Exchange dann egal.

LG Günther
Bitte warten ..
Mitglied: wuggale
20.10.2012 um 14:03 Uhr
kurze Antwort auf den langen Text von mir :D

Somit heist dass ich kann intern machen was ich will solange die externen Adressen mit den dementsprechenden Zertifikaten versehen sind und die Domains in sich in meinen Besitz befinden, und ob die Zertifikate mit der Internen Domain überseinstimmen is somit auch egal korrekt?

Gruss
Tom
Bitte warten ..
Mitglied: filippg
20.10.2012, aktualisiert um 15:04 Uhr
Hallo,

Somit heist dass ich kann intern machen was ich will solange die externen Adressen mit
den dementsprechenden Zertifikaten versehen sind
Nein.
Das Zertifikat muss immer zum Hostname passen, der angesprochen wird.
Wenn du von extern aufrufst xxx.test2.net, dann muss auf dem Zertifikat xxx.test2.net stehen, das ist richtig. Du musst deinen Exchange aber ja auch von intern ansprechen, und auch per HTTPS. Intern heißt den Exchange Ex10.intern.test.com, dann muss dieser Name auch auf dem Zertifikat stehen, sonst funktioniert Autodiscover (und damit auch Regeln, OOF, F&B für Clients >= Outlook 2007) nicht.

Public IP MX Record Weiterleitung mail.test.com auf mail.test2.net
Du willst also mit dem internen Exchange Mails direkt aus dem Internet annehmen? Das ist nicht wirklich best Practice, da gehört ein AV/AS-Gateway davor.

Gleiches gilt auch für dein OWA: Best Practice ist es definitiv _nicht_ den Exchange-Server direkt aus dem Internet erreichbar zu machen, sondern da gehört ein Reverse-Proxy in einer DMZ davor. Damit kann man auch das Problem mit den Zertifikaten lösen, weil man auf dem Proxy ein anderes hinterlegen kann, als auf dem Exchange.

Zu Domains: SMTP-Domains (also die in den E-Mail-Adressen) haben mit Hostnamen und somit auch mit Zertifikaten ziemlich wenig zu tun*. Du kannst also meinpostfach@domainA.de als Mailadresse verwenden, und die OWA unter owa.domainb.de anbieten. Gleiches gilt für den MX, der kann auch auf mx01.domainc.de lauten. Wichtig ist nur, das jeweils ein Zertifikat mit dem richtigen Namen vorgezeigt wird (und für den MX noch so Scherze wie Reverse-DNS-Auflösung, aber das ist ein anderes Kapitel).

Gruß

Filipp

*= Es gibt einen Punkt, wo E-Mail-Adresse und Hostname des Servers etwas miteinander zu tun haben: Wenn du Autodiscover von extern machen willst (was du nur benötigtst, wenn nicht-Domänen-Clients Outlook verwenden sollen) tust du dir leichter, wenn der Server unter autodiscover.domainA.de erreichbar ist (also die Domain, die die Mailadressen haben).

PS: ich würde dir dazu raten, kürze Sätze zu verwenden. Auch das gelegentliche Einfügen eines Kommas wäre bestimmt nicht verkehrt. Beides vereinfacht das Verstehen deines Textes.
Bitte warten ..
Mitglied: wuggale
20.10.2012 um 15:40 Uhr
Ok ich denke verstanden somit muss mein Zertifikat folgende Domain Namen beinhalten:

Ex10.intern.test.com
Autidiscover.test.com
Mail.test.com
OWA.test2.net
Autodiscover.test2.net
Archiv.test2.net
Mail.test2.net

Ist das so richtig? ich hoffe denn sonst habe ich gar nichts verstanden ;(

Gruss Danke
Tom
Bitte warten ..
Mitglied: filippg
20.10.2012 um 15:46 Uhr
Hallo,

Ok ich denke verstanden somit muss mein Zertifikat folgende Domain Namen beinhalten:
Wenn du ein selbsterstelles Zertifikat nimmst: Ja, füge die einfach alle hinzu, und gut ist.

Wenn du eins kaufst würde ich da nochmal drüber nachdenken (und evtl auch mit einem selbsterstellten testen, bevor ich eines kaufe)

Für SMTP würde ich ein eigenes Zertifikat nur auf mail.test.com nehmen, das dürfte billiger sein, als dem OWA-Zertifikat einen weiteren SAN hinzuzufügen.
Wofür willst du mail.test2.net haben?

Benötigst du Autdiscover von extern (soll RPC-over-HTTPS/Outlook Anywhere) eingesetzt werden? Wofür brauchst du sonst die autodiscover-Namen?

Das Archiv ist doch wahrscheinlich soweiso ein separater Server, oder? Dann kannst du da auch ein separates Zertifikat nehmen.

Gruß

Filipp
Bitte warten ..
Mitglied: wuggale
20.10.2012 um 16:10 Uhr
Für SMTP würde ich ein eigenes Zertifikat nur auf mail.test.com nehmen, das dürfte billiger sein, als dem
OWA-Zertifikat einen weiteren SAN hinzuzufügen.
Wofür willst du mail.test2.net haben?

Braucht der MX Record kein Eigenes Zertifikat?

Benötigst du Autdiscover von extern (soll RPC-over-HTTPS/Outlook Anywhere) eingesetzt werden? Wofür brauchst du sonst
die autodiscover-Namen?

Ja das ist ein muss dass sollte natürlich am Schluss funktionieren

Das Archiv ist doch wahrscheinlich soweiso ein separater Server, oder? Dann kannst du da auch ein separates Zertifikat nehmen.

Ja das ist ein eigener aber wenn ich schon eins kaufe dann ballere ich das gleich mit rein



Sorry für die dummen Fragen aber ich hasse das Thema...
Bitte warten ..
Mitglied: filippg
20.10.2012 um 16:22 Uhr
Hallo,

Braucht der MX Record kein Eigenes Zertifikat?
Ein MX-Record braucht kein Zertifikat (er ist ja auch nur ein Eintrag im DNS). Ein Host, auf den ein MX-Record verweist, sollte ein eigenes Zertifikat haben (das -wie immer- auch zum Hostname passt). Du hast doch auch nur einen Host, der Mails aus dem Internet annehmen könnte, oder?

Gruß

Filipp
Bitte warten ..
Mitglied: wuggale
20.10.2012 um 16:40 Uhr
Ok dann lange Rede kurzer Sinn, folgende DN im Zertifikat

Ex10.intern.test.com
Autidiscover.test.com
OWA.test2.net
Autodiscover.test2.net
Optional: Archiv.test2.net

Thats it?
Bitte warten ..
Mitglied: GuentherH
21.10.2012, aktualisiert um 11:55 Uhr
Hallo.

Intern heißt den Exchange Ex10.intern.test.com, dann muss dieser Name auch auf dem Zertifikat
stehen, sonst funktioniert Autodiscover (und damit auch Regeln, OOF, F&B für Clients >= Outlook 2007) nicht.

Bei einer sauberen Konfiguration des Exchange und DNS ist der interne Name nicht notwendig. Es kann natürlich das Leben erleichtern, aber es ist oft gar nicht so einfach derartige Zertifikate zu bekommen.
Zudem gibt es immer mehr Anbieter, die interne Namen nicht mehr akzeptieren - http://support.godaddy.com/help/article/6935/using-intranet-and-reserve ...

Eine "saubere" Konfiguration führen z.B. die Assistenten des SBS 2008 / SBS 2011 durch

LG Günther
Bitte warten ..
Mitglied: wuggale
27.10.2012, aktualisiert um 22:07 Uhr
So habs hin bekommen, war total einfach, einfach bei Ex2010 den Zertifikatsassistent ausführen und schon kann man alles eintragen was man will, alle Domains sowohl intern als extern.

Gruss und Danke für die Hilfe
Thomas
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Exchange Server
gelöst Exchange 2010 Activesync Problem bei IOS 10.1.1 und Wildcard SSL Zertifikat (2)

Frage von hasel123 zum Thema Exchange Server ...

iOS
gelöst IOS 10 und probleme mit Exchange 2010 Zertifikat (4)

Frage von derLenhart zum Thema iOS ...

Exchange Server
gelöst Nach neuem Zertifikat Outlook Fehler (Exchange 2010) (14)

Frage von Adrian.M zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (22)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...