Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OWA und Active Sync (Handy) funktioniert, aber kein Outlook.

Frage Microsoft Exchange Server

Mitglied: Bernd42

Bernd42 (Level 1) - Jetzt verbinden

04.05.2011, aktualisiert 23:26 Uhr, 6967 Aufrufe, 8 Kommentare

Hallo

Voraussetzung :
Server 2008 mit Exchange 2010
Zugriff via OWA funktioniert (mit Zertifikatswarnung)
Zugriff via Telefon funktioniert, wenn auch mit Zertifikatswarnung.
Allerdings nicht von einem W7 Phone aus.

Zugriff via Outlook 2010 nicht möglich, keine Verbindung zum Exchange server von extern.

Der Server steht in der DMZ und hat eine de Domain.
DNS Extern :


@ IN A 212.95.xxx.xxx
  • IN A 212.95.xxx.xxx
localhost IN A 127.0.0.1
mail IN A 212.95.xxx.xxx
www IN A 212.95.xxx.xxx
ftp IN CNAME www
imap IN CNAME www
loopback IN CNAME localhost
pop IN CNAME www
relay IN CNAME www
smtp IN CNAME www
@ IN MX 10 mail

Also um sicher zu gehen alles auf die öffentliche feste IP.
dnslookup Domainname ergibt die ip Adresse.

Den DNS Eintrag poste ich weil ich immer wieder lese das der DNS Eintrag nicht stimmen soll, bzw nicht aufgelöst werden kann bei der Outlook Fehlermeldung.

Welche Herantastvorgehensweise gibt es um dem Fehler auf die Schliche zu kommen ?

Gruß Bernd
Mitglied: GuentherH
04.05.2011 um 23:29 Uhr
Hallo.

Zugriff via OWA funktioniert (mit Zertifikatswarnung)

Der Zugriff mit dem IE muss ohne Zertifikatswarnung erfolgen. Solange das nicht klappt, dann klappt es auch mit Outlook nicht.

a) Zertifikat muss auf den externen FQDN lauten
b) Zertifikat muss auf dem Client importiert werden (wenn es sich um ein selbst ausgestelltes handelt)

Der Server steht in der DMZ und hat eine de Domain.

Und was macht bitte ein Exchange in der DMZ?

LG Günther
Bitte warten ..
Mitglied: Bernd42
04.05.2011 um 23:44 Uhr
OK, also Zertifikat muss auf die fqdn lauten. Schätze also mal mail.domain.de oder einfach domain.de
importieren ist soweit klar.
Das gehe ich morgen mal an.

Was der Server in der DMZ macht ?
Naja .. Erste Versuche scheiterten immer wieder an fehlenden Weiterleitungen und Freigaben (ports) und da der Exchange sowiso von aussen erreichbar sein soll (ausschließlich) und ich mir beim Ausprobieren garantiert das eine oder andere Scheunentor baue (es müssen doch recht viele Ports geöffnet werden, und OWA stellt sich mir als nicht sonderlich sicher da) ist der Server in der DMZ ganz gut aufgehoben. Da er dann natürlich keine Verbindung zu unserem DC hat, hat er seinen eigenen.

Alles nicht sonderlich professionell, aber allemal sicherer als wenn ich ihn ins interne Netz stelle wenn ein Aussenzugriff gewünscht wird.
Ist aber glaube ich für das momentane Problem unerheblich.
Bitte warten ..
Mitglied: GuentherH
05.05.2011 um 00:57 Uhr
Hallo.

Schätze also mal mail.domain.de

Ja, so wäre es korrekt

es müssen doch recht viele Ports geöffnet werden

2 Ports (25 und 443) sind doch nicht viel. Und wie viele sind von der DMZ ins LAN offen. Ich glaube, da wiegt sich jemand in falscher Sicherheit Eines bin ich mir sicher, wenn jemand in deine DMZ kommt, dann ist er auch im LAN.

und OWA stellt sich mir als nicht sonderlich sicher da

Von woher nimmst du diese Aussage? Wann gab es eine Sicherheitslücke in OWA, oder hast du passende Beispiele. Die Sicherheit von OWA ist vom Passwort abhängig.
Und wenn du OWA wirklich ganz sicher machen willst, dann stelle einen Reverse Proxy in die DMZ

LG Günther
Bitte warten ..
Mitglied: Bernd42
05.05.2011 um 01:34 Uhr
Hallo Günther
Vielen Dank für deine Antwort.
Ich bin an der Zertifikatserstellung nach gefundener Anleitung (weis nicht ob links hier erlaubt sind) scheitere aber an der CA warscheinlich einfach mittlerweile zu müde.
Was die Ports angeht so wr die Liste doch deutlich läger welche man angeblich öffnen musste. Eventuell kann ich diese ja doch reduzieren. Aber ein Mailserver gehört soweit ich weis nicht in ein internes Netz ;) (der Exchange holt die Mails nicht sondern fungiert selbst als Mailserver) OWA Sicherheit mag vom Passwort abhängen, aber dieses kann man Buten, per keylogger speichern etc. und Hintertüren gibts selbst bei Linux

All das hat aber nichts mit dem eigentlichem Thema zutun. Für das Problem ansich müsste es unerheblich sein ob der Server in einer DMZ steht oder nicht. Ich fühle mich lediglich wohler dabei.
Pinholes ins interne Netz sind nicht gesetzt, und die dmz hat eine eigene Netzwerkkarte wie sich das gehört, da sehe ich wenig Möglichkeiten ins interne zu kommen. Nicht für einen Jugendlichen mit Langeweile und echte Hacker interessieren sich nicht für uns.

Es mag Leute geben die es schaffen einen Windows Server trotz seiner Unmenge Dienste sicher zu bekommen, ich gehöre definitiv nicht dazu. Jedem das seine.
tun wir einfach so als wäre er nicht in der dmz
Bitte warten ..
Mitglied: Bernd42
13.05.2011 um 15:37 Uhr
So, ich bin einen Schritt weiter. Auch wenn es mit dem Verisign Testzertifikat nicht geht, (schätze weil es kein echtes Zertifikat ist, und Hilfszertifikate benötigt) scheint ersichtlich das eine Verbindung von aussen nur mit nicht Microsoftgeräten ohne Zertifikat möglich ist. Also mit meinem Samsunghandy gehts, mit einem Windows 7 Mobile Phone nicht, genausowenig mit Outlook.

Ist die Feststellung also richtig das es keine Möglichkeit gibt mit selbstsignierten zertifikaten ausserhalb der Domäne zu arbeiten ? Ein kostenpflichtig fremdsigniertes Zertifikat ist zum Betrieb von Exchange bei Zugriff von aussen zwingend erforderlich ?
Bitte warten ..
Mitglied: GuentherH
13.05.2011 um 16:52 Uhr
Hallo.

Ist die Feststellung also richtig das es keine Möglichkeit gibt mit selbstsignierten zertifikaten ausserhalb der Domäne zu arbeiten

Nein. Fast alle mobile Geräte funktionieren auch mit selbst ausgestellten Zertifikaten.

LG Günther
Bitte warten ..
Mitglied: Bernd42
26.05.2011 um 14:13 Uhr
Dauert alles etwas länger bei mir ;)
Also es gibt nun kurzzeitig aus dem Action Pack eine Zertifizierungsstelle in der Domäne vom Exchange. Die Zertifikatsanforderung wurde auch akzeptiert. Im Exchange die Zertifikatsanforderung abschließen funktionierte scheinbar
fehlerfrei!! Grüne Haken, fertigstellen etc. Jedoch wird mir das Zertifikat immer noch als "anforderung" angezeigt. Wenn ich die Anforderung nochmals abschließen will sagt mir Exchange das es diesen Fingerprint bereits gibt.
Doppelklicke ich auf das Zertifikat sagt er mir das das Zertifikat nicht im Speicher vertrauenswürdiger (stamm)Zertifikate ist. Dort ist es aber.
Ich habe im Netz etwas dazu gefunden das manchmal der Zertifikatsspeicher "defekt" oder "falsch verlinkt" ist. Die Shellbefehle jedoch welche das beheben sollen laufen nicht durch (obwohl angeblich für Exchange2010). Sicher eine Forenente.

Was könnte ich noch testen ? bzw. sagt dir das Problem etwas ?
Bitte warten ..
Mitglied: Bernd42
01.06.2011 um 13:47 Uhr
Zum junge Hunde bekommen.....

Dieses Zertifizierungsstellen-Stammzertifikat ist nicht vertrauenswürdig, da es sich nicht in dem Speicher vertrauenswürdiger Stammzertifizierungsstellen befindet

Da ist es aber bereits ... Das Fertigstellen der Anforderung verlief ja auch reibungslos ... Nachdem ich nun das ganze Prozedere 11 mal durchgespielt habe (mit Umweg über das kopieren der Anforderung auf einen Zertifikatsserver in einer VM) weis ich nicht weiter.
Scheibar ist selbst in einem frisch neu installiertem Exchange der Wurm. Mittlerweile sind wir soweit das wir mit dem editieren der Mitarbeiterkalender auch via Web klar kämen und mein Kollege halt sein Windows Phone gegen was von Google tauschen muss ... aber Tadaa via OWA geht das natürlich nicht.
Gibt es einen Befehl für Exchange 2010 welcher den Speicher neu aufbaut ? bzw. einen eventuell fehlerhafen Pfad repariert ? Der gefundene für 2003 wird nicht akzeptiert.




Das ganze kommt mir langsam so vor als ob die Exchange Entwickler jeden Morgen einen mobilen Werkzeugmacher bestellen welcher ihnen eine Kneifzange in Pink herstellen muss, damit sie sich die Hose zumachen können.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...