Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wildcard Zertifikat und Exchange 2013

Frage Microsoft Exchange Server

Mitglied: redlord

redlord (Level 1) - Jetzt verbinden

22.10.2014, aktualisiert 09:55 Uhr, 2017 Aufrufe, 7 Kommentare

Folgendes Szenario:

Hauptdomäne ist mydom.de, darunter existieren vpn.mydom.de und mail.mydom.de (2 externe Anbindungen), das interne netz dahinter heist verwaltung.mydom.de.

Jetzt habe ich ein wildcard Zertifikat *.mydom.de, welches eigentlich alles erdenkliche abdecken soll. Tut es auch soweit, ich montiere dieses in Exchange 2013 und kann ohne Zertifikatsfehler alles Benutzen, sowohl OWA als auch Active Sync über die mail bzw vpn. Alles kein problem. Wenn ich jetzt aber Outlook auf den Clients aufrufe, erzählt er mir, das das Sicherheitsezertifikat nicht passt er wolle unbedingt was server.verwaltung.mydom.de haben und das komisch *.mydom.de ging so ja nicht. Wie bringe ich Outlook bei, das ein Wildcard Zertifikat das alles abdeckt und verwaltung.mydom.de in *.mydom.de enthalten ist? (Outlook 2010)

gruß

Mitglied: SeaStorm
22.10.2014, aktualisiert um 10:37 Uhr
hi

ein *.mydom.de Zertifikat deckt nur die erste Subdomänen-Ebene ab.
für die 2te bräuchtest du ein*.verwaltung.mydom.de

Aber da es ja eh ein internes Netz ist, solltest du für diese Ebene einfach ein selbstsigniertes erstellen (und entsprechend im IIS eintragen) und deinen Clients per GPO als vertrauenswürdiges Zertifikat zuweisen, bzw gleich ein Domänen-CA erstellen und es darüber abwickeln.
Bitte warten ..
Mitglied: redlord
22.10.2014 um 11:27 Uhr
Ich kann aber ja nur ein Zertifikat einstellen für den Dienst in Ex2013. Und es ist ja auch nur eine Ebene der server heist ja nur server.verwaltung.mydom.de. Die Domäne ist ja Verwaltung.mydom.de ... sub1.sub2.mydom.de wären ja erst zwei Ebenen
Bitte warten ..
Mitglied: SeaStorm
22.10.2014, aktualisiert um 11:48 Uhr
du hast geschrieben das Outlook SERVER.verwaltung.mydom.de beanstanded. Das wäre die 2. Ebene.

Aber egal.
Du musst in der Exchange verwaltungskonsole beim Outlook Anywhere die URL für Extern prüfen. Da muss mail.mydom.de rein
Dann die Eigenschaften der OWA öffnen und Extern.intern angeben. Extern muss da mail.mydom.de/owa stehen und intern Server.verwaltung.mydom.de/owa

dann im IIS:

erst ein Zertifikat erstellen für server.verwaltung.mydom.de (oder entsprechend über die CA) und das auch per GPO verteilen.

Dann in der Defaultsite auf Bindung klicken. Da sollte schon mindestens eine Bindung für HTTPS existieren.
Da musst du dafür sorgen das für die interne und externe Adresse jeweils eine Bindung existiert mit dem zugehörigen Zertifikat.
Bitte warten ..
Mitglied: redlord
22.10.2014 um 11:56 Uhr
Stimmt, mit dem Servernamen ist es dann die zweite eben, der outlook sieht ja die url server.verwaltung.mydom.de .. stimmt.

I
Bitte warten ..
Mitglied: redlord
23.10.2014 um 10:59 Uhr
Okay das klingt logisch, ich hatte nicht daran gedacht das der Servername ja teil der Domäne ist und dann es ja schon zwei ebenen gibt.

Das ganze ist ja dann so aufgebaut das die externen Anfragen auf die mail und vpn (das sind zwei DSL Business mit festen ips) auf den Exchange weitergeleitet werden. Wie soll ich denn jetzt aber trennen was von intern oder extern kommt? Ich kann ja auf die selbe IP keine zwei https Bindungen auf den selben Port (443) anlegen. In der Bindung selbst kann ich das Zertifikat ja wählen.. (Mal abgesehen könnte ich natürlich eine zusätzliche Netzwerkkarte (der hat 4) verwenden, die dann nur für externe anfragen verwendet wird und auch in keinem DNS auftaucht, damit outlook sich nicht doch versucht darauf zu verbinden. Dann könnte ich zwei Zertfikate verwenden ...) Oder gibts da einen anderen weg .. ?
Bitte warten ..
Mitglied: SeaStorm
23.10.2014, aktualisiert um 12:06 Uhr
2 Netzwerkkarten sind da vermutlich die beste Lösung.

Sagen wir mal Adapter 1 ist für Extern gedacht und Adapter 2 für intern.
Dann stellst du Adapter 1 so ein, das er den entsprechenden Gateway verwendet, der für die Externe Leitung verantwortlich ist. Unter TCP/IPv4 auf Erweitert ->DNS den Haken bei "Adressen dieser Verbindung im DNS Registrieren" entfernen. Damit wird dann unter der IP kein Eintrag im DNS Server erstellt.
Diese IP musst du im IIS dann bei der Bindung auch einstellen und das entsprechende Externe Zertifikat nehmen.

Beim 2ten(internen) Adapter logischer weise keinen Gateway angeben und den DNS Haken drinnen lassen.
Im IIS jetzt den internen Servernamen auf der internen IP einstellen und das interne Zertifikat nehmen.

Nochmal im DNS Server gucken das nur die eine (interne) IP unter dem Internen DNS-Namen existiert(sich also nur der eine Adapter am DNS Registriert hat).

Wenn du beim OWA die Adresse richtig angegeben hast, versuchen die Clients sich erst mal auf die Interne Adresse zu verbinden. Diesen lösen sie jetzt auf die eine IP auf, unter der sie das interne Zertifikat geliefert bekommen.

Für den Fall der externen Verbindung muss entsprechen das Autodiscovery existieren. Also autodiscovery.mydom.de, bzw, falls möglich, einen SRV Recor machen.
Siehe https://testconnectivity.microsoft.com/
Bitte warten ..
Mitglied: redlord
23.10.2014 um 13:02 Uhr
Perfekt so dachte ich mir das
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Exchange 2013 Wildcard SSL Zertifikatsmeldung
Frage von CPirasaExchange Server3 Kommentare

Hi Leute, ich habe einen Exchange 2013 auf einem Server 2012R2. Dazu gibt es noch ein Offizielles Wildcard Zertifikat ...

Verschlüsselung & Zertifikate
Beißen sich SAN-Zertifikat und Wildcard-Zertifikat?
gelöst Frage von SlimButchVerschlüsselung & Zertifikate2 Kommentare

Hallo allerseits, ich habe eine Frage an euch bezüglich SSL Zertifikate, zu der ich bisher keine passende Antwort gefunden ...

Verschlüsselung & Zertifikate
SSL-Webserver-Wildcard-Zertifikate
Frage von OlliPWSVerschlüsselung & Zertifikate5 Kommentare

Moin, wer kann mir SSL-Webserver-Wildcard-Zertifikate bisschen erklären? wir haben eine Domain draußen bei einem Dienstleister registiert. mustermax.org Jetzt haben ...

Apache Server
Wildcard Zertifikat in Apache2 nutzen
Frage von VincorApache Server13 Kommentare

Hallo, ich habe ein Wildcard Zertifikat für meine Domain, aber leider nur geringe Ahnung davon wie ich es nutze. ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 6 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 10 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 10 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 13 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server19 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server15 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...