Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wildcard Zertifikat und Exchange 2013

Frage Microsoft Exchange Server

Mitglied: redlord

redlord (Level 1) - Jetzt verbinden

22.10.2014, aktualisiert 09:55 Uhr, 1628 Aufrufe, 7 Kommentare

Folgendes Szenario:

Hauptdomäne ist mydom.de, darunter existieren vpn.mydom.de und mail.mydom.de (2 externe Anbindungen), das interne netz dahinter heist verwaltung.mydom.de.

Jetzt habe ich ein wildcard Zertifikat *.mydom.de, welches eigentlich alles erdenkliche abdecken soll. Tut es auch soweit, ich montiere dieses in Exchange 2013 und kann ohne Zertifikatsfehler alles Benutzen, sowohl OWA als auch Active Sync über die mail bzw vpn. Alles kein problem. Wenn ich jetzt aber Outlook auf den Clients aufrufe, erzählt er mir, das das Sicherheitsezertifikat nicht passt er wolle unbedingt was server.verwaltung.mydom.de haben und das komisch *.mydom.de ging so ja nicht. Wie bringe ich Outlook bei, das ein Wildcard Zertifikat das alles abdeckt und verwaltung.mydom.de in *.mydom.de enthalten ist? (Outlook 2010)

gruß

Mitglied: SeaStorm
22.10.2014, aktualisiert um 10:37 Uhr
hi

ein *.mydom.de Zertifikat deckt nur die erste Subdomänen-Ebene ab.
für die 2te bräuchtest du ein*.verwaltung.mydom.de

Aber da es ja eh ein internes Netz ist, solltest du für diese Ebene einfach ein selbstsigniertes erstellen (und entsprechend im IIS eintragen) und deinen Clients per GPO als vertrauenswürdiges Zertifikat zuweisen, bzw gleich ein Domänen-CA erstellen und es darüber abwickeln.
Bitte warten ..
Mitglied: redlord
22.10.2014 um 11:27 Uhr
Ich kann aber ja nur ein Zertifikat einstellen für den Dienst in Ex2013. Und es ist ja auch nur eine Ebene der server heist ja nur server.verwaltung.mydom.de. Die Domäne ist ja Verwaltung.mydom.de ... sub1.sub2.mydom.de wären ja erst zwei Ebenen
Bitte warten ..
Mitglied: SeaStorm
22.10.2014, aktualisiert um 11:48 Uhr
du hast geschrieben das Outlook SERVER.verwaltung.mydom.de beanstanded. Das wäre die 2. Ebene.

Aber egal.
Du musst in der Exchange verwaltungskonsole beim Outlook Anywhere die URL für Extern prüfen. Da muss mail.mydom.de rein
Dann die Eigenschaften der OWA öffnen und Extern.intern angeben. Extern muss da mail.mydom.de/owa stehen und intern Server.verwaltung.mydom.de/owa

dann im IIS:

erst ein Zertifikat erstellen für server.verwaltung.mydom.de (oder entsprechend über die CA) und das auch per GPO verteilen.

Dann in der Defaultsite auf Bindung klicken. Da sollte schon mindestens eine Bindung für HTTPS existieren.
Da musst du dafür sorgen das für die interne und externe Adresse jeweils eine Bindung existiert mit dem zugehörigen Zertifikat.
Bitte warten ..
Mitglied: redlord
22.10.2014 um 11:56 Uhr
Stimmt, mit dem Servernamen ist es dann die zweite eben, der outlook sieht ja die url server.verwaltung.mydom.de .. stimmt.

I
Bitte warten ..
Mitglied: redlord
23.10.2014 um 10:59 Uhr
Okay das klingt logisch, ich hatte nicht daran gedacht das der Servername ja teil der Domäne ist und dann es ja schon zwei ebenen gibt.

Das ganze ist ja dann so aufgebaut das die externen Anfragen auf die mail und vpn (das sind zwei DSL Business mit festen ips) auf den Exchange weitergeleitet werden. Wie soll ich denn jetzt aber trennen was von intern oder extern kommt? Ich kann ja auf die selbe IP keine zwei https Bindungen auf den selben Port (443) anlegen. In der Bindung selbst kann ich das Zertifikat ja wählen.. (Mal abgesehen könnte ich natürlich eine zusätzliche Netzwerkkarte (der hat 4) verwenden, die dann nur für externe anfragen verwendet wird und auch in keinem DNS auftaucht, damit outlook sich nicht doch versucht darauf zu verbinden. Dann könnte ich zwei Zertfikate verwenden ...) Oder gibts da einen anderen weg .. ?
Bitte warten ..
Mitglied: SeaStorm
23.10.2014, aktualisiert um 12:06 Uhr
2 Netzwerkkarten sind da vermutlich die beste Lösung.

Sagen wir mal Adapter 1 ist für Extern gedacht und Adapter 2 für intern.
Dann stellst du Adapter 1 so ein, das er den entsprechenden Gateway verwendet, der für die Externe Leitung verantwortlich ist. Unter TCP/IPv4 auf Erweitert ->DNS den Haken bei "Adressen dieser Verbindung im DNS Registrieren" entfernen. Damit wird dann unter der IP kein Eintrag im DNS Server erstellt.
Diese IP musst du im IIS dann bei der Bindung auch einstellen und das entsprechende Externe Zertifikat nehmen.

Beim 2ten(internen) Adapter logischer weise keinen Gateway angeben und den DNS Haken drinnen lassen.
Im IIS jetzt den internen Servernamen auf der internen IP einstellen und das interne Zertifikat nehmen.

Nochmal im DNS Server gucken das nur die eine (interne) IP unter dem Internen DNS-Namen existiert(sich also nur der eine Adapter am DNS Registriert hat).

Wenn du beim OWA die Adresse richtig angegeben hast, versuchen die Clients sich erst mal auf die Interne Adresse zu verbinden. Diesen lösen sie jetzt auf die eine IP auf, unter der sie das interne Zertifikat geliefert bekommen.

Für den Fall der externen Verbindung muss entsprechen das Autodiscovery existieren. Also autodiscovery.mydom.de, bzw, falls möglich, einen SRV Recor machen.
Siehe https://testconnectivity.microsoft.com/
Bitte warten ..
Mitglied: redlord
23.10.2014 um 13:02 Uhr
Perfekt so dachte ich mir das
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Exchange Server
gelöst Das Zertifikat Exchange 2013 Web-Services auf Server a ist abgelaufen (4)

Frage von 122967 zum Thema Exchange Server ...

Exchange Server
gelöst Zertifikat und Co Exchange 2013 (9)

Frage von uwe.name zum Thema Exchange Server ...

Exchange Server
Exchange 2013 lässt sich nicht Updaten (7)

Frage von onkel87 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...