Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zusammenhang Domänenname intern, feste IP, Reverse Lookup und Zertifikat

Frage Microsoft Exchange Server

Mitglied: Figment

Figment (Level 1) - Jetzt verbinden

31.01.2010 um 14:59 Uhr, 11866 Aufrufe, 6 Kommentare

ich habe jetzt etliche Beiträge, auch bei MXFAQ gelesen und bin nicht schlauer als vorher, ich verstehe den Zusammenhang nicht, bzw. habe ich wohl zuviel gelesen und bin völlig durcheinander.

Da ich einen permanenten Zertifikatsfehler beim externen Zugriff mit meinem Outlook 2007 auf meinen firmeninternen Exchangeserver (SBS 2008) habe, würde ich gern ein paar grundsätzliche Dinge verstehen, die ich schon dachte begriffen zu haben.

Also:

- https:/..../owa und https:/..../remote funktionieren, allerdings mit roter Adressleiste im IExplorer 8
- der Zugriff auf den Server oder andere Rechner wird mit Zertifikatsfehler verweigert
- die externe Einbindung meines iPod Touch mittels Exchange hat hervorragend funktioniert, ich habe einfach die feste IP die ich vom IP (T-COM) habe eingetragen, ohne irgendwelche Zusätze

Wie verhält sich das mit dem internen Domänennamen, bzw. Servernahmen und der festen IP bzw. den komischen Namen den ich bei reverse ns lookup erfahre ( p*.dip0.t-ipconnect.de) im Zusammenhang mit einem selbst ausgestellten Zertifikat?

es gibt den Antragssteller und den Aussteller, bei beiden steht was anderes drin:

1. *-SERVER1-CA
2. remote.*-
**.de

wobei bei 1. der interne Domänenname steht (der SBS Server heißt SERVER1)
und bei 2. meine Firmenwebsite, die auch bei der Telekom gehostet ist, aber natürlich etwas anders heisst.

Offensichtlich habe ich da am Anfang bei der Einrichtung des Servers etwas falsch verstanden und bestimmt einen falschen Eintrag irgendwo gemacht?!?

Denn meine feste IP für den Internetzugang meiner Firma hat ja rein garnichts mit der gehosteten Website zu tun.

Was ist da falsch???
Mitglied: wiesi200
31.01.2010 um 16:38 Uhr
Du stellst ein Zertifikat für einen Namen bzw. IP aus.
z.b. remote.*-**.de
Somit wenn du eine Webseite mit exakt diesem Namen aufrufst und der das Zertifikat hinterlegt hat dann stimmt soweit das Webzertifikat.
Wenn du das ganze jetzt mit einer IP Adresse machst dann passt das wieder nicht zusammen und er meldet einen Zertifikatsfehler.

Da du ja von extern und intern eigentlich nicht die gleiche IP verwenden kannst musst du das per Domain Name machen der von extern und intern gleich ist machen.
Sonst hast du von einer Seite einen Zertifikatsfehler (außer es ist dir egal).

Das ist jetzt eine Seite. Hier könnte aber jeder einfach ein Zertifikat ausstellen und sich für was anderes ausgeben. Hier gibt's dann das zertifizierungsstellen Zertifikat. Das muss auf dem Rechner hinterlegt sein. Bei den kostenpflichtigen Anbietern ist das schon gemacht. Wenn du selbst ein's ausstellst musst du das selbst machen. In einer Domain kannst du das per GP verteilen. Und dann sollte das passen.
Bitte warten ..
Mitglied: datasearch
31.01.2010 um 16:41 Uhr
Browser werden das Zertifikat zurückweisen, wenn die CA (Certificate Authority), die das Zertifikat ausgestellt hat NICHT vertrauenswürdig ist. Deine lokal installierte CA muss auf allen Clients in die Liste vertrauenswürdiger Stammzertifizierungsstellen aufgenommen werden.

Um sich diesen Aufwand zu sparen, kann man für seine Domain, unter der der entsprechende Server erreichbar ist, ein Zertifikat einer öffentlichen und anerkannten CA besorgen.

Wenn der im Zertifikat angegebene Allgemeine Name (CN) NICHT mit dem vollständigen Host/Domainnamen des Server übereinstimmt, wird der Client ebenfalls eine Warnung oder einen Fehler melden. Am besten ist es immer, sich eine feste IP für seinen Anschluss zu besorgen, für diese IP einen A-Eintrag im DNS anzulegen und einen DNS Reverse-Eintrag vom von der IP zurück auf den A-Eintrag beim Provider beauftragt.

Auszug DNS:
01.
Im DNS des Webhosters der öffentlichen Firmendomain: 
02.
intra.firma.de.   A   123.234.456.678 
03.
 
04.
Reverse-Delegation der festen IP: 
05.
123.234.456.678  PTR  intra.firma.de.
Nun beantragst du ein Zertifikat von einer öffentlichen CA (z.B. VeriSign, T-Systems, etc...) auf den CN intra.firma.de und installierst dieses auf dem Server. Die Eigenschaften des Zertifikates würden dann so in etwa aussehen:

01.
Ausgestellt von 
02.
Verisignj Type 99 CA 
03.
Serial: 12345679890 
04.
Firma VeriSign blah... 
05.
--- 
06.
Ausgestellt für  
07.
Antragsteller: Firma XY 
08.
Organisation: IT-Admin 
09.
Straße: irgendwas 3 
10.
PLZ: 12345 
11.
Ort: Examplestadt 
12.
Land: Deutschland 
13.
Person: IT-Abteilung XY 
14.
CommonName: intra.forma.de 
15.
Kontakt: mail@firma.de 
16.
Gültig bis: 01/2012
Bitte warten ..
Mitglied: Figment
31.01.2010 um 17:03 Uhr
Vielen Dank für die ausführlichen Antworten.

Ich fasse mal kurz zusammen was ich verstanden habe:

Ich muss auf jeden Fall bei meinem T-Business Zugang, über den mein SBS Server seine Internetverbindung hat, einen Hostnamen eintragen lassen der dem internen Domainnamen entspricht? also exakt den Sternchenteil von *.local

auf meinem Kundencenter sieht das so aus:

Sie können jederzeit Hostnamen zum Reverse Mapping hinzufügen oder bereits beauftragte Hostnamen ändern oder aus dem Reverse Mapping löschen, sofern der >Bearbeitungsstatus auf "Aktiv" steht.
> Reverse Mapping für Hostname ändern
> Reverse Mapping für Hostname löschen
>
>In der nebenstehenden Tabelle werden alle über das
>DSL Business Kundencenter beauftragte Reverse Mappings aufgelistet. Evtl. über einen anderen Weg (nicht über das Kundencenter) beauftragte Reverse Mappings >werden in der Tabelle nicht aufgelistet und können auch nicht über das Kundencenter geändert oder gelöscht werden.
>Voraussetzung für die Beauftragung ist, dass der Hostname bereits auf Ihre feste IP-Adresse (vorwärts) aufgelöst werden kann.
>BeauftragteReverse Mappings : : Hostname :: Bearbeitungsstatus *)
p.dip0.t-ipconnect.de Aktiv

>Der hier eingegebene Hostname muss bereits auf Ihre feste IP-Adresse aufgelöst werden können.
das heist ich brauche dafür kein extra Hosting sondern muss diesen Reverse Namen eintragen lassen. UND zusätzlich warscheinlich überhaupt einen A-Record Eintrag?
Denn bisher gibt es ja nur die feste IP als Nummer und das ist ja wohl kein FQDN, also der A-Record ist dann der FQDN?
Das ist vermutlich jetzt dieses p
.dip0.t-ipconnect.de

Abfrage bei Networktools:
Type Domain Name IP Address TTL
A p*.dip0.t-ipconnect.de *.*.116.99 24 hrs
Bitte warten ..
Mitglied: datasearch
31.01.2010 um 17:11 Uhr
Ich muss auf jeden Fall bei meinem T-Business Zugang, über den mein SBS Server seine Internetverbindung hat, einen Hostnamen eintragen lassen der dem internen Domainnamen entspricht? also exakt den Sternchenteil von *.local

Nicht im öffentlichem Internet. Bitte versuche, wenn es auch nur irgendwie möglich ist eine öffentliche Domain zu nutzen. Einen A-Eintrag kannst du bei den meisten Providern direkt oder über die Hotline anlegen lassen.

Der Client MUSS das Zertifikat der Root-CA kennen UND der CN im Zertifikat MUSS mit dem öffentlichen Host/Domainnamen übereinstimmen.

Reverse-DNS brauchst du nicht zwingend, ist aber von Vorteil.

Du kannst auch ein Zertifikat auf die IP des Servers beantragen. Aber nicht alle CAs bieten das an.
Bitte warten ..
Mitglied: Figment
31.01.2010 um 17:20 Uhr
Aha, also auf keinen Fall den internen Domänennamen. Aber welche öffentliche Domain? Die sind doch dann woanders als A-Record eingetragen oder?
Das ist genau das was ich nicht verstehe, da bin ich irgendwie grade blockiert.

Also den A-Record ändern kann ich direkt bei T-Com beauftragen, das ist das geringste Problem, diesen Teil verstehe ich ja, warscheinlich kann ich da auch ein Zertifikat beauftragen, ist ja schließlich der "Business-Zugang" ;)
Bitte warten ..
Mitglied: Figment
31.01.2010 um 17:46 Uhr
oder nehme ich irgendeinen Fantasienamen den es noch nicht gibt?

ich glaube so langsam werde ich fündig:

>Verwenden einer internen eigenständigen Domäne
>Wenn Sie die interne Domäne nicht als untergeordnete Domäne der externen Domäne konfigurieren können, verwenden Sie eine eigenständige interne Domäne. Auf diese Weise besteht kein >Zusammenhang zwischen den internen und externen Domänennamen. Eine Organisation mit dem Domänennamen contoso.com für den externen Namespace verwendet beispielsweise den Namen >contoso01-int.com für den internen Namespace.
>Der Vorteil dieses Ansatzes besteht darin, dass Sie einen eindeutigen internen Domänennamen erhalten. Der Nachteil ist hingegen, dass Sie zwei separate Namespaces verwalten müssen. Darüber hinaus >kann die Verwendung einer eigenständigen internen Domäne, die nicht in Beziehung zur externen Domäne steht, zu Verwirrung bei Benutzern führen, da die Namespaces keinen Bezug zwischen den >Ressourcen innerhalb und außerhalb des Netzwerks widerspiegeln. Zudem müssen Sie zwei DNS-Namen bei einer Internetnamensstelle registrieren.

damit ist ja klar, das sich die Telekom um meinen Internetauftritt unter www.meineFirma.de und die DNS Verwaltung kümmert, mein T-DSL Business Zugang kümmert sich um die DNS Auflösung Fantasiename.de und feste IP
und mein Server SBS kümmert sich dann um die interne DNS Auflösung wenn also eine Anfrage ála remote.Fantasiename.de von extern kommt.

verstehe ich das jetzt richtig?

EDIT:

ich kann offensichtlich auch folgendes verwenden:

z.B. home.meineFirma.de

das heist das diese Adresse anders aufgelöst wird als www.meineFirma.de und über den A-Record Eintrag die 2 unterschiedlichen IP Adressen vom DNS Server auf Anfrage gesendet werden.
Das schafft dann wohl Klarheit und ist einfacher zu merken als wenn man 2 unterschiedliche Namen für eine Firma hat.
Nun habe ich das fetteste Problem, mein interner DNS Raum heisst *.de, also nach den Namenskonventionen die Microsoft für Servereinrichtung empfiehlt leider falsch, weil ich damit die oberste Ebene der Hierarchie benutze. Da hat man mich leider falsch beraten.

Oh Mann, Server neu aufsetzen??
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
DNS
DNS Reverse Lookup - falsche IP (9)

Frage von Johannes219 zum Thema DNS ...

Server
Feste IP oder Domainname für Rootserver (9)

Frage von achim222 zum Thema Server ...

Exchange Server
MX Eintrag für Exchange-Server , habe aber nur feste IP (9)

Frage von Mausbiber zum Thema Exchange Server ...

Router & Routing
gelöst VPN, Feste IP-Adr. Verständnisfrage bzgl. GateWay (Einstufung: Sehr einfach) (14)

Frage von uuppss zum Thema Router & Routing ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...