none
OWA und Zertifikate RRS feed

  • Frage

  • E2k10
    Organisationname  ORG
    Domäne                dom.local
    CAS Server            CAS1
    OWA öffentl. DNS   OWA.ORG

    Hallo,

    wir haben unser OWA 2010 über die Adresse OWA.ORG veröffentlicht und ein öffentliches Multidomainzertifikat (Geotrust)hinterlegt.
    Nun sollen die User im internen Netz ebenfalls über den DNS Namen OWA.ORG über den internen Weg auf den CAS1 aufs OWA zugreifen. Im internen DNS ist OWA.ORG auch auf den CAS1 verwiesen und der CAS1 hat ein Zertifikat unserer internen CA mit seinem Namen. Interne Zugriffe über owa.simdfhcas000001.dom.local funktionieren und das Zertifikat wird auch als vertrauenswürdig angezeigt.
    Wenn ich nun das öffentliche Multidomainzertifikat auf dem CAS1 einspiele erfolgen die internen Zugriffe über OWA.ORG vertrauenswürdig, allerdings meckern die Outlook Clients, das der hinterlegte Server im Zertifikat nicht mehr passt. (Wahrscheinlich weil das Geotrustzert nicht in unsere CA und Domäne hinterlegt ist)

    Wenn ich das interne CA Zertifikat für interne Zugriffe auf OWA.ORG verwende wird der Server im Zertifikat angemeckert. "Das Zertifikat dieser Webseite wurde für die Adresse einer anderen Webseite ausgestellt"

    Wie bekomme ich ein vertrauenswürdiges Zertifikat für einen DNS Namen für interne und externe Zugriffe hin? Im öffentl. Geotrust Zertifikat kann ich doch keine internen Namen des Servers simdfhcas000001.dom.local eintragen lassen, da uns ja nicht weltweit eindeutig dom.local gehört!?
    Leider kenne ich mich mit der CA nicht aus und der Kollege ist gerade nicht greifbar, aber funktioniert es wenn ich das intern auf dem CAS1 verwendete Webserverzertifikat um den DNS Namen OWA.ORG ergänze? Der Servername simdfhcas000001.dom.local ist ja bereits dort eingetragen. Dann müsste ich es aber sehr wahrscheinlich neu in den Exchange importieren oder wäre das nur upzudaten? Die Outlookclients dürften doch kein Problem damit haben, oder? Danke!

    Freitag, 12. Januar 2018 15:55

Antworten

  • Moin,

    das mit dem öffentlichen Zertifikat und den identischen DNS-Einträgen intern und extern ist schon ok so. Nennt man "Split DNS" und entspricht dem Best-Practise von Microsoft.

    Die Fehlermeldungen kommen nicht aus Problemen im Zertifikat oder DNS, sondern daher, dass Exchange die neuen URLs nicht kennt und den Clients daher die alten Adressen nennt.

    Was Du daher anpassen musst, sind die URLs für die verschiedenen Webseiten: OAB, EWS, Active Sync und Outlook Anywhere. Außerde muss der SCP für Autodiscover korrekt gesetzt sein.

    Die URLs stellst Du so ein, dass sie intern und extern auf den gleichen FQDN zeigen, den Du auch im Zertifikat und im DNS hast.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Samstag, 13. Januar 2018 11:21

Alle Antworten

  • Moin,

    das mit dem öffentlichen Zertifikat und den identischen DNS-Einträgen intern und extern ist schon ok so. Nennt man "Split DNS" und entspricht dem Best-Practise von Microsoft.

    Die Fehlermeldungen kommen nicht aus Problemen im Zertifikat oder DNS, sondern daher, dass Exchange die neuen URLs nicht kennt und den Clients daher die alten Adressen nennt.

    Was Du daher anpassen musst, sind die URLs für die verschiedenen Webseiten: OAB, EWS, Active Sync und Outlook Anywhere. Außerde muss der SCP für Autodiscover korrekt gesetzt sein.

    Die URLs stellst Du so ein, dass sie intern und extern auf den gleichen FQDN zeigen, den Du auch im Zertifikat und im DNS hast.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Samstag, 13. Januar 2018 11:21
  • Danke für die Info.

    Ich vermute das ich das im IIS anpassen muss.

    Was ist SCP für Autodiscover?

    Dienstag, 16. Januar 2018 16:04
  • Hallo,

    nein, Finger weg vom IIS!

    Das geht über DNS-Einträge im AD, mal die Suchmaschine nach Split DNS anwerfen.

    Danach werden alle internen und externen URL auf die externe URL eingestellt.

    Die internen Clients finden ihre URL durch die internen DNS, die externen von den externen DNS und so braucht man nur ein Zertifikat mit zwei Namen, einmal OWA (oder wie auch immer eingestellt un im Post #1 verwendet) und einmal Autodiscover.

    SCP heißt ServiceConnectionPoint und steht auch im AD

    ;)


    Gruß Norbert

    Dienstag, 16. Januar 2018 18:30
    Moderator
  • Moin,

    wie Norbert schon schreibt, wird da nichts am IIS angefasst. Und bitte auch nicht direkt im AD, falls Norberts Aussage in dieser Hinsicht verstanden werden kann. Dort ist nur der Speicherort der Einstellungen.

    Das wird alles mit den entsprechenden Exchange Werkzeugen gemacht.

    Für die meisten virtuellen Verzeichnisse gibt es Einstellungen in der EMC, allerdings nicht für alle.

    Alle kann man mit den passenden Shell Befehlen einstellen.

    Hier ist eine Übersicht:

    http://www.itnotes.eu/?p=1904

    Für 2010 ist der letzte Abschnitt unrelevent.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Mittwoch, 17. Januar 2018 08:42
  • Danke euch allen,

    muss ich mir mal genauer ansehen.

    Montag, 22. Januar 2018 15:13