none
Exchange 2010 und das Ende von SAN-Zertifikaten mit internen Hostnamen RRS feed

  • Frage

  • Hallo an alle,

    wie wahrscheinlich bekannt ist wird zum November 2015 keine öffentliche CA mehr Zertifikate für interne Hostnamen ausstellen (siehe: http://www.digicert.com/internal-names.htm)

    Wir implementieren gerade Exchange bei uns (Umstieg von Domino) und fragen uns, wie wir den Zugriff von Innen und Außen optimal konfigurieren. Die diversen Empfehlungen bei Microsoft und anderswo empfehlen alle SAN-Zertifikate _mit_ internen Hostnamen (so haben wir es bislang auch bei Kunden gehandhabt), aber da diese Lösung wohl zum Aussterben verurteilt ist wollen wir's gleich 'richtig' machen.

    Aber was ist richtig? Man kann ja den Exchange Server (bzw. die Client Access Role) ja so konfigurieren, daß Autodiscover, Webservices und OAB auf den externen URL verweisen - aber bleibt dann der intern Datenstrom (also von Outlook Clients im gleichen Netz) dann auch intern - oder geht er über den externen URL und belastet damit unsere Firewall? Welche Alternativen gibt es, und welche würdet Ihr empfehlen?

    Für Tipps und Erfahrungswerte wäre ich dankbar

    Dirk

    Donnerstag, 28. März 2013 10:55

Antworten

  • Moin,

    einen Proxy habe ich sowieso, da das so verlangt wird. Anwender sollen nun mal von Außen über das Internet auf den Exchange zugreifen können, und direkter Zugriff ist ein No-Go.

    ok, dass ist ein Grund.

    Wenn ich auf Split DNS setze darf ich m.W. nicht nur den Eintrag für den Exchange-Server zweimal pflegen, sondern auch für die Einträge für den Webauftritt und diverser Kunden-Teststellungen.

    Nein, musst Du nicht. Der Trick besteht darin, nicht die ganze Zone doppelt zu pflegen, sondern für die A-Einträge, die Exchange braucht, je Eintrag eine eigene Zone zu erzeugen.

    Sieh dann so aus:
    http://www.netlife.co.za/tech-guides/46-linuxoss-and-networking/95-adding-single-dns-hosts-for-external-zones-to-a-windows-dns-server.html


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Montag, 8. April 2013 10:50

Alle Antworten

  • Hallo,

    das hatten wir vor kurzem schon mal, leider finde ich den Beitrag auf die schnelle nicht.

    M.E. ist es sinnvoll mit Split DNS in einem ensprechenden Eintrag.

    Dann wird der interne Servername mit dem externen aufgelöst und das zert passt.

    ;)


    Gruß Norbert

    Donnerstag, 28. März 2013 11:12
    Moderator
  • Hallo,

    das hatten wir vor kurzem schon mal, leider finde ich den Beitrag auf die schnelle nicht.

    M.E. ist es sinnvoll mit Split DNS in einem ensprechenden Eintrag.

    Dann wird der interne Servername mit dem externen aufgelöst und das zert passt.

    ;)


    Gruß Norbert

    Hallo Norbert,

    hab hier kurz gesucht - nichts dazu gefunden. Muß aber nicht heißen, daß das nicht doch vor kurzem hier aufkam.

    Folgendes: Ich kann ja z.B mit Set-ClientAccessServer etc. den intern genutzten URL ändern auf den externen. Heißt das aber, daß dann auch die internen Clients diese Adresse für den Datentransfer nutzen? Also ihre Postfächer darüber aktualisieren etc.? Das würde unsere Firewall ziemlich schnell in die Knie zwingen....

    Wenn das so wäre - dann bringt auch Split DNS nichts, oder?

    Gruß

    Dirk

    Donnerstag, 28. März 2013 11:58
  • Moin,

    Folgendes: Ich kann ja z.B mit Set-ClientAccessServer etc. den intern genutzten URL ändern auf den externen. Heißt das aber, daß dann auch die internen Clients diese Adresse für den Datentransfer nutzen? Also ihre Postfächer darüber aktualisieren etc.? Das würde unsere Firewall ziemlich schnell in die Knie zwingen....

    damit änderst Du ja nur Autodiscover.

    Du brauchst aber auch OAB und EWS und eventuell noch EAS/OWA/ECP.

    Das ganze übersteigt ein wenig die Möglichkeiten eines Forums. Dafür muss jemand vor Ort das Netzwerk, die Geräte und Wünsche analysieren.

    Und dann sind Lösungen von einem Namen, bis zu X Namen erforderlich.

    Aber SplitDNS wird sicher meistens irgendwo bei rauskommen.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Donnerstag, 28. März 2013 16:55
  • Hi Robert,

    Set-ClientAccessServer war nur als Beispiel zitiert. Siehe http://www.digicert.com/ssl-support/redirect-internal-exchange-san-names.htm - da sind auch die entsprechenden Aufrufe für Set-WebServicesVirtualDirectory und Set-OABVirtualDirectory genannt.

    Letztendlich geht es nur darum, ob dies auch für interne Clients den Datenstrom umlenkt auf einen aus dem Internet erreichbaren Server (sprich: einen reverse Proxy). Oder greifen die internen Clients trotz obiger Aufrufe direkt auf den Exchange-Server zu.

    Wenn ja - dann wird in größeren Installationen nichts an einer Split-DNS-Konfiguration vorbeiführen....

    Sonntag, 7. April 2013 12:25
  • Wir machen es im Moment so, das wir für die internen URLs unsere eigene CA verwenden und entsprechende interne Zertifikate mit Hostnamen austellen. Die Externen URLS werden über einen Reverse Proxy erreichbar gemacht und haben dann dort halt offizielle Zertifikate. 
    Sonntag, 7. April 2013 12:48
  • Moin,

    Letztendlich geht es nur darum, ob dies auch für interne Clients den Datenstrom umlenkt auf einen aus dem Internet erreichbaren Server (sprich: einen reverse Proxy). Oder greifen die internen Clients trotz obiger Aufrufe direkt auf den Exchange-Server zu.

    bei SplitDNS nutzen sie normalerweise den internen Weg.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Sonntag, 7. April 2013 14:50
  • @Jörg:

    scheint mir der praktikabelste Weg. Im DNS die Daten zweimal zu pflegen (1 x für internen, 1 x für externen Zugriff) halte ich für eine schlechtere Lösung.

    Montag, 8. April 2013 07:12
  • Naja pflegen tust du auch so 2x. Nur einmal ist es 2x der gleiche Name und einmal zwei unterschiedliche ;>

    Gruß

    Jörg

    Montag, 8. April 2013 09:02
  • Moin,

    scheint mir der praktikabelste Weg. Im DNS die Daten zweimal zu pflegen (1 x für internen, 1 x für externen Zugriff) halte ich für eine schlechtere Lösung.

    echt?

    Ein Proxy macht viel mehr Arbeit, kostet Geld, ist eine Fehlerquelle. Die Anwender müssen sich unterschiedliche URL merken, die gesamte Client-Konfig wird deutlich komplizierter.

    Einen internen DNS hast Du aber sowiesio, danke AD. Und alles, was Du brauchst, sind ein oder zwei DNS-Einträge. Die Anwender nutzen immer die gleiche URL, die Konfigu der Clients ist einfacher, usw.

    Es gibt schon einen Grund, warum die Microsoft-Leute SplitDNS als Best-Practise vorschlagen.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Montag, 8. April 2013 09:05
  • Hi, Robert + Jörg,

    einen Proxy habe ich sowieso, da das so verlangt wird. Anwender sollen nun mal von Außen über das Internet auf den Exchange zugreifen können, und direkter Zugriff ist ein No-Go.

    Wenn ich auf Split DNS setze darf ich m.W. nicht nur den Eintrag für den Exchange-Server zweimal pflegen, sondern auch für die Einträge für den Webauftritt und diverser Kunden-Teststellungen.


    Montag, 8. April 2013 09:17
  • Moin,

    einen Proxy habe ich sowieso, da das so verlangt wird. Anwender sollen nun mal von Außen über das Internet auf den Exchange zugreifen können, und direkter Zugriff ist ein No-Go.

    ok, dass ist ein Grund.

    Wenn ich auf Split DNS setze darf ich m.W. nicht nur den Eintrag für den Exchange-Server zweimal pflegen, sondern auch für die Einträge für den Webauftritt und diverser Kunden-Teststellungen.

    Nein, musst Du nicht. Der Trick besteht darin, nicht die ganze Zone doppelt zu pflegen, sondern für die A-Einträge, die Exchange braucht, je Eintrag eine eigene Zone zu erzeugen.

    Sieh dann so aus:
    http://www.netlife.co.za/tech-guides/46-linuxoss-and-networking/95-adding-single-dns-hosts-for-external-zones-to-a-windows-dns-server.html


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Montag, 8. April 2013 10:50
  • Das ist ein sehr interessanter Hinweis. Wirde das hier mal zur Diskussion stellen - Danke!


    Montag, 8. April 2013 12:41