none
SSL-Zertifikat meldet Fehler bei internen Clients RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Ich habe für einen Exchange-Server (2010) ein Zertifikat gekauft, und dieses funktioniert auch prima für die externe Domain (bsp. mail.domainname.de). Allerdings melden die internen Outlook-Clients allesamt, dass das Zertifikat nicht zum Servernamen passt (bsp. SRV.domainname.intern). Das ist zwar soweit klar und logisch, allerdings habe ich keine Vorstellung wie ich das ändern soll. Meine Versuche, die Outlook-Clients - zumindest provisorisch - unverschlüsselt mit dem ES kommunizieren zu lassen sind fehlgeschlagen, weil sich Outlook scheinbar immer wieder auf Aushandlungsauthentifizierung und Exchange via HTTPS-Proxy umstellt.

    Ich hoffe irgendjemand hier kann mir einen Tip geben.

    Vielen Dank vorab an alle!

    Freitag, 31. Januar 2014 20:06
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Guten Abend,

    wie wird Exchange veröffentlicht? TMG / UAG / DMZ / Firewall / Edge ?

    Wenn TMG/UAG > öffentliches Zertifikat hier hin, internes Zertifikat auf den Exchange. (Auch bei Windows Server 2012 R2 Application Proxy Role

    Viele Grüße

    Jochen Reinecke (MCITP - MCSA)


    IT Magazin aus Leidenschaft - www.reginite.de

    • Als Antwort vorgeschlagen Alex Pitulice Mittwoch, 5. Februar 2014 09:40
    • Als Antwort markiert Alex Pitulice Donnerstag, 6. Februar 2014 10:07
    Freitag, 31. Januar 2014 21:12
    |
  • Question
    Anmelden
    1
    Anmelden

    Moin,

    das ist ein Thema, über das man sich am besten vorher Gedanken macht. ;)

    Grundsätzlich löst man das Problem auf drei Varianten:

     - unterschiedliche Zertifikate für intern und extern, wie Jochen schreibt

     - SAN-Zertifikate mit mehreren Namen drin

     - Split DNS

    Welche Lösung mit welchen Einstellungen, lässt sich in einem Forum nur schwer ermitteln. Dafür braucht es eine genaue Untersuchung vor Ort, Ermittlung der Geräte, DNS, AD und natürlich des möglichen Geldes.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort vorgeschlagen Alex Pitulice Mittwoch, 5. Februar 2014 09:40
    • Als Antwort markiert Alex Pitulice Donnerstag, 6. Februar 2014 10:07
    Samstag, 1. Februar 2014 09:02
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Guten Abend,

    wie wird Exchange veröffentlicht? TMG / UAG / DMZ / Firewall / Edge ?

    Wenn TMG/UAG > öffentliches Zertifikat hier hin, internes Zertifikat auf den Exchange. (Auch bei Windows Server 2012 R2 Application Proxy Role

    Viele Grüße

    Jochen Reinecke (MCITP - MCSA)


    IT Magazin aus Leidenschaft - www.reginite.de

    • Als Antwort vorgeschlagen Alex Pitulice Mittwoch, 5. Februar 2014 09:40
    • Als Antwort markiert Alex Pitulice Donnerstag, 6. Februar 2014 10:07
    Freitag, 31. Januar 2014 21:12
    |
  • Question
    Anmelden
    1
    Anmelden

    Moin,

    das ist ein Thema, über das man sich am besten vorher Gedanken macht. ;)

    Grundsätzlich löst man das Problem auf drei Varianten:

     - unterschiedliche Zertifikate für intern und extern, wie Jochen schreibt

     - SAN-Zertifikate mit mehreren Namen drin

     - Split DNS

    Welche Lösung mit welchen Einstellungen, lässt sich in einem Forum nur schwer ermitteln. Dafür braucht es eine genaue Untersuchung vor Ort, Ermittlung der Geräte, DNS, AD und natürlich des möglichen Geldes.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort vorgeschlagen Alex Pitulice Mittwoch, 5. Februar 2014 09:40
    • Als Antwort markiert Alex Pitulice Donnerstag, 6. Februar 2014 10:07
    Samstag, 1. Februar 2014 09:02
    |
  • Question
    Anmelden
    0
    Anmelden
    Wieso kann ich eigentlich nicht unverschlüsselt im LAN vom Outlook-Client zum ES kommunizieren?
    Sonntag, 2. Februar 2014 20:15
    |
  • Question
    Anmelden
    0
    Anmelden

    Auch im LAN sollten Domänen-Kennworte nicht unverschlüsselt übertragen werden. Und um unverschlüsselt zu übertragen, muss man in Exchange einige basteln -> das ist fehlerträchtig und wird teilweise bei Updates einfach wieder rückgängig gemacht.

    Die leichteste Lösung für Dich wird sein, Split DNS zu nutzen. Das ist eh empfohlen und braucht außer Umkonfiguration keine extra Anschaffungen.

    Wenn Du nur einen Namen in Deinem Zertifikat hast, musst Du allerdings auf Autodiscover für mobile Geräte verzichten. Für Outlook kann man einen SRV-Eintrag setzen.

    Hier sind einige Infos:

    http://exchangemaster.wordpress.com/tag/split-dns/

    http://social.technet.microsoft.com/Forums/exchange/en-US/e73dbab3-3430-42c0-a4ed-7366882c4402/split-dns-how-do-i-configure-exchange-and-dns-for-the-internal-users?forum=exchange2010

    http://exchangeserverpro.com/exchange-2010-faq-autodiscover-names-ssl-certificate/

    http://www.shudnow.net/2008/11/18/autodiscover-dns-certificates-and-what-you-need-to-know/

    http://stephan-mey.de/autodiscovery-dns-eintrag-srv-erstellen/

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Montag, 3. Februar 2014 08:08
    |
  • Question
    Anmelden
    0
    Anmelden
    Trotz aller Anleitungen und Artikel, die ich hier schon verfolgt und umgesetzt habe, leibt es dabei. Die internen Outlook-Clients bemängeln, dass das Zertifikat nicht den richtigen Namen hat. Ich hatte SplitDNS schon vor langem eingerichtet. Ein Outlook-Client kann sich zwar mit mail.domainname.de verbinden, aber Outlook stellt das nach der Namensauflösung wieder um auf SRV.domainname.intern. Wie bringe ich dem Exchange bei, dass er auf mail.domainname.de hören soll?
    Samstag, 1. März 2014 10:59
    |