none
SBS 2011 mit Exchange 2010: Suche Hilfe für "Konfiguration Zertifikat für remote.meinedomain.ch wie auch für Outlook 2010 sowohl extern und intern" RRS feed

  • Frage

  • Hallo,

    ich suche eine Anleitung um folgendes Szenario zu lösen:

    Vorhanden:

    - 1 Webserver extern gehostet mit Content (DNS: www.meinedomain.ch)

    - 1 SBS 2011 Server mit Exchange 2010 auf einer fixen externen IP (DNS: remote.meinedomain.ch & MX-Eintrag für die Emails)

    - 1 Zertifikat gekauft bei Verisign für remote.meinedomain.ch

     

    Bisher funktioniert einwandfrei:

    - Email über OWA (remote.meinedomain.ch)

     

    Auch funktioniert - aber mit Zertifikatsfehlern;

    - Email über OWA von intern (https://servername/owa)

    - Email mit Outlook von extern (sucht Zertifikat bei autodiscover.meinedomain.ch)

    - Email mit Outlook von intern (konnte ich noch nicht probieren - wahrscheinlich auch problematisch)

     

    Meine bereits gefundenen Lösungswege:

    - Neues Zertifikat mit *.meinedomain.ch kaufen. -> möchte ich nicht, da relativ teuer...

    - http://support.microsoft.com/kb/940726/en-us Diesen Guide abarbeiten. Habe ich versucht, bin jedoch gestolpert über:

    --- Ist CAS_Server_Name nun servername.meinedomain.local ???</var>

    --- Ist https://mail.contoso.com nun https://remote.meindomain.ch ???

    Mit diesen beiden Vermutungen habe ich es ausprobiert - Ergebnis: Noch mehr Fehlermerldungen :-(

     

    Ich denke, dass es noch einige Firmen gibt und geben wird, die exakt diese Anforderungen stellen werden. Anscheinend war und ist es mit SBS 2008 und Exchange 2007 genau dieselbe Problematik und ich wäre froh, wenn jemand mir und weiteren Nutzern eine Schritt-für-Schritt-Anleitung für alle obigen Probleme geben könnte. Wichtig wäre auch eine verständliche Sprache - evtl. auch mit den genannten Beispielen wie "servername" "meinedomain.ch" usw...

     

    Ich bedanke mich im Voraus!

    Mittwoch, 26. Januar 2011 18:01

Antworten

  • Hi Sven,
     
    > ich suche eine Anleitung um folgendes Szenario zu lösen:
    >
    > Vorhanden:
    >
    > - 1 Webserver extern gehostet mit Content (DNS: www.meinedomain.ch)
    > - 1 SBS 2011 Server mit Exchange 2010 auf einer fixen externen IP
    > (DNS: remote.meinedomain.ch & MX-Eintrag für die Emails)
    > - 1 Zertifikat gekauft bei Verisign für remote.meinedomain.ch
    >
    > Bisher funktioniert einwandfrei:
    > - Email über OWA (remote.meinedomain.ch)
    >
    > Auch funktioniert - aber mit Zertifikatsfehlern;
    > - Email über OWA von intern (https://servername/owa)
    > - Email mit Outlook von extern (sucht Zertifikat bei
    > autodiscover.meinedomain.ch)
    > - Email mit Outlook von intern (konnte ich noch nicht probieren -
    > wahrscheinlich
    > auch problematisch)
    >
    > Meine bereits gefundenen Lösungswege:
    > - Neues Zertifikat mit *.meinedomain.ch kaufen. -> möchte ich nicht, da
    > relativ teuer...
    > - http://support.microsoft.com/kb/940726/en-us Diesen Guide abarbeiten.
    > Habe ich
    > versucht, bin jedoch gestolpert über:
    > --- Ist CAS_Server_Name nun servername.meinedomain.local ???</var>
    > --- Ist https://mail.contoso.com nun https://remote.meindomain.ch ???
    > Mit diesen beiden Vermutungen habe ich es ausprobiert - Ergebnis: Noch
    > mehr
    > Fehlermerldungen :-(
    >
    > Ich denke, dass es noch einige Firmen gibt und geben wird, die exakt diese
    > Anforderungen
    > stellen werden. Anscheinend war und ist es mit SBS 2008 und Exchange 2007
    > genau dieselbe
    > Problematik und ich wäre froh, wenn jemand mir und weiteren Nutzern eine
    > Schritt-für-Schritt-Anleitung für alle obigen Probleme geben könnte.
    > Wichtig wäre auch eine
    > verständliche Sprache - evtl. auch mit den genannten Beispielen wie
    > "servername" "meinedomain.ch"
    > usw...
     
    ganz einfach:
     
    Nutze die Wizzards des SBS, hier im Speziellen:
     
    + Mit dem Internet verbinden
    + Internetadresse einrichten
    + Vertrauenswürdiges Zertifikat hinzufügen
     
    und verwende ausschliesslich(!) als Zugang-URL:
     
    remote.meinedomain.ch
     
     
    Für die Fehlermeldung bzgl. Autodiscover bei externen Clients musst Du
    entweder ein Multi-SAN-Zertifikat kaufen (hier: remote.meinedomain.ch +
    autodiscover.meinedomain.ch) oder BESSER: ein SRV-Eintrag bei Deinem
    Provider eintragen (lassen) mittels folgender Vorgabe:
     
    A new feature is available that enables Outlook 2007 to use DNS Service
    Location (SRV) records to locate the Exchange Autodiscover service
    http://support.microsoft.com/kb/940881/en-us
    -> How to use the new DNS SRV lookup method to locate the Exchange 2007
    Autodiscover service
     
    Bzgl. Deinen Vorgaben wären die zugrundeliegenden Daten z.B. wie folgt:
     
    Service: _autodiscover
    Protocol: _tcp
    Port Number: 443
    Host: remote.meinedomain.ch
     
     
    Solltest Du weitere Fragen bzgl. der exakten Einrichtung eines SBS haben,
    würde ich Dich bitten mit einem Experten Deiner Wahl kontakt aufzunehmen,
    der Dich in die Hintergründe eines SBS einführt.
     
     
    Allgemeine Informationen findest Du hier:
     
    TechNet - Windows Small Business Server
    http://technet.microsoft.com/en-us/library/cc514417.aspx
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    • Als Antwort markiert SvenBlum Donnerstag, 27. Januar 2011 20:47
    Donnerstag, 27. Januar 2011 08:17
    Moderator

Alle Antworten

  • Hi Sven,
     
    > ich suche eine Anleitung um folgendes Szenario zu lösen:
    >
    > Vorhanden:
    >
    > - 1 Webserver extern gehostet mit Content (DNS: www.meinedomain.ch)
    > - 1 SBS 2011 Server mit Exchange 2010 auf einer fixen externen IP
    > (DNS: remote.meinedomain.ch & MX-Eintrag für die Emails)
    > - 1 Zertifikat gekauft bei Verisign für remote.meinedomain.ch
    >
    > Bisher funktioniert einwandfrei:
    > - Email über OWA (remote.meinedomain.ch)
    >
    > Auch funktioniert - aber mit Zertifikatsfehlern;
    > - Email über OWA von intern (https://servername/owa)
    > - Email mit Outlook von extern (sucht Zertifikat bei
    > autodiscover.meinedomain.ch)
    > - Email mit Outlook von intern (konnte ich noch nicht probieren -
    > wahrscheinlich
    > auch problematisch)
    >
    > Meine bereits gefundenen Lösungswege:
    > - Neues Zertifikat mit *.meinedomain.ch kaufen. -> möchte ich nicht, da
    > relativ teuer...
    > - http://support.microsoft.com/kb/940726/en-us Diesen Guide abarbeiten.
    > Habe ich
    > versucht, bin jedoch gestolpert über:
    > --- Ist CAS_Server_Name nun servername.meinedomain.local ???</var>
    > --- Ist https://mail.contoso.com nun https://remote.meindomain.ch ???
    > Mit diesen beiden Vermutungen habe ich es ausprobiert - Ergebnis: Noch
    > mehr
    > Fehlermerldungen :-(
    >
    > Ich denke, dass es noch einige Firmen gibt und geben wird, die exakt diese
    > Anforderungen
    > stellen werden. Anscheinend war und ist es mit SBS 2008 und Exchange 2007
    > genau dieselbe
    > Problematik und ich wäre froh, wenn jemand mir und weiteren Nutzern eine
    > Schritt-für-Schritt-Anleitung für alle obigen Probleme geben könnte.
    > Wichtig wäre auch eine
    > verständliche Sprache - evtl. auch mit den genannten Beispielen wie
    > "servername" "meinedomain.ch"
    > usw...
     
    ganz einfach:
     
    Nutze die Wizzards des SBS, hier im Speziellen:
     
    + Mit dem Internet verbinden
    + Internetadresse einrichten
    + Vertrauenswürdiges Zertifikat hinzufügen
     
    und verwende ausschliesslich(!) als Zugang-URL:
     
    remote.meinedomain.ch
     
     
    Für die Fehlermeldung bzgl. Autodiscover bei externen Clients musst Du
    entweder ein Multi-SAN-Zertifikat kaufen (hier: remote.meinedomain.ch +
    autodiscover.meinedomain.ch) oder BESSER: ein SRV-Eintrag bei Deinem
    Provider eintragen (lassen) mittels folgender Vorgabe:
     
    A new feature is available that enables Outlook 2007 to use DNS Service
    Location (SRV) records to locate the Exchange Autodiscover service
    http://support.microsoft.com/kb/940881/en-us
    -> How to use the new DNS SRV lookup method to locate the Exchange 2007
    Autodiscover service
     
    Bzgl. Deinen Vorgaben wären die zugrundeliegenden Daten z.B. wie folgt:
     
    Service: _autodiscover
    Protocol: _tcp
    Port Number: 443
    Host: remote.meinedomain.ch
     
     
    Solltest Du weitere Fragen bzgl. der exakten Einrichtung eines SBS haben,
    würde ich Dich bitten mit einem Experten Deiner Wahl kontakt aufzunehmen,
    der Dich in die Hintergründe eines SBS einführt.
     
     
    Allgemeine Informationen findest Du hier:
     
    TechNet - Windows Small Business Server
    http://technet.microsoft.com/en-us/library/cc514417.aspx
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    • Als Antwort markiert SvenBlum Donnerstag, 27. Januar 2011 20:47
    Donnerstag, 27. Januar 2011 08:17
    Moderator
  • Hoi Tobias

     

    Besten Dank für Deine ausführliche Antwort und den hilfreichen Link. Ich habe heute gemäss Deiner Anleitung konfiguriert und war erfolgreich. Ein paar Anmerkungen aus meiner Praxis:

     

    1) Alle Zugriffe von intern kann man auch "extern" auslösen. Das ist etwas weniger performant, aber verhindert Zertifikatsfehler. Z.B. OWA über remote.meinedomain.ch/owa anstatt servername/owa. Hat niemand aktiv bemerkt, dass der Link im companyweb auf einmal anders lautete...

    2) Die DNS-Einträge waren etwas tricky. Es hat schlussendlich erst funktioniert, als ich den (Stern) *.meinedomain.ch entfernt habe und den www.meinedomain.ch explizit definierte. Am Ende waren es genau 4 Einträge: www (auf den gehosteten Server), remote und MX (auf den hauseigenen Server) und den Eintrag für die Umleitung des autodiscover.

     

    Ich bedanke mich für die kompetente Antwort und wünsche eine gute Zeit bis auf das nächste virtuelle Zusammentreffen.

    Sven

    Donnerstag, 27. Januar 2011 20:46
  • Hallo Tobias,

    ich habe auch das problem das bei meinen icht domain clients die zertifikatsmeldung kommt das der name autodiscover.domain nicht im zertifikat steht.

    ich habe alles mit dem assis eingerichtet. das zertifikat ist unter den vertrauenswürdigen zert. stellen am client installiert. der von dir beschriebne srv record ist eingetragen .... es funkt nicht!

    hab keine idee wo ich noch suchen könnte.

    Mittwoch, 15. Februar 2012 11:44
  • ich habe auch das problem das bei meinen icht domain clients die zertifikatsmeldung kommt das der name autodiscover.domain nicht im zertifikat steht.

    ich habe alles mit dem assis eingerichtet. das zertifikat ist unter den vertrauenswürdigen zert. stellen am client installiert. der von dir beschriebne srv record ist eingetragen .... es funkt nicht!

    hab keine idee wo ich noch suchen könnte.

    Nicht das SBS-Zertifikat, sondern dass der zugehörigen Root-Certificate-Auhtority muss seit SBS 2008 auf den jeweiligen Clients unter "Vertrauenswürdige Zertifikatsstellen" als vertrauenswürdig eingestuft werden.

    Poste uns einmal die exkate Zertifikats-Fehlermeldung (vgl. http://blogs.technet.com/blogfiles/sbs/WindowsLiveWriter/TroubleshootingCertificateMismatchWarnin_DEDC/clip_image004_2.jpg)

    Welche Clients setzt Du ein?

    Ab Vista/Windows 7 kannst Du mal das zugehörige CAPI2-Logging aktivieren und uns die zugehörigen Fehlermeldungen posten:

    Troubleshooting PKI Problems on Windows Vista
    http://technet.microsoft.com/en-us/library/cc749296(WS.10).aspx
    -> Enabling and Saving the CAPI2 Log


    Ansonsten befolge einmal folgenden Troubleshooting-Guide:

    Troubleshooting Certificate Mismatch Warnings in Outlook 2007 Clients on Small Business Server 2008
    http://blogs.technet.com/b/sbs/archive/2010/01/05/troubleshooting-certificate-mismatch-warnings-in-outlook-2007-clients-on-small-business-server-2008.aspx

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
    Mittwoch, 15. Februar 2012 12:01
    Moderator