Exchange Server 2010 - WildCard Zertifikat

[Gerber_]

Hi zusammen,

ich bräuchte kurz eine Unterstützung zum Thema "Exchange Server 2010 mit WildCard absichern".

Ich habe bisher immer SAN Zertifikat benutzt, um Exchange Server abzusichern. Nun besteht bereits ein WildCard Zertifikat für "*Domain.de", welches für die Absicherung benutzt werden soll. Im gleichen Zug, habe ich die URLs der Exchange Dienste auf die neuen DNS Namen konfiguriert.

Autodiscover = autodiscover.domain.de
Alle weiteren Dienst = outlook.domain.de

Interner DNS ist mit SPlit DNS konfiguriert. Es wurden zwei Zonen konfiguriert:
DNS Auflösung der einzelnen Zonen wird korrekt ausgeführt.

outlook.domain.de
autodiscover.domain.de

In beiden Zonen wurde ein Host A Eintrag erstellt, welcher auf die IP Adresse des Exchange Server zeigt.

##

Folgende Fragen:

1.)
Genügt es, wenn man das Wildcard Zertifikat auf dem Exchange Server installiert und die Bindung auf https auf das neue Wildcard Zertifikat umstellt?
Oder müssen weitere Bindings durchgeführt werden?

2.)
Nun bekomme ich bei den Clients im Outlook eine Zertifikatswarnung, dass das Zertifikat nicht übereinstimmt.
Klar zu sehen ist, dass der lokale FQDN angesprochen wird (MSX.domain.loacl, dieser aber nicht im Wildcard Zertifikat vorhanden ist.

Wie muss nun vorgegangen werden? Muss nun ein CAS Server konfiguriert werden, welcher auf "outlook.domain.de" zeigt?

Die Frage stellt sich mir, wird dies dann durch das Wildcard Zertifikat abgedeckt, oder nicht?


##

OWA Zugriff funktioniert reibungslos, ohne Zertifikatswarnung
Autodiscover funktioniert auch problemlos und greift auf die neue URL zu.

Danke euch im Voraus.


Grüße Phil

 

[corvus]

Du musst es halt im Exchange selber mit den jeweiligen Diensten verknüpfen und am IIS nochmal checken ob die Bindung passt.

Also bei mir hat im Outlook immer ein neues Profil genügt, um die Warnung loszuwerden. Verbindet sich zwar weiterhin über den internen Hostnamen, aber ohne Warnung. Trat auch nicht bei allen Clients auf.

 

[Gerber_]

@corvus:

danke dir für die schnelle Antwort. Hast du auch ein Wildcard Zertifikat benutzt?

Genau dieses verhalten habe ich auch, es tritt nicht bei allen Clients auf.

Ich habe alle Dienste mit dem neuen Zertifikat verküft, bis auf POP und IMAP. Diese Dienste werden zwar nicht genutzt, allerdings bekomme ich ständig die Fehlermeldung, dass der Antragstellter "*.domain.de" kein vollqualifizierter FQDN ist.

Binding auf 443 habe ich mit dem neuen Zertifikat durchgeführt. Hier muss ich kein weiteres Binding durchführen?

Würde dies mit dem CAS Server gehen ?

 

[corvus]

Jo auch mit Wildcard. Solange alle Exchange URIs für intern wie extern den FQDN beinhalten sollte es eigentlich nix weiter brauchen.
Die von Dir besagte Meldung kenne ich nicht, wo kommt die?

Was soll ein zusätzlicher CAS nützen? Wenn nur einen Exchange hast, übernimmt der bereits diese Rolle.

mit Get-mailboxdatabase -identity DBName | fl sieht ja den FQDN des rpcClientAccessServer. Das wird der interne Hostname sein

Den musst halt mit set-mailboxdatabase abändern, damit er mit dem Zertifikat passt und entsprechende DNS-Einträge erstellen. Aber eigentlich muss der Name des CAS / CAS-Array nicht teil des Zertifikats sein. Und auch nicht aus dem Internet auflösbar.

In meinem Fall löst der auch auf den internen Namen auf, der nicht vom Zertifikat abgedeckt wird und ich bekomme in Outlook dennoch keine Meldung, zumindest wenn das Provil neu erstellt wurde.

Ist ansonsten alles nach dieser Anleitung konfiguriert?
https://www.frankysweb.de/exchange-2010-und-outlook-2016-autodiscover/

 

[Gerber_]

Danke für deine Unterstützung.

Ich habe gerade nochmals alle URLs mittels Powershell überprüft. Es sind alle korrekt umgestellt.

Zum Thema CAS:

Der Exchange Server übernimmt diese Rolle, korrekt. Aber der Exchange Server ist trotzdem unter "EXCH.domain.local" erreichbar und nicht "outlook.domain.de".
Dem CAS könnte man doch dann diesen DNS zuordnen, damit das Zertifikat nicht mehr mit dem FQDN vom lokalen Exchange, sondern mit dem FQDN von der Domain abgeglichen wird?

Oder habe ich hier einen Denkfehler?

Ja, die Anleitung ist soweit konfiguriert.
##

Die Fehlermeldung kommt, wenn ich dem Zertifikat "IMAP oder POP" Dienste zuweisen will. Er bezieht sich eben darauf, dass das Wildcard Zertifikat kein korrekter FQDN ist.

 

[corvus]

Achso die Meldung, IMAP und POP kannst ja beim Exchange Standardzertifikat belassen. Ansonsten musst Du für POP und IMAP erst einen FQDN konfigurieren, damit die das akzeptieren. Der FQDN des CAS braucht wie gesagt kein Zertifikat und da der nur fürn intern ist muss der eigentlich nicht geändert werden. Machen kannst das natürlich, sofern der nur intern aufgelöst werden kann.

Hab POP/IMAP nie gebraucht, aber hier ist ne Anleitung für die Nutzung mit einem Wildcard-Zertifikat:
https://www.lisenet.com/2014/config...ificate-for-pop-imap-on-exchange-2010-server/

 

[Gerber_]

@corvus, danke dir für deine Hilfe.

Ich denk, ich werde eine neue Bestellung einen SAN Zertifikats vornehmen und das alte Wildcard Zertifikat widerrufen.

Dann kann ich auch POP und IMAP sauber einbinden (falls es irgendwann benötigt wird).

Grüße Philipp

 

[corvus]

Ist doch vollkommen unnötig. Oben ist doch die Anleitung. Abgesehen davon, nutzt du POP und IMAP an dem Exchange überhaupt? Ich vermute mal nicht.

 

[Gerber_]

Ich habe glaube ich oft genug geschrieben, dass wir es nicht nutzen ...

Oben ist doch die Anleitung?? Anleitung für was? IMAP POP, brauch ich nciht, da ichs nicht nutze.
Wenn du die Anleitung von frankysweb meinst. Die habe ich mehrfach komplett durchgearbeitet.

Die dummen Zertifikatsfehler, welche jeder Benutzer bekommt sind einfach nicht schön.


Und Outlook Profile bei 60 Benutzern neu anlegen, muss eigentlich auch nicht sein.

 

[corvus]

Naja Profile kannste ja auch verteilen. Wobei das wie gesagt bei mir bei mal 80 Usern bei fünf zu der Meldung geführt hatte.

 

[Gerber_]

Ja, wäre natürlich auch ne Möglichkeit.

Muss ich mir nochmal genau überlegen...
Danke dir für die Hilfe.

 

[corvus]

Keine Ursache