Exchange 2013: Outlook Anbindung von nicht Domänenmitglieder

Naja, die Lösung mit HTTPs; ich verwende aktuell ja nur HTTP; also ohne Verschlüsselung; oder eine Verbindung über ganz normales TCP/IP.
Sorry, ich muss ehrlich sagen, dass ich hier noch zu wenig weiß. Geht außerhalb einer Domäne eine "normale" Anbindung an Exchange über TCP/IP nicht? Geht das nur via Outlook Anywhere (RPC over HTTP(s))?

Ich habe es bisher nicht geschafft, dass der Client das Zertifikat akzeptiert. Gebe ich im Browser des nicht Domänenmitglieds den Exchange mit OWA oder ECP ein, erhalte ich die Warnung, dass der Gegenstelle nicht vertraut wird. Wenn ich die Clients manuell mit RPC over HTTPs verbinde, erscheint beim Outlookstart, dass keine Verbindung zum Exchange aufgebaut werden kann (nicht die Zertifikatswarnung, die ich wegklicken kann, wie ich es von einem Domänenmitglied kenne).
Ich vermute deshalb, dass der gescheiterte Verbindungsversuch des nicht Domänenmitglieds am Zertifikat liegt.

Wäre folgendes eine Abhilfe:
Am Server 2 Hyper-Vs; 1x mit DC/DNS/CA und 1x nur mit Exchange (wahrscheinlich auch die nachhaltigste Lösung) zu installieren.

Ist es möglich dem nicht Domänenmitglied beizubringen, dass er das selbsterstellte Zertifikat der CA akzeptiert?
Ich habe hier schon viel probiert, bin aber nicht zu einem Ergebnis gekommen.
Mein letzter Versuch war in einer Testumgebung DC, DNS, Exchange UND CA auf einem System zu installieren.
Bzgl. CA hatte ich die Zertifizierungstelle und den Zertifizierungswebdienst installiert. Hier habe ich aber nach div. Versuchen immer die Meldung erhalten, dass der Client keine Verbindung zur Zeritifzierungsstelle aufbauen kann, und das Zertifikat deshalb als ungültig angesehen wurde.
Anschließend habe ich dann versucht den Rollendienst "Zertifikatregistrierungs-Webdienst" zu installieren, weil ich mir dadurch Abhilfe erhoffte. Leider hat mir dass dann den Exchange irgendwie zerschossen (kein Zugriff mehr aufs Webinterface...)

Ich sehe das Sicherheitsbedürfnis im LAN für das Büro nicht allzu groß an
Bisher habe ich mit RPC over HTTP festgestellt, dass die Pflege des Abwesenheitsagenten nicht funktioniert (keine Verbindung zum Exchange möglich); das liegt aber wohl auch am Autodiscover, oder?

Ok, vll. hab ich mich blöd ausgedrückt:
Wenn ich bei nem Outlook 2010 Client der in der Domäne ist und an Exchange (zumindest 2010) angebunden ist, den Verbindungsstatus ansehe, dann steht hier nicht wie in meinem Screenshot HTTP sondern TCP/IP.
Daher schließe ich, dass mein nicht Domänenmitglied anders verbunden ist (Outlook Anywhere) als mein Domänenmitglied (MAPI, oder?).
Ist es möglich oder nötig meine im lokal befindlichen nicht Domänenmitglieder mit MAPI anzubinden? Also gibt es Nachteile?
Eines der beiden Protokolle könnte ich dann im Exchangeadmin deaktivieren...

Du hast recht, ich meine das Serverzertifikat. Weder mit dem selbstsignierten, das bei der Exchange Installation generiert wird, noch mit einem selbst erstellten nach installation der CA (kann aber gut sein, dass ich hier irgendwo nen Fehler gemacht habe) hat es bei mir geklappt.

sehe ich ein, das ist mein Ziel.

Das habe ich noch nicht ganz verstanden, aber kann ich mir hoffentlich noch ergoogeln.

fail Danke für den Hinweis.
Für ein kleines Büro wäre dann Hyper V mit 1x DC+DNS und 1x Exchange + gekauften Zertifikat am Besten, oder?
3. Server mit CA geht ja wieder in die Kosten da zum einem mehr Hardware und zum anderen die 2012R2 Standard Lizenz nur 2x Hyper V erlaubt...d.h. es wären zusätzliche Lizenzen möglich.
Kannst Du mir einen Hinweis geben, wo ich ein Zertifikat kaufen kann (seriös, günstig und zuverlässig?)

Wobei ich irgendwie immer noch nicht 100%ig davon überzeug davon bin, dass ich für meinen Fall (kleines Büro) unbedingt eine SSL Verschlüsselung also Zertifikat benötige? Lokal kann ich doch unverschlüsselt mit HTTP arbeiten; Für Active Sync kann ich das selbstsignierte vom Exchange verwenden - beim einrichten am Handy erscheint nur zu Beginn die Warnung mit dem Zertifikat - anschließend werden die Daten ja verschlüsselt übertragen. Dem Zertifikat kann ich vertrauen, weil ich ja weiß, dass es von meinem Exchange kommt.
Gerne würde ich es wie hier beschrieben machen:
http://www.exchange2010.at/archive/2011/07/10/zertifikat-oder-nicht-zer ...
nur mit dem Unterschied, dass die Clients NICHT in der Domäne sind. Das muss doch machbar und für den Zweck auch in Ordnung sein, oder?

OK - Vielen DANK!!! Ich versuche die anderen Baustellen zu schließen und mich dann um das Thema zu kümmern...bzw. läuft es anschl. eh einwandfrei.

d.h. es würde das "kleinste" SSL Zertifikat von Hosteurope
https://www.hosteurope.de/Server/Addons/SSL-Zertifikate/Host-Europe-SSL/
für jährlich 30€
bzw. das von df
http://www.df.eu/de/ssl-zertifikate/produktdetails/
rapidSSL für 1,99€/Monat
ausreichen,oder?

Bei beiden kann ich dann für meinen Exchangeserver (w2012-exchange.mydomain.local) ein Zertifikat ausstellen, dass ich in der Exchangeverwaltungsconsole installiere und bei den nicht Domänenmitgliedern bei den Vertrauenwürdigen Stammzeritifikaten installiere?
Für die statische IP (für Zugriff über ActiveSync) brauche ich kein eigenes Zertifikat, weil ich hier beim einrichten die Warnung einmal bestätige und das Ganze dann reibungslos läuft?

(Sorry der blöden Nachfrage, aber ich habe hier im Forum auch schon von Fällen gelesen, die das Zertifikat für die falsche Domain oder den falschen Host ausgestellt hatten...)

Danke - das macht mir wieder Mut

alles klar!
Vielen Dank, Dani,

Gruß,
Malungo

sorry, bei der praktischen Umsetzung ergeben sich jetzt doch noch Fragen:
Auf meinem 1. Hyper-V läuft ja AD und DNS. Die AD Domain nennt sich xyz.local; hierfür ist auch der DNS Server eingerichtet.
Die Domain für den ich den Exchange verwende nennt sich xyz.com.
Bin mir nicht ganz sicher, ob die AD Domain nicht doch gleich der externen Domain (xyz) nennen soll. Hab u.a. hier nachgelesen: http://www.msxfaq.de/konzepte/dns.htm (VOIP/SIP will ich aber gar nicht nutzten => es muss .local eigentlich reichen?)
Wenn die doch identisch sein sollen muss ich meine 2 HyperVs nochmal vollständig neu aufsetzen.

Mein ISP hat mit meinem Provider (1&1) bei dem ich die Domain (xyz.com) gehostet habe nichts zu tun.

Eigentlich dachte ich, ich erstelle bei 1&1 eine subdomain für xyz.com also z.B. exchange.xyz.com und ordne dieser Subdomain die statische IP-Adresse meines ISP zu. Da mein Zertifikat für exchange.xyz.com ausgestellt wurde, dürfte ich hier kein SSL Problem bei einer Verbindung über ActiveSync bekommen. Oder hätte ich noch eine andere Möglichkeit?

Du schreibst, dass ich einen Eintrag im DNS Server anlegen soll?
Sprich eine neue Forward-Lookupzone für xyz.com mit einem Host exchange mit der lokalen IP des Exchangeservers (damit der Name für das Zertifikat passt)? Damit auch die Website usw. noch von intern erreichbar ist, trage ich für den host www.xyz.com die externe IP welche zur Website des Providers führt ein. Damit es auch ohne www funktioniert erstelle ich noch einen Host (a) mit der IP zur Website (identisch übergeordnetem Ordner).
Habe ich das richtig verstanden? Alterntiv könnte man auch die hosts der clients anpassen - aber im DNS ists natürlich komfortabler, wenn ich mit der Einstellung keine Probleme zu erwarten habe.

Zudem schreibst Du ich soll beim ISP einen Reverse-Eintrag mit exchange.xyz.com erstellen. Zur statischen IP habe ich bereits einen reverse-Eintrag des ISP; der aber natürlich nicht exchange.xyz.com heißt. Kann nicht auch dieser verwendet werden (ich habe gelesen, dass die Mailserver nur verlangen, dass ein reverse Eintrag existiert; muss dieser zwingend exchange.xyz.com heißen?)
Oder liege ich mit meiner o.g. Annahme richtig bzgl. der Subdomain die ich bereits angelegt habe? Wie sonst könnte ich via ActiveSync ohne Zertifikatswarnung auf den Exchange zugreifen?
Wenn ich richtig recherchiert habe ist der Reverse-Eintrag notwendig, damit andere Mailserver meine Mails auch zuverlässig annehmen - und diese nicht als Spam behandelt werden.
Muss ich mir darüber überhaupt den Kopf zerbrechen wenn ich die Mails via 1&1 Smarthost versende?

...wahrscheinlich denke ich schon wieder zu kompliziert?


Viele Grüße,
Malungo

ok, aber wie kann ich dann meinen Clients beibringen, dass exchange.xyz.com über die interne IP-Adresse erreichbar ist - ohne dass ich im DNS die Zone der externen Domain abbilde?
Macht man das wirklich nur über die hosts-Datei auf allen Clients?

In meinem Testbetrieb hat die Abbildung der eigenen Zone eigentlich gut funktioniert (ok, der Exchange war hier nicht wirklich extern zum Empfangen angebunden) - wahrscheinlich würde es im Echtbetrieb dann zu Problemen kommen (die ich aktuell noch nicht kenne)