Exchange und mehrere Zertifikate
Hallo Leute,
ich brauche noch mal Hilfe von Euch beim meinem Exchange Server 2019. Exchange läuft bei uns auf dem Server. Für Outlook hab ich auf den Clients das Zertifikat welche von Exchange selbst für den Server erstellt worden ist auf den Client kopiert bzw. durch GPO kopieren lassen. Zuvor habe ich noch die beiden DNS Einträge für Autodiscover und für Mail auf die IP Adresse der Servers in unserem DNS Server angelegt. Jetzt konnte man sich Outlook ganz einfach mit dem Exchange Server verbinden. So weit so gut das ganze. Jetzt muss sich für einige User noch ActiveSync freigeben. Somit habe ich bei unserem Provider einen CName auf unsern Server angelegt und ein Zertifikat *.MeineDomian.de erstellt. Das Zertifikat haben ich in Exchange eingebunden. Somit funktioniert das mit den Handy schon mal. Jetzt geht aber mein Outlook auf dem Client nicht mehr. Outlook beschwert sich das "Das Sicherheitszertifikat wurde von einer Firma ausgestellt, die Sie als nicht vertrauenswürdig eingestuft habe...." Was ist denn hier nun passiert ? Ich habe dort doch nichts geändert und das Zertifikat ist auch noch vorhanden auf dem Client. Des weitern ist nun auf dem Exchange Server unter Zertifikate Allgemein ein weitere Eintrag mit Autodiscover.meineDomain.de. Wo kommt der den nun auf einmal her und wie bekome ich den da raus bzw. muss er überhaupt da raus ?
Was habe ich hier falsch gemacht und wie kann ich es ändern am einfachsten ?
Danke Tanja.
ich brauche noch mal Hilfe von Euch beim meinem Exchange Server 2019. Exchange läuft bei uns auf dem Server. Für Outlook hab ich auf den Clients das Zertifikat welche von Exchange selbst für den Server erstellt worden ist auf den Client kopiert bzw. durch GPO kopieren lassen. Zuvor habe ich noch die beiden DNS Einträge für Autodiscover und für Mail auf die IP Adresse der Servers in unserem DNS Server angelegt. Jetzt konnte man sich Outlook ganz einfach mit dem Exchange Server verbinden. So weit so gut das ganze. Jetzt muss sich für einige User noch ActiveSync freigeben. Somit habe ich bei unserem Provider einen CName auf unsern Server angelegt und ein Zertifikat *.MeineDomian.de erstellt. Das Zertifikat haben ich in Exchange eingebunden. Somit funktioniert das mit den Handy schon mal. Jetzt geht aber mein Outlook auf dem Client nicht mehr. Outlook beschwert sich das "Das Sicherheitszertifikat wurde von einer Firma ausgestellt, die Sie als nicht vertrauenswürdig eingestuft habe...." Was ist denn hier nun passiert ? Ich habe dort doch nichts geändert und das Zertifikat ist auch noch vorhanden auf dem Client. Des weitern ist nun auf dem Exchange Server unter Zertifikate Allgemein ein weitere Eintrag mit Autodiscover.meineDomain.de. Wo kommt der den nun auf einmal her und wie bekome ich den da raus bzw. muss er überhaupt da raus ?
Was habe ich hier falsch gemacht und wie kann ich es ändern am einfachsten ?
Danke Tanja.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 12802304865
Url: https://administrator.de/forum/exchange-und-mehrere-zertifikate-12802304865.html
Ausgedruckt am: 25.12.2024 um 04:12 Uhr
31 Kommentare
Neuester Kommentar
Nabend.
Zunächst einmal solltest mal skizzieren, wo du welches Zertifikat erstellt hast.
Ein selbst-signiertes Zertifikat sorgt bei Client Verbindungen immer für Fehlermeldungen bezüglich nicht vertrauenswürdiger Zertifizierungsstelle.
Es empfiehlt sich bei Exchange ein SAN Zertifikat bei einem gängigen Zertifizierer (https://interssl.com) / https://psw-group.de) zu kaufen. Dieses ist dann immer 12 Monate gültig und muss somit regelmäßig erneuert und ausgetauscht werden.
Wenn Zertifikate bei einem Exchange Server ausgetauscht werden, empfiehlt es sich den IIS Dienst neu zu starten.
Wurden denn auch Dienste den erzeugten Zertifikaten mittels Powershell oder EAC zugewiesen?
Gruß
Marc
Zunächst einmal solltest mal skizzieren, wo du welches Zertifikat erstellt hast.
Ein selbst-signiertes Zertifikat sorgt bei Client Verbindungen immer für Fehlermeldungen bezüglich nicht vertrauenswürdiger Zertifizierungsstelle.
Es empfiehlt sich bei Exchange ein SAN Zertifikat bei einem gängigen Zertifizierer (https://interssl.com) / https://psw-group.de) zu kaufen. Dieses ist dann immer 12 Monate gültig und muss somit regelmäßig erneuert und ausgetauscht werden.
Wenn Zertifikate bei einem Exchange Server ausgetauscht werden, empfiehlt es sich den IIS Dienst neu zu starten.
Wurden denn auch Dienste den erzeugten Zertifikaten mittels Powershell oder EAC zugewiesen?
Gruß
Marc
Moin...
wenn du es nicht hinbekommest, schreib mir ne PN, du kannst mich dann eben anrufen, und wir machen das in einigen Minuten zusammen!
Tanja
Frank
Zitat von @Dumpfbacke:
Mir ist soeben aufgefallen das auf dem Exchange Server selbst wenn ich dort über https://Server/ecp aufrufe das Zertifikat auch nicht mehr gültig ist ? Wie kann das den sein ich habe doch nichts daran geändert ?
natürlich hast du etwas gemacht,, du warst am Server Mir ist soeben aufgefallen das auf dem Exchange Server selbst wenn ich dort über https://Server/ecp aufrufe das Zertifikat auch nicht mehr gültig ist ? Wie kann das den sein ich habe doch nichts daran geändert ?
wenn du es nicht hinbekommest, schreib mir ne PN, du kannst mich dann eben anrufen, und wir machen das in einigen Minuten zusammen!
Tanja
Moin...
Das Zertifikat (intern) wurde von Exchange beim installieren anscheinend automatisch erzeugt. Das Externe wurde beim Provider erstellt. Wo ich das von Provider noch nicht installiert hatte funktioniert aber alles bestens. Ich konnte Outlook ohne Fehlermeldung starten. Und wenn ich per Browser zugegriffen habe wurde das Zertifikat auch als gültig angezeigt da ich es ja vom Server auf den Client kopiert hatte. Es funktioniert alles, Outlook und per Web bis ich das blöde Zertifikat vom Provider also *.MeineDomain.de installiert haben. Nach dem ich das Zertifikat gelöscht haben und auch den Server neu gestartet habe funktioniert es leider auch nicht mehr. Das verstehe ich nun aber mal überhaupt nicht. Ich habe doch das Zertifikat gelöscht und dann sollte doch alles wie vorher sein ? Es sollte nur noch da von Exchange erstelle vorhanden sein und es sollte wie vorher funktionieren.
nun, du machst die gleichen kleinen fehler wie viele!
das zertifikat einfach zu löschen, bringt nix, du hast es ja an diverse dienste angebunden!
hast du das auch geändert?
als du das externe zertifikat vom Provider eingerichtet hat, hast du doch bestimmt ein Splitt DNS angelegt, oder?
mein angebot steht noch, mach bitte keine weiteren fehler aus panik!
Tanja
Frank
Zitat von @Dumpfbacke:
richtig!Zitat von @radiogugu:
Nabend.
Zunächst einmal solltest mal skizzieren, wo du welches Zertifikat erstellt hast.
Ein selbst-signiertes Zertifikat sorgt bei Client Verbindungen immer für Fehlermeldungen bezüglich nicht vertrauenswürdiger Zertifizierungsstelle.
Nabend.
Zunächst einmal solltest mal skizzieren, wo du welches Zertifikat erstellt hast.
Ein selbst-signiertes Zertifikat sorgt bei Client Verbindungen immer für Fehlermeldungen bezüglich nicht vertrauenswürdiger Zertifizierungsstelle.
Das Zertifikat (intern) wurde von Exchange beim installieren anscheinend automatisch erzeugt. Das Externe wurde beim Provider erstellt. Wo ich das von Provider noch nicht installiert hatte funktioniert aber alles bestens. Ich konnte Outlook ohne Fehlermeldung starten. Und wenn ich per Browser zugegriffen habe wurde das Zertifikat auch als gültig angezeigt da ich es ja vom Server auf den Client kopiert hatte. Es funktioniert alles, Outlook und per Web bis ich das blöde Zertifikat vom Provider also *.MeineDomain.de installiert haben. Nach dem ich das Zertifikat gelöscht haben und auch den Server neu gestartet habe funktioniert es leider auch nicht mehr. Das verstehe ich nun aber mal überhaupt nicht. Ich habe doch das Zertifikat gelöscht und dann sollte doch alles wie vorher sein ? Es sollte nur noch da von Exchange erstelle vorhanden sein und es sollte wie vorher funktionieren.
das zertifikat einfach zu löschen, bringt nix, du hast es ja an diverse dienste angebunden!
hast du das auch geändert?
als du das externe zertifikat vom Provider eingerichtet hat, hast du doch bestimmt ein Splitt DNS angelegt, oder?
mein angebot steht noch, mach bitte keine weiteren fehler aus panik!
Tanja
Frank
Moin...
das kann keiner lesen, bitte den Code Tag nutzen:
Frank
Zitat von @Dumpfbacke:
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\MeineDomain.de_private_key.pfx -Encoding byte -ReadCount 0)) -Password (convertto-securestring -string "geheim" -asplaintext -force)
Zitat von @radiogugu:
Wie hast du denn das Zertifikat importiert? Welche Dienste wurden dem extern erworbenen Zertifikat denn zugewiesen?
Frank bot dir seine Hilfe an. Schneller kriegst du den Exchange nicht zum "Fliegen" als mit seiner Unterstützung
Gruß
Marc
Wie hast du denn das Zertifikat importiert? Welche Dienste wurden dem extern erworbenen Zertifikat denn zugewiesen?
Frank bot dir seine Hilfe an. Schneller kriegst du den Exchange nicht zum "Fliegen" als mit seiner Unterstützung
Gruß
Marc
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\MeineDomain.de_private_key.pfx -Encoding byte -ReadCount 0)) -Password (convertto-securestring -string "geheim" -asplaintext -force)
das kann keiner lesen, bitte den Code Tag nutzen:
mport-ExchangeCertificate -FileData
Frank
Moin...
Nachtrag...
Frage, was hast du den danach gemacht, die zuweisung für IIS SMTP usw...?
Frank
Zitat von @Dumpfbacke:
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\MeineDomain.de_private_key.pfx -Encoding byte -ReadCount 0)) -Password (convertto-securestring -string "geheim" -asplaintext -force)
Zitat von @radiogugu:
Wie hast du denn das Zertifikat importiert? Welche Dienste wurden dem extern erworbenen Zertifikat denn zugewiesen?
Frank bot dir seine Hilfe an. Schneller kriegst du den Exchange nicht zum "Fliegen" als mit seiner Unterstützung
Gruß
Marc
Wie hast du denn das Zertifikat importiert? Welche Dienste wurden dem extern erworbenen Zertifikat denn zugewiesen?
Frank bot dir seine Hilfe an. Schneller kriegst du den Exchange nicht zum "Fliegen" als mit seiner Unterstützung
Gruß
Marc
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\MeineDomain.de_private_key.pfx -Encoding byte -ReadCount 0)) -Password (convertto-securestring -string "geheim" -asplaintext -force)
Nachtrag...
Frage, was hast du den danach gemacht, die zuweisung für IIS SMTP usw...?
Frank
Moin...
dafür sollst du das zertifikat vom Provider nutzen, und Splitt DNS einrichten! das ganze dauert eigentlich nicht mehr als 10 Minuten.
da hast du mal was zu Lesen, bitte auch Teil 2
Frank
Zitat von @Dumpfbacke:
Dann hatte ich mal bei dem "neuen" Zertifikat unter Server Zertifikate unter Dienste den Hacken bei IIS gesetzt und dann funktioniert es mit den Handy super. Als es dann intern nicht mehr ging habe ich den Hacken raus gemacht und bei dem Punkt (unter Zertifikate) Firma Mail Server den Hacken rein gemacht bei IIS da ich vermute das er dort vorher gesetzt war. War das eventuell falsch ?
Danke Tanja
ja... den eigentlich brauchst du nur ein Zertifikat, an dem alle Dienste ( IIS / SMTP / POP / IMAP) gebunden sind!Dann hatte ich mal bei dem "neuen" Zertifikat unter Server Zertifikate unter Dienste den Hacken bei IIS gesetzt und dann funktioniert es mit den Handy super. Als es dann intern nicht mehr ging habe ich den Hacken raus gemacht und bei dem Punkt (unter Zertifikate) Firma Mail Server den Hacken rein gemacht bei IIS da ich vermute das er dort vorher gesetzt war. War das eventuell falsch ?
Danke Tanja
dafür sollst du das zertifikat vom Provider nutzen, und Splitt DNS einrichten! das ganze dauert eigentlich nicht mehr als 10 Minuten.
da hast du mal was zu Lesen, bitte auch Teil 2
Frank
Sind eigentliche alle coolen Typen, welche sich mit Exchange auskennen mit dem Namen Frank versehen
Oder seit ihr ein und dieselbe Person
Gruß
Marc
Moin...
Oder seit ihr ein und dieselbe Person
nein.. sind wir nicht.
Frank von frankysweb hat sicher mehr drauf als ich, aber ich weiß wo ich es nachlesen kann
Gruß
Marc
Frank
Zitat von @radiogugu:
Sind eigentliche alle coolen Typen, welche sich mit Exchange auskennen mit dem Namen Frank versehen
ja... so ist es Sind eigentliche alle coolen Typen, welche sich mit Exchange auskennen mit dem Namen Frank versehen
Oder seit ihr ein und dieselbe Person
Frank von frankysweb hat sicher mehr drauf als ich, aber ich weiß wo ich es nachlesen kann
Gruß
Marc
Frank
Moin @Dumpfbacke,
ähm, du hast jetzt aber hoffentlich nicht deinen Exchange einfach per NAT ins Internet gehängt oder?
Wenn ja, dann kann ich dir nur empfehlen dies schleunigst wieder rückgängig zu machen, da sowas mittlerweile extrem gefährlich ist!
---
Zu dem Rest.
Das mit dem Wildcardzertifikat war so schon mal gar nicht so schlecht.
Du musst bei einer solchen Konstellation als nächstes die interne als auch die externe URL der Virtuellen Verzeichnisse bei deinem Exchange auf den externen FQDN (z.B. "mail.meinedomian.de") umstellen.
Dann musst du lediglich noch sicherstellen, dass dieser externe FQDN intern mit der internen IP des Exchange aufgelöst wird und schon ist der Fisch geputzt. 😉
Gruss Alex
P.S. Sorry für die Kürze, muss gleich mit meinen Hausdrachen schnell noch in den Laden flitzen. 🤪
Danach kann ich dir aber gerne etwas detaillierter helfen.
P.S.P.S Bitte auch die korrekte Konfiguration von Autodiscovery nicht vergessen!
So weit so gut das ganze. Jetzt muss sich für einige User noch ActiveSync freigeben. Somit habe ich bei unserem Provider einen CName auf unsern Server angelegt und ein Zertifikat *.MeineDomian.de erstellt. Das Zertifikat haben ich in Exchange eingebunden. Somit funktioniert das mit den Handy schon mal.
ähm, du hast jetzt aber hoffentlich nicht deinen Exchange einfach per NAT ins Internet gehängt oder?
Wenn ja, dann kann ich dir nur empfehlen dies schleunigst wieder rückgängig zu machen, da sowas mittlerweile extrem gefährlich ist!
---
Zu dem Rest.
Das mit dem Wildcardzertifikat war so schon mal gar nicht so schlecht.
Du musst bei einer solchen Konstellation als nächstes die interne als auch die externe URL der Virtuellen Verzeichnisse bei deinem Exchange auf den externen FQDN (z.B. "mail.meinedomian.de") umstellen.
Dann musst du lediglich noch sicherstellen, dass dieser externe FQDN intern mit der internen IP des Exchange aufgelöst wird und schon ist der Fisch geputzt. 😉
Gruss Alex
P.S. Sorry für die Kürze, muss gleich mit meinen Hausdrachen schnell noch in den Laden flitzen. 🤪
Danach kann ich dir aber gerne etwas detaillierter helfen.
P.S.P.S Bitte auch die korrekte Konfiguration von Autodiscovery nicht vergessen!
moin...
noch mal, ich kann dir gerne ab 17 Uhr unter die Arme greifen.... also ruf mich an!
ich denke so einiges bedarf es einer erklärung, mit du es besser verstehst.
Frank
Zitat von @Dumpfbacke:
Hallo Frank,
danke der Nachfrage aber die Lage ist leider immer noch noch schlecht bei mir. Der Link von Dir ist super denn dort steht ja viel drin zu dem Thema. Mein Problem ist jetzt das ich hier noch einen Schritt vorher hänge. Ich hänge noch bei der Split-DNS Geschichte. Also ich habe hier beim DNS unter der Forward-Lookupzonen einen neue Zone mit Firma.de angelegt. Hier habe ich dann eine CNAME für Exchange auf den Name des Exchange Server angelegt. Mittels eines Pings regiert mein Exchangeserver. Auch ein HTTPS über den Namen ist nun möglich. Das ist ja schon einmal super. Ich war erfreut darüber. Nun kommt aber leider mein neues Problem. Ich kann nun natürlich unsere Seite im Web unter https://www.Firma.de nicht mehr erreichen was ja auch logisch ist da die Seite nicht im Netzliegt und bei uns kein Eintrag vorhanden ist im DNS. Somit habe ich hier dann einen Host (A) Eintrag mittels www und der IP von unserer Seite unter der Domain angelegt. Mache ich nun ein ping auf den Namen bekomme ich unsere IP der Seite im Internet zurück. Wenn ich jetzt das ganze im Browser öffnen möchte geht es leider nicht. Die Fehlermeldung ist DNS_PROBE_FINISHED_NXDOMAIN. Er findet also den Namen nicht. Aber wieso den nicht ein Ping geht doch auch ? Da hat man ein Problem und es werden immer mehr Probleme. Ich kann mir nicht erklären warum es nicht geht. So wie ich es eingestellt habe sollte es doch funktionieren.
Danke Tanja
Hallo Frank,
danke der Nachfrage aber die Lage ist leider immer noch noch schlecht bei mir. Der Link von Dir ist super denn dort steht ja viel drin zu dem Thema. Mein Problem ist jetzt das ich hier noch einen Schritt vorher hänge. Ich hänge noch bei der Split-DNS Geschichte. Also ich habe hier beim DNS unter der Forward-Lookupzonen einen neue Zone mit Firma.de angelegt. Hier habe ich dann eine CNAME für Exchange auf den Name des Exchange Server angelegt. Mittels eines Pings regiert mein Exchangeserver. Auch ein HTTPS über den Namen ist nun möglich. Das ist ja schon einmal super. Ich war erfreut darüber. Nun kommt aber leider mein neues Problem. Ich kann nun natürlich unsere Seite im Web unter https://www.Firma.de nicht mehr erreichen was ja auch logisch ist da die Seite nicht im Netzliegt und bei uns kein Eintrag vorhanden ist im DNS. Somit habe ich hier dann einen Host (A) Eintrag mittels www und der IP von unserer Seite unter der Domain angelegt. Mache ich nun ein ping auf den Namen bekomme ich unsere IP der Seite im Internet zurück. Wenn ich jetzt das ganze im Browser öffnen möchte geht es leider nicht. Die Fehlermeldung ist DNS_PROBE_FINISHED_NXDOMAIN. Er findet also den Namen nicht. Aber wieso den nicht ein Ping geht doch auch ? Da hat man ein Problem und es werden immer mehr Probleme. Ich kann mir nicht erklären warum es nicht geht. So wie ich es eingestellt habe sollte es doch funktionieren.
Danke Tanja
Hier habe ich dann eine CNAME für Exchange auf den Name des Exchange Server angelegt.
ich weiß nicht was du gemachst hast, aber Split DNS war es nicht wohl noch mal, ich kann dir gerne ab 17 Uhr unter die Arme greifen.... also ruf mich an!
ich denke so einiges bedarf es einer erklärung, mit du es besser verstehst.
Frank
Moin @Dumpfbacke,
was für eine Firewall/Security-Gateway verwendet ihr und ist auf dieser auch ein Web-Proxy aktiv?
Gruss Alex
Nun kommt aber leider mein neues Problem. Ich kann nun natürlich unsere Seite im Web unter https://www.Firma.de nicht mehr erreichen was ja auch logisch ist da die Seite nicht im Netzliegt und bei uns kein Eintrag vorhanden ist im DNS. Somit habe ich hier dann einen Host (A) Eintrag mittels www und der IP von unserer Seite unter der Domain angelegt. Mache ich nun ein ping auf den Namen bekomme ich unsere IP der Seite im Internet zurück. Wenn ich jetzt das ganze im Browser öffnen möchte ( https://www.Firma.de ) geht es leider nicht. Die Fehlermeldung ist DNS_PROBE_FINISHED_NXDOMAIN. Er findet also den Namen nicht. Aber wieso den nicht ein Ping geht doch auch ? Da hat man ein Problem und es werden immer mehr Probleme. Ich kann mir nicht erklären warum es nicht geht. So wie ich es eingestellt habe sollte es doch funktionieren.
was für eine Firewall/Security-Gateway verwendet ihr und ist auf dieser auch ein Web-Proxy aktiv?
Gruss Alex
Moin...
wichtiger ist doch das verstehen von Anleitungen
Tanja hat auf dem DNS im AD die Zone Firma.de angelegt, was natürlich blödsinn ist, den sie sollte ja nur Split DNS anlegen. also wäre zu erwarten gewesen das die Zonen:
angelegt werden, wo der A Record auf die IP des Exchange zeigt (192.168.100.1) (als beispiel)
wenn ich aber die Zone Firma.de anlege, findet der browser, besser gesagt der DNS die gewünschte webseite nicht, weil ich kein A Record angelelegt wurde (WWW) mit der IP des Webservers!
im grunde hätte Tanja nur die Anleitungen richtig lesen müssen, und verstehen!
oder aber ich hätte ihr in 5 bis 10 Minuten die richtigen Grundlagen gezeigt unf erklärt, gerne auch natorlich remote, und der Drops wäre gelutscht!
Gruss Alex
Frank
Zitat von @MysticFoxDE:
was für eine Firewall/Security-Gateway verwendet ihr und ist auf dieser auch ein Web-Proxy aktiv?
was nun erstmal Latte ist, sicher aber auch später wichtig.was für eine Firewall/Security-Gateway verwendet ihr und ist auf dieser auch ein Web-Proxy aktiv?
wichtiger ist doch das verstehen von Anleitungen
Tanja hat auf dem DNS im AD die Zone Firma.de angelegt, was natürlich blödsinn ist, den sie sollte ja nur Split DNS anlegen. also wäre zu erwarten gewesen das die Zonen:
exchange.firma.de
autodiscover.firma.de
wenn ich aber die Zone Firma.de anlege, findet der browser, besser gesagt der DNS die gewünschte webseite nicht, weil ich kein A Record angelelegt wurde (WWW) mit der IP des Webservers!
im grunde hätte Tanja nur die Anleitungen richtig lesen müssen, und verstehen!
oder aber ich hätte ihr in 5 bis 10 Minuten die richtigen Grundlagen gezeigt unf erklärt, gerne auch natorlich remote, und der Drops wäre gelutscht!
Gruss Alex
Frank
Moin @Vision2015,
ist es eben nicht, weil je nach FW/SGW, sind die DNS Einträge dort eventuell viel einfacher zu setzen und wenn auf den Clients das SGW z.B. direkt als Proxy eingetragen ist, muss es eh so gemacht werden.
Gruss Alex
was nun erstmal Latte ist, sicher aber auch später wichtig.
ist es eben nicht, weil je nach FW/SGW, sind die DNS Einträge dort eventuell viel einfacher zu setzen und wenn auf den Clients das SGW z.B. direkt als Proxy eingetragen ist, muss es eh so gemacht werden.
Gruss Alex
moin...
wenn Tanja eine FW /SGW oder LB hätte, würde sie sicher damit umgehen können, und die frage, was ist Split DNS würde nicht aufkommen!
einfach mal Lesen was der TO so schreibt.
unter anderen umständen würde ich dir recht geben, wäre das sicher mit eine anlaufstelle, wenn vorhanden!
allerdings sollte auch gesagt sein, den exchange so ins Netz stellen, ist keine so gute idee.
wenigstens einen Rev. Proxy / LB etc.. wäre da nötig. die pfSense bringt sowas für lau. mit, oder Kemp beitet das bis 10 Mbit auch für lau an.
Frank
Gruss Alex
Zitat von @MysticFoxDE:
Moin @Vision2015,
ist es eben nicht, weil je nach FW/SGW, sind die DNS Einträge dort eventuell viel einfacher zu setzen und wenn auf den Clients das SGW z.B. direkt als Proxy eingetragen ist, muss es eh so gemacht werden.
sorry, aber das glaubst du ja wohl selber nicht Moin @Vision2015,
was nun erstmal Latte ist, sicher aber auch später wichtig.
ist es eben nicht, weil je nach FW/SGW, sind die DNS Einträge dort eventuell viel einfacher zu setzen und wenn auf den Clients das SGW z.B. direkt als Proxy eingetragen ist, muss es eh so gemacht werden.
wenn Tanja eine FW /SGW oder LB hätte, würde sie sicher damit umgehen können, und die frage, was ist Split DNS würde nicht aufkommen!
einfach mal Lesen was der TO so schreibt.
Also ich habe hier beim DNS unter der Forward-Lookupzonen einen neue Zone ....
ich tippe auf port forwarding... (443) nicht mehr und nicht weniger! und DNS im AD!unter anderen umständen würde ich dir recht geben, wäre das sicher mit eine anlaufstelle, wenn vorhanden!
allerdings sollte auch gesagt sein, den exchange so ins Netz stellen, ist keine so gute idee.
wenigstens einen Rev. Proxy / LB etc.. wäre da nötig. die pfSense bringt sowas für lau. mit, oder Kemp beitet das bis 10 Mbit auch für lau an.
Frank
Gruss Alex
Moin @Dumpfbacke,
danke, dir auch!
Oh, verflixt, habe eine Sache doch glatt vergessen. 😬
Du muss bei den neuen Outlooks unbedingt den folgenden Reg-Key setzen, wenn du einen reinen OnPremise Exchange hast.
(!! CMD als Benutzer und nicht explizit als Administrator starten. !!)
Dann noch zu der Sophos SG Geschichte.
Du hättest die DNS Einträge, genau so wie ich vorgeschlagen habe, besser auf dieser machen sollen.
Denn wenn bei den Clients die SG als direkter Proxy eingetragen ist und die Proxyausnahmen nicht richtig gesetzt sind, dann werden die FQDN's sämtlicher http/https Zugriffe, nicht über die AD DNS Server aufgelöst, sondern über die Sophos.
Daher, konfiguriere bitte auch den DNS Server der SG so, das diese "exchange.firma.de", "mail.firma.de" & "autodiscover.firma.de" mit der internen IP des Exchange auflöst. 😉
Zu der WAF Geschichte.
Holt euch lieber das MDM von Sophos.
Dann kannst du auch den EAS Proxy nutzen, der meiner Ansicht nach, einen Exchange einfacher und besser absichert, als die meisten WAF's die ich kenne das tun.
Und ja, die SG gehört so langsam in die Rente geschickt.
Gruss Alex
also erstes wünsche ich Euch einen guten Start ins Jahr 2024
danke, dir auch!
Outlook wollte sich einfach immer per IMAP zum Provider verbinden was ich ja nicht möchte. Ich habe das Profil auf dem Rechner sehr oft gelöscht aber es funktionierte einfach nicht. Die Mail Adresse wurde richtig erkannt. Also habe ich mal beim Provider nach dem autodiscover Eintrag gesucht, gefunden und den auch geändert da dieser vorher zum Provider ging. Das hat leider auch nicht funktioniert.
Oh, verflixt, habe eine Sache doch glatt vergessen. 😬
Du muss bei den neuen Outlooks unbedingt den folgenden Reg-Key setzen, wenn du einen reinen OnPremise Exchange hast.
(!! CMD als Benutzer und nicht explizit als Administrator starten. !!)
reg add "HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\AutoDiscover" /t REG_DWORD /v ExcludeExplicitO365Endpoint /d 1
Dann noch zu der Sophos SG Geschichte.
Du hättest die DNS Einträge, genau so wie ich vorgeschlagen habe, besser auf dieser machen sollen.
Denn wenn bei den Clients die SG als direkter Proxy eingetragen ist und die Proxyausnahmen nicht richtig gesetzt sind, dann werden die FQDN's sämtlicher http/https Zugriffe, nicht über die AD DNS Server aufgelöst, sondern über die Sophos.
Daher, konfiguriere bitte auch den DNS Server der SG so, das diese "exchange.firma.de", "mail.firma.de" & "autodiscover.firma.de" mit der internen IP des Exchange auflöst. 😉
Zu der WAF Geschichte.
Holt euch lieber das MDM von Sophos.
Dann kannst du auch den EAS Proxy nutzen, der meiner Ansicht nach, einen Exchange einfacher und besser absichert, als die meisten WAF's die ich kenne das tun.
Und ja, die SG gehört so langsam in die Rente geschickt.
Gruss Alex
Moin...
der einfache und richtige weg ist, wenn im DNS die AD die Zonen eingetragen sind....
alleine für die Fehlerbehebung, wenn jemand noch nicht so sicher beim setup ist.
1000 Wege führen noch Rom.....
Frank
Dann noch zu der Sophos SG Geschichte.
Du hättest die DNS Einträge, genau so wie ich vorgeschlagen habe, besser auf dieser machen sollen.
nein... im AD DNS ist die bessere wahl...Du hättest die DNS Einträge, genau so wie ich vorgeschlagen habe, besser auf dieser machen sollen.
Denn wenn bei den Clients die SG als direkter Proxy eingetragen ist und die Proxyausnahmen nicht richtig gesetzt sind, dann werden die FQDN's sämtlicher http/https Zugriffe, nicht über die AD DNS Server aufgelöst, sondern über die Sophos.
das kann man so machen, dazu müssen aber die Clients die Sophos aber auch als Proxy nutzen!der einfache und richtige weg ist, wenn im DNS die AD die Zonen eingetragen sind....
alleine für die Fehlerbehebung, wenn jemand noch nicht so sicher beim setup ist.
1000 Wege führen noch Rom.....
Holt euch lieber das MDM von Sophos.
ich würde eher von Sophos wegehen!Frank
Moin @Vision2015,
na ja, darüber kann man lange streiten weil es eher eine Geschmacksfrage ist. 🙃
Das ist bei einem älteren SG Setup, alles andere als unwahrscheinlich. 😉
Wie gesagt, das ist +- eine Geschmacksfrage.
Wir konfigurieren schon seit längerem bei Clients und so gut wie bei allen Servern ausser bei den DC's, als DNS Server immer das SGW, was bei unseren Kunden in den meisten Fällen eine XG(s) ist.
Der Grund ist der folgende. Bei einem ATP Event, wo das SGW z.B. die Auflösung eines FQDN's eines C&C's blockiert, sieht man normalerweise immer den internen DNS, weil dieser bei vielen Installationen die Weiterleitung der externen Auflösung übernimmt. Wenn du in dem Fall den wirklichen Verursacher des C&C Requests ausfindig machen möchtest, dann muss du schnell auf den DC flitzen, der von dem SGW fälschlicherweise wegen der DNS-Weiterleitung angemeckert wurde und in dessen DNS Logs, die übrigens per default nicht aktiviert sind und oder je nach Umgebung auch recht schnell wieder überschrieben werden, weiter suchen.
Wenn jedoch immer das SGW als DNS-Server eingetragen wird, dann siehst du z.B. in den ATP Meldung, auch gleich den eigentlichen Übeltäter. 😉
So ist das meistens auch. 😁
Nö, ich sehe keinen Grund dazu.
Denn alle unserer Kunden, die ordentlich durch sie SGW's und auch AV von Sophos geschützt sind,
hatten bisher noch nie wirklich irgendwelche nennenswerten Incidents.
Zudem finde ich die Symbiose zwischen den einzelnen Produkten mittlerweile auch sehr gut gelungen.
Mag sein, dass der Support nicht der beste ist, aber, zum einen versucht Sophos diesbezüglich mittlerweile ein paar Fehler der Vergangenheit wieder rückgängig zu machen und zum anderen sieht der Support der anderen grösseren Security Hersteller, meistens auch nicht besser aus.
Unter dem Kleidchen, sind die meisten SGW's eh ziemlich gleich. 🙃
Gruss Alex
nein... im AD DNS ist die bessere wahl...
na ja, darüber kann man lange streiten weil es eher eine Geschmacksfrage ist. 🙃
Denn wenn bei den Clients die SG als direkter Proxy eingetragen ist und die Proxyausnahmen nicht richtig gesetzt sind, dann werden die FQDN's sämtlicher http/https Zugriffe, nicht über die AD DNS Server aufgelöst, sondern über die Sophos.
das kann man so machen, dazu müssen aber die Clients die Sophos aber auch als Proxy nutzen!Das ist bei einem älteren SG Setup, alles andere als unwahrscheinlich. 😉
der einfache und richtige weg ist, wenn im DNS die AD die Zonen eingetragen sind....
Wie gesagt, das ist +- eine Geschmacksfrage.
Wir konfigurieren schon seit längerem bei Clients und so gut wie bei allen Servern ausser bei den DC's, als DNS Server immer das SGW, was bei unseren Kunden in den meisten Fällen eine XG(s) ist.
Der Grund ist der folgende. Bei einem ATP Event, wo das SGW z.B. die Auflösung eines FQDN's eines C&C's blockiert, sieht man normalerweise immer den internen DNS, weil dieser bei vielen Installationen die Weiterleitung der externen Auflösung übernimmt. Wenn du in dem Fall den wirklichen Verursacher des C&C Requests ausfindig machen möchtest, dann muss du schnell auf den DC flitzen, der von dem SGW fälschlicherweise wegen der DNS-Weiterleitung angemeckert wurde und in dessen DNS Logs, die übrigens per default nicht aktiviert sind und oder je nach Umgebung auch recht schnell wieder überschrieben werden, weiter suchen.
Wenn jedoch immer das SGW als DNS-Server eingetragen wird, dann siehst du z.B. in den ATP Meldung, auch gleich den eigentlichen Übeltäter. 😉
1000 Wege führen noch Rom.....
So ist das meistens auch. 😁
ich würde eher von Sophos wegehen!
Nö, ich sehe keinen Grund dazu.
Denn alle unserer Kunden, die ordentlich durch sie SGW's und auch AV von Sophos geschützt sind,
hatten bisher noch nie wirklich irgendwelche nennenswerten Incidents.
Zudem finde ich die Symbiose zwischen den einzelnen Produkten mittlerweile auch sehr gut gelungen.
Mag sein, dass der Support nicht der beste ist, aber, zum einen versucht Sophos diesbezüglich mittlerweile ein paar Fehler der Vergangenheit wieder rückgängig zu machen und zum anderen sieht der Support der anderen grösseren Security Hersteller, meistens auch nicht besser aus.
Unter dem Kleidchen, sind die meisten SGW's eh ziemlich gleich. 🙃
Gruss Alex