dumpfbacke
Goto Top

Exchange und mehrere Zertifikate

Hallo Leute,
ich brauche noch mal Hilfe von Euch beim meinem Exchange Server 2019. Exchange läuft bei uns auf dem Server. Für Outlook hab ich auf den Clients das Zertifikat welche von Exchange selbst für den Server erstellt worden ist auf den Client kopiert bzw. durch GPO kopieren lassen. Zuvor habe ich noch die beiden DNS Einträge für Autodiscover und für Mail auf die IP Adresse der Servers in unserem DNS Server angelegt. Jetzt konnte man sich Outlook ganz einfach mit dem Exchange Server verbinden. So weit so gut das ganze. Jetzt muss sich für einige User noch ActiveSync freigeben. Somit habe ich bei unserem Provider einen CName auf unsern Server angelegt und ein Zertifikat *.MeineDomian.de erstellt. Das Zertifikat haben ich in Exchange eingebunden. Somit funktioniert das mit den Handy schon mal. Jetzt geht aber mein Outlook auf dem Client nicht mehr. Outlook beschwert sich das "Das Sicherheitszertifikat wurde von einer Firma ausgestellt, die Sie als nicht vertrauenswürdig eingestuft habe...." Was ist denn hier nun passiert ? Ich habe dort doch nichts geändert und das Zertifikat ist auch noch vorhanden auf dem Client. Des weitern ist nun auf dem Exchange Server unter Zertifikate Allgemein ein weitere Eintrag mit Autodiscover.meineDomain.de. Wo kommt der den nun auf einmal her und wie bekome ich den da raus bzw. muss er überhaupt da raus ?

Was habe ich hier falsch gemacht und wie kann ich es ändern am einfachsten ?

Danke Tanja.

Content-ID: 12802304865

Url: https://administrator.de/forum/exchange-und-mehrere-zertifikate-12802304865.html

Ausgedruckt am: 25.12.2024 um 04:12 Uhr

Dumpfbacke
Dumpfbacke 28.12.2023 um 16:57:01 Uhr
Goto Top
Mir ist soeben aufgefallen das auf dem Exchange Server selbst wenn ich dort über https://Server/ecp aufrufe das Zertifikat auch nicht mehr gültig ist ? Wie kann das den sein ich habe doch nichts daran geändert ?

Tanja
radiogugu
radiogugu 28.12.2023 um 16:59:10 Uhr
Goto Top
Nabend.

Zunächst einmal solltest mal skizzieren, wo du welches Zertifikat erstellt hast.

Ein selbst-signiertes Zertifikat sorgt bei Client Verbindungen immer für Fehlermeldungen bezüglich nicht vertrauenswürdiger Zertifizierungsstelle.

Es empfiehlt sich bei Exchange ein SAN Zertifikat bei einem gängigen Zertifizierer (https://interssl.com) / https://psw-group.de) zu kaufen. Dieses ist dann immer 12 Monate gültig und muss somit regelmäßig erneuert und ausgetauscht werden.

Wenn Zertifikate bei einem Exchange Server ausgetauscht werden, empfiehlt es sich den IIS Dienst neu zu starten.

Wurden denn auch Dienste den erzeugten Zertifikaten mittels Powershell oder EAC zugewiesen?

Gruß
Marc
Vision2015
Vision2015 28.12.2023 um 16:59:37 Uhr
Goto Top
Moin...

richte mal ein Split DNS ein, und alles ist gut...
dann solltest du deine URL Pfade anpassen... intern wie extern sollte gleich sein, hast ja nen richtiges Zertifikat!

und dann wird alles gut face-smile

Frank
Vision2015
Vision2015 28.12.2023 um 17:01:35 Uhr
Goto Top
Moin...
Zitat von @Dumpfbacke:

Mir ist soeben aufgefallen das auf dem Exchange Server selbst wenn ich dort über https://Server/ecp aufrufe das Zertifikat auch nicht mehr gültig ist ? Wie kann das den sein ich habe doch nichts daran geändert ?
natürlich hast du etwas gemacht,, du warst am Server face-smile
wenn du es nicht hinbekommest, schreib mir ne PN, du kannst mich dann eben anrufen, und wir machen das in einigen Minuten zusammen!

Tanja
Frank
Dumpfbacke
Dumpfbacke 28.12.2023 um 18:18:29 Uhr
Goto Top
Zitat von @radiogugu:

Nabend.

Zunächst einmal solltest mal skizzieren, wo du welches Zertifikat erstellt hast.

Ein selbst-signiertes Zertifikat sorgt bei Client Verbindungen immer für Fehlermeldungen bezüglich nicht vertrauenswürdiger Zertifizierungsstelle.

Das Zertifikat (intern) wurde von Exchange beim installieren anscheinend automatisch erzeugt. Das Externe wurde beim Provider erstellt. Wo ich das von Provider noch nicht installiert hatte funktioniert aber alles bestens. Ich konnte Outlook ohne Fehlermeldung starten. Und wenn ich per Browser zugegriffen habe wurde das Zertifikat auch als gültig angezeigt da ich es ja vom Server auf den Client kopiert hatte. Es funktioniert alles, Outlook und per Web bis ich das blöde Zertifikat vom Provider also *.MeineDomain.de installiert haben. Nach dem ich das Zertifikat gelöscht haben und auch den Server neu gestartet habe funktioniert es leider auch nicht mehr. Das verstehe ich nun aber mal überhaupt nicht. Ich habe doch das Zertifikat gelöscht und dann sollte doch alles wie vorher sein ? Es sollte nur noch da von Exchange erstelle vorhanden sein und es sollte wie vorher funktionieren.

Tanja
Dumpfbacke
Dumpfbacke 28.12.2023 aktualisiert um 18:31:23 Uhr
Goto Top
Zitat von @Vision2015:

Moin...

richte mal ein Split DNS ein, und alles ist gut...
dann solltest du deine URL Pfade anpassen... intern wie extern sollte gleich sein, hast ja nen richtiges Zertifikat!

und dann wird alles gut face-smile

Frank
Wenn ich es hinbekommen sollte das es intern erneut funktioniert. Muss ich mal nachsehen wie man Split DNS einrichtet habe ich bis jetzt noch nicht gemacht. Ich hoffe das geht noch ohne das ich das AD neu aufsetzten muss.
Danke schon einmal für den Tip und ggf. geht es dann am Ende doch noch. Ich brauch Extern ja nur Für ActiveSync und für sonst nichts.

Tanja.
radiogugu
radiogugu 28.12.2023 um 18:30:44 Uhr
Goto Top
Wie hast du denn das Zertifikat importiert? Welche Dienste wurden dem extern erworbenen Zertifikat denn zugewiesen?

Frank bot dir seine Hilfe an. Schneller kriegst du den Exchange nicht zum "Fliegen" als mit seiner Unterstützung face-smile

Gruß
Marc
Vision2015
Vision2015 28.12.2023 um 18:32:57 Uhr
Goto Top
Moin...
Zitat von @Dumpfbacke:

Zitat von @radiogugu:

Nabend.

Zunächst einmal solltest mal skizzieren, wo du welches Zertifikat erstellt hast.

Ein selbst-signiertes Zertifikat sorgt bei Client Verbindungen immer für Fehlermeldungen bezüglich nicht vertrauenswürdiger Zertifizierungsstelle.
richtig!

Das Zertifikat (intern) wurde von Exchange beim installieren anscheinend automatisch erzeugt. Das Externe wurde beim Provider erstellt. Wo ich das von Provider noch nicht installiert hatte funktioniert aber alles bestens. Ich konnte Outlook ohne Fehlermeldung starten. Und wenn ich per Browser zugegriffen habe wurde das Zertifikat auch als gültig angezeigt da ich es ja vom Server auf den Client kopiert hatte. Es funktioniert alles, Outlook und per Web bis ich das blöde Zertifikat vom Provider also *.MeineDomain.de installiert haben. Nach dem ich das Zertifikat gelöscht haben und auch den Server neu gestartet habe funktioniert es leider auch nicht mehr. Das verstehe ich nun aber mal überhaupt nicht. Ich habe doch das Zertifikat gelöscht und dann sollte doch alles wie vorher sein ? Es sollte nur noch da von Exchange erstelle vorhanden sein und es sollte wie vorher funktionieren.
nun, du machst die gleichen kleinen fehler wie viele!
das zertifikat einfach zu löschen, bringt nix, du hast es ja an diverse dienste angebunden!
hast du das auch geändert?
als du das externe zertifikat vom Provider eingerichtet hat, hast du doch bestimmt ein Splitt DNS angelegt, oder?
mein angebot steht noch, mach bitte keine weiteren fehler aus panik!


Tanja

Frank
Dumpfbacke
Dumpfbacke 28.12.2023 um 18:44:38 Uhr
Goto Top
Zitat von @radiogugu:

Wie hast du denn das Zertifikat importiert? Welche Dienste wurden dem extern erworbenen Zertifikat denn zugewiesen?

Frank bot dir seine Hilfe an. Schneller kriegst du den Exchange nicht zum "Fliegen" als mit seiner Unterstützung face-smile

Gruß
Marc

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\MeineDomain.de_private_key.pfx -Encoding byte -ReadCount 0)) -Password (convertto-securestring -string "geheim" -asplaintext -force)
Vision2015
Vision2015 28.12.2023 um 18:45:59 Uhr
Goto Top
Moin...
Zitat von @Dumpfbacke:

Zitat von @radiogugu:

Wie hast du denn das Zertifikat importiert? Welche Dienste wurden dem extern erworbenen Zertifikat denn zugewiesen?

Frank bot dir seine Hilfe an. Schneller kriegst du den Exchange nicht zum "Fliegen" als mit seiner Unterstützung face-smile

Gruß
Marc

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\MeineDomain.de_private_key.pfx -Encoding byte -ReadCount 0)) -Password (convertto-securestring -string "geheim" -asplaintext -force)

das kann keiner lesen, bitte den Code Tag nutzen:

mport-ExchangeCertificate -FileData 

Frank
Dumpfbacke
Dumpfbacke 28.12.2023 aktualisiert um 18:53:59 Uhr
Goto Top
nun, du machst die gleichen kleinen fehler wie viele!
das zertifikat einfach zu löschen, bringt nix, du hast es ja an diverse dienste angebunden!
hast du das auch geändert?
als du das externe zertifikat vom Provider eingerichtet hat, hast du doch bestimmt ein Splitt DNS angelegt, oder?
mein angebot steht noch, mach bitte keine weiteren fehler aus panik!


Tanja

Frank

Nun ja dann war es der falsche Weg würde ich mal sagen und kleine Fehler sind das nicht würde ich mal sagen. Ich habe das Zertifikat installiert mittels :

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\MeineDomain.de_private_key.pfx -Encoding byte -ReadCount 0)) -Password (convertto-securestring -string "geheim" -asplaintext -force

Und gelöscht habe ich es einfach mal im Certmgr und dachte mir damit ist es dann auch weg. In der Management Shell habe ich es mittels Get-ExchangeCertificate geprüft und da war es auch weg. Somit dachte ich mir alles richtig gemacht. Split DNS habe ich nicht eingerichtet da es mir bis jetzt nichts gesagt hatte und ich eigentlich nur mittels Handy per ActiveSync darauf zugreifen wollte und nicht wusste das ich so etwas benötige. Was mich hier nun total verwundert warum es intern nicht mehr geht ? Wenn ich ein Zertifikat hinzufüge kann doch als "alte" interne nicht auf einmal weg sein auch wenn ich das "neue" dann falsch lösche ?

Tanja.
Vision2015
Vision2015 28.12.2023 um 18:52:47 Uhr
Goto Top
Moin...
Zitat von @Dumpfbacke:

Zitat von @radiogugu:

Wie hast du denn das Zertifikat importiert? Welche Dienste wurden dem extern erworbenen Zertifikat denn zugewiesen?

Frank bot dir seine Hilfe an. Schneller kriegst du den Exchange nicht zum "Fliegen" als mit seiner Unterstützung face-smile

Gruß
Marc

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\MeineDomain.de_private_key.pfx -Encoding byte -ReadCount 0)) -Password (convertto-securestring -string "geheim" -asplaintext -force)

Nachtrag...
Frage, was hast du den danach gemacht, die zuweisung für IIS SMTP usw...?
Frank
Dumpfbacke
Dumpfbacke 28.12.2023 um 18:59:23 Uhr
Goto Top
Dann hatte ich mal bei dem "neuen" Zertifikat unter Server Zertifikate unter Dienste den Hacken bei IIS gesetzt und dann funktioniert es mit den Handy super. Als es dann intern nicht mehr ging habe ich den Hacken raus gemacht und bei dem Punkt (unter Zertifikate) Firma Mail Server den Hacken rein gemacht bei IIS da ich vermute das er dort vorher gesetzt war. War das eventuell falsch ?

Danke Tanja
Vision2015
Vision2015 28.12.2023 aktualisiert um 19:11:20 Uhr
Goto Top
Moin...
Zitat von @Dumpfbacke:

Dann hatte ich mal bei dem "neuen" Zertifikat unter Server Zertifikate unter Dienste den Hacken bei IIS gesetzt und dann funktioniert es mit den Handy super. Als es dann intern nicht mehr ging habe ich den Hacken raus gemacht und bei dem Punkt (unter Zertifikate) Firma Mail Server den Hacken rein gemacht bei IIS da ich vermute das er dort vorher gesetzt war. War das eventuell falsch ?

Danke Tanja
ja... den eigentlich brauchst du nur ein Zertifikat, an dem alle Dienste ( IIS / SMTP / POP / IMAP) gebunden sind!
dafür sollst du das zertifikat vom Provider nutzen, und Splitt DNS einrichten! das ganze dauert eigentlich nicht mehr als 10 Minuten.

da hast du mal was zu Lesen, bitte auch Teil 2
Frank
Vision2015
Vision2015 28.12.2023 aktualisiert um 19:15:32 Uhr
Goto Top
Moin...

noch was zu Lesen.

Split-DNS
wie gesagt, du kannst dich auch melden face-smile

Frank
radiogugu
radiogugu 28.12.2023 um 20:22:51 Uhr
Goto Top

Sind eigentliche alle coolen Typen, welche sich mit Exchange auskennen mit dem Namen Frank versehen face-smile

Oder seit ihr ein und dieselbe Person face-surprise

Gruß
Marc
Vision2015
Vision2015 28.12.2023 aktualisiert um 20:31:18 Uhr
Goto Top
Moin...
Zitat von @radiogugu:


Sind eigentliche alle coolen Typen, welche sich mit Exchange auskennen mit dem Namen Frank versehen face-smile
ja... so ist es face-smile

Oder seit ihr ein und dieselbe Person face-surprise
nein.. sind wir nicht.
Frank von frankysweb hat sicher mehr drauf als ich, aber ich weiß wo ich es nachlesen kann face-smile

Gruß
Marc

Frank
Vision2015
Vision2015 29.12.2023 um 07:03:26 Uhr
Goto Top
Moin Tanja,
wie ist die Lage?

Frank
MysticFoxDE
MysticFoxDE 30.12.2023 aktualisiert um 10:32:42 Uhr
Goto Top
Moin @Dumpfbacke,

So weit so gut das ganze. Jetzt muss sich für einige User noch ActiveSync freigeben. Somit habe ich bei unserem Provider einen CName auf unsern Server angelegt und ein Zertifikat *.MeineDomian.de erstellt. Das Zertifikat haben ich in Exchange eingebunden. Somit funktioniert das mit den Handy schon mal.

ähm, du hast jetzt aber hoffentlich nicht deinen Exchange einfach per NAT ins Internet gehängt oder?
Wenn ja, dann kann ich dir nur empfehlen dies schleunigst wieder rückgängig zu machen, da sowas mittlerweile extrem gefährlich ist!

---

Zu dem Rest.

Das mit dem Wildcardzertifikat war so schon mal gar nicht so schlecht.

Du musst bei einer solchen Konstellation als nächstes die interne als auch die externe URL der Virtuellen Verzeichnisse bei deinem Exchange auf den externen FQDN (z.B. "mail.meinedomian.de") umstellen.
Dann musst du lediglich noch sicherstellen, dass dieser externe FQDN intern mit der internen IP des Exchange aufgelöst wird und schon ist der Fisch geputzt. 😉

Gruss Alex

P.S. Sorry für die Kürze, muss gleich mit meinen Hausdrachen schnell noch in den Laden flitzen. 🤪
Danach kann ich dir aber gerne etwas detaillierter helfen.

P.S.P.S Bitte auch die korrekte Konfiguration von Autodiscovery nicht vergessen!
Dumpfbacke
Dumpfbacke 30.12.2023 aktualisiert um 14:13:54 Uhr
Goto Top
Zitat von @Vision2015:

Moin Tanja,
wie ist die Lage?

Frank

Hallo Frank,
danke der Nachfrage aber die Lage ist leider immer noch noch schlecht bei mir. Der Link von Dir ist super denn dort steht ja viel drin zu dem Thema. Mein Problem ist jetzt das ich hier noch einen Schritt vorher hänge. Ich hänge noch bei der Split-DNS Geschichte. Also ich habe hier beim DNS unter der Forward-Lookupzonen einen neue Zone mit Firma.de angelegt. Hier habe ich dann eine CNAME für Exchange auf den Name des Exchange Server angelegt. Mittels eines Pings regiert mein Exchangeserver. Auch ein HTTPS über den Namen ist nun möglich. Das ist ja schon einmal super. Ich war erfreut darüber. Nun kommt aber leider mein neues Problem. Ich kann nun natürlich unsere Seite im Web unter https://www.Firma.de nicht mehr erreichen was ja auch logisch ist da die Seite nicht im Netzliegt und bei uns kein Eintrag vorhanden ist im DNS. Somit habe ich hier dann einen Host (A) Eintrag mittels www und der IP von unserer Seite unter der Domain angelegt. Mache ich nun ein ping auf den Namen bekomme ich unsere IP der Seite im Internet zurück. Wenn ich jetzt das ganze im Browser öffnen möchte ( https://www.Firma.de ) geht es leider nicht. Die Fehlermeldung ist DNS_PROBE_FINISHED_NXDOMAIN. Er findet also den Namen nicht. Aber wieso den nicht ein Ping geht doch auch ? Da hat man ein Problem und es werden immer mehr Probleme. Ich kann mir nicht erklären warum es nicht geht. So wie ich es eingestellt habe sollte es doch funktionieren.

Danke Tanja
Vision2015
Vision2015 30.12.2023 um 14:11:51 Uhr
Goto Top
moin...
Zitat von @Dumpfbacke:

Zitat von @Vision2015:

Moin Tanja,
wie ist die Lage?

Frank

Hallo Frank,
danke der Nachfrage aber die Lage ist leider immer noch noch schlecht bei mir. Der Link von Dir ist super denn dort steht ja viel drin zu dem Thema. Mein Problem ist jetzt das ich hier noch einen Schritt vorher hänge. Ich hänge noch bei der Split-DNS Geschichte. Also ich habe hier beim DNS unter der Forward-Lookupzonen einen neue Zone mit Firma.de angelegt. Hier habe ich dann eine CNAME für Exchange auf den Name des Exchange Server angelegt. Mittels eines Pings regiert mein Exchangeserver. Auch ein HTTPS über den Namen ist nun möglich. Das ist ja schon einmal super. Ich war erfreut darüber. Nun kommt aber leider mein neues Problem. Ich kann nun natürlich unsere Seite im Web unter https://www.Firma.de nicht mehr erreichen was ja auch logisch ist da die Seite nicht im Netzliegt und bei uns kein Eintrag vorhanden ist im DNS. Somit habe ich hier dann einen Host (A) Eintrag mittels www und der IP von unserer Seite unter der Domain angelegt. Mache ich nun ein ping auf den Namen bekomme ich unsere IP der Seite im Internet zurück. Wenn ich jetzt das ganze im Browser öffnen möchte geht es leider nicht. Die Fehlermeldung ist DNS_PROBE_FINISHED_NXDOMAIN. Er findet also den Namen nicht. Aber wieso den nicht ein Ping geht doch auch ? Da hat man ein Problem und es werden immer mehr Probleme. Ich kann mir nicht erklären warum es nicht geht. So wie ich es eingestellt habe sollte es doch funktionieren.

Danke Tanja

Hier habe ich dann eine CNAME für Exchange auf den Name des Exchange Server angelegt.
ich weiß nicht was du gemachst hast, aber Split DNS war es nicht wohl face-smile

noch mal, ich kann dir gerne ab 17 Uhr unter die Arme greifen.... also ruf mich an!
ich denke so einiges bedarf es einer erklärung, mit du es besser verstehst.
Frank
MysticFoxDE
MysticFoxDE 30.12.2023 um 18:26:01 Uhr
Goto Top
Moin @Dumpfbacke,

Nun kommt aber leider mein neues Problem. Ich kann nun natürlich unsere Seite im Web unter https://www.Firma.de nicht mehr erreichen was ja auch logisch ist da die Seite nicht im Netzliegt und bei uns kein Eintrag vorhanden ist im DNS. Somit habe ich hier dann einen Host (A) Eintrag mittels www und der IP von unserer Seite unter der Domain angelegt. Mache ich nun ein ping auf den Namen bekomme ich unsere IP der Seite im Internet zurück. Wenn ich jetzt das ganze im Browser öffnen möchte ( https://www.Firma.de ) geht es leider nicht. Die Fehlermeldung ist DNS_PROBE_FINISHED_NXDOMAIN. Er findet also den Namen nicht. Aber wieso den nicht ein Ping geht doch auch ? Da hat man ein Problem und es werden immer mehr Probleme. Ich kann mir nicht erklären warum es nicht geht. So wie ich es eingestellt habe sollte es doch funktionieren.

was für eine Firewall/Security-Gateway verwendet ihr und ist auf dieser auch ein Web-Proxy aktiv?

Gruss Alex
Vision2015
Vision2015 30.12.2023 um 19:06:07 Uhr
Goto Top
Moin...
Zitat von @MysticFoxDE:


was für eine Firewall/Security-Gateway verwendet ihr und ist auf dieser auch ein Web-Proxy aktiv?
was nun erstmal Latte ist, sicher aber auch später wichtig.
wichtiger ist doch das verstehen von Anleitungen face-smile
Tanja hat auf dem DNS im AD die Zone Firma.de angelegt, was natürlich blödsinn ist, den sie sollte ja nur Split DNS anlegen. also wäre zu erwarten gewesen das die Zonen:
exchange.firma.de
autodiscover.firma.de
angelegt werden, wo der A Record auf die IP des Exchange zeigt (192.168.100.1) (als beispiel)
wenn ich aber die Zone Firma.de anlege, findet der browser, besser gesagt der DNS die gewünschte webseite nicht, weil ich kein A Record angelelegt wurde (WWW) mit der IP des Webservers!

im grunde hätte Tanja nur die Anleitungen richtig lesen müssen, und verstehen!
oder aber ich hätte ihr in 5 bis 10 Minuten die richtigen Grundlagen gezeigt unf erklärt, gerne auch natorlich remote, und der Drops wäre gelutscht!


Gruss Alex

Frank
MysticFoxDE
Lösung MysticFoxDE 30.12.2023 aktualisiert um 19:46:10 Uhr
Goto Top
Moin @Vision2015,

was nun erstmal Latte ist, sicher aber auch später wichtig.

ist es eben nicht, weil je nach FW/SGW, sind die DNS Einträge dort eventuell viel einfacher zu setzen und wenn auf den Clients das SGW z.B. direkt als Proxy eingetragen ist, muss es eh so gemacht werden.

Gruss Alex
Vision2015
Lösung Vision2015 30.12.2023 aktualisiert um 20:13:11 Uhr
Goto Top
moin...
Zitat von @MysticFoxDE:

Moin @Vision2015,

was nun erstmal Latte ist, sicher aber auch später wichtig.

ist es eben nicht, weil je nach FW/SGW, sind die DNS Einträge dort eventuell viel einfacher zu setzen und wenn auf den Clients das SGW z.B. direkt als Proxy eingetragen ist, muss es eh so gemacht werden.
sorry, aber das glaubst du ja wohl selber nicht face-smile
wenn Tanja eine FW /SGW oder LB hätte, würde sie sicher damit umgehen können, und die frage, was ist Split DNS würde nicht aufkommen!
einfach mal Lesen was der TO so schreibt.
Also ich habe hier beim DNS unter der Forward-Lookupzonen einen neue Zone ....
ich tippe auf port forwarding... (443) nicht mehr und nicht weniger! und DNS im AD!

unter anderen umständen würde ich dir recht geben, wäre das sicher mit eine anlaufstelle, wenn vorhanden!

allerdings sollte auch gesagt sein, den exchange so ins Netz stellen, ist keine so gute idee.
wenigstens einen Rev. Proxy / LB etc.. wäre da nötig. die pfSense bringt sowas für lau. mit, oder Kemp beitet das bis 10 Mbit auch für lau an.
Frank



Gruss Alex
Dumpfbacke
Dumpfbacke 01.01.2024 um 18:41:46 Uhr
Goto Top
Hallo Ihr beiden,
also erstes wünsche ich Euch einen guten Start ins Jahr 2024 und danke das Ihr mir hier immer behilflich seit. So langsam geht es in die richtige Richtung. Das Problem war das ich mir den Link von Dir Frank angesehen hatte und auf Seite 3 einen Anleitung für Split DNS war. Jedoch war vorher auf der Seite schon einen andere Anleitung und somit habe ich da was falsch gemacht da ich die von der letzten Seite genommen habe was ja nicht funktioniert hat. Jetzt funktioniert es aber super. Also exchange.firma.de und autodiscover.firma.de auf die IP des Exchange im DNS angelegt. Ich hatte jetzt noch ein Problem mit autodiscover. Es wollte einfach nicht funktionieren bei Outlook. Ich vermute einmal, das es hier nach extern ins Internet geht und zwar auch dann wenn man im eigenen Netz ist und auch dann wenn es hier ein DNS Eintrag von Autodiscover.firma.de gibt. Outlook wollte sich einfach immer per IMAP zum Provider verbinden was ich ja nicht möchte. Ich habe das Profil auf dem Rechner sehr oft gelöscht aber es funktionierte einfach nicht. Die Mail Adresse wurde richtig erkannt. Also habe ich mal beim Provider nach dem autodiscover Eintrag gesucht, gefunden und den auch geändert da dieser vorher zum Provider ging. Das hat leider auch nicht funktioniert. Ein Ping darauf gelangte jedoch zur richten Adresse hier bei mir und nicht beim Provider. Das war schon etwas merkwürdig und ich dachte was hast du denn jetzt noch falsch gemacht ? Mehr geht doch nicht. Ich vermute einmal das es ein wenig gedauert hat bis es komplett "durchgelaufen" war. Jetzt nach einiger Zeit funktioniert es ohne Problem hier soweit ich es testen konnte. Ich muss hier morgen noch mal ausgiebig weiter testen aber es sieht schon mal gut aus. Ich muss mich hier dann "nur" noch um ActiveSync kümmern da ich hier noch was ändern möchte / muss.

Danke nochmals Euch beiden
Tanja

Tanja
Dumpfbacke
Dumpfbacke 01.01.2024 um 18:41:51 Uhr
Goto Top
Zitat von @MysticFoxDE:


ähm, du hast jetzt aber hoffentlich nicht deinen Exchange einfach per NAT ins Internet gehängt oder?
Wenn ja, dann kann ich dir nur empfehlen dies schleunigst wieder rückgängig zu machen, da sowas mittlerweile extrem gefährlich ist!

Da ich hier ja keine Daten vom mir bekannt gebe kann ich ja mal ruhig sagen das na ja was soll ich sagen, es wurde hier ein DNAT in der Sophos eingerichtet zum "alten" Mailserver damit ActiveSync funktioniert. Bei welcher Firma es so ist wisst Ihr ja zum Glück nicht und werde ich hier auch nicht schreiben face-wink Auch werde ich nichts zum aktuellen Mail Server schreiben welche Software hier benutz wird face-wink denn dann könnte ich auch gleich schreiben bitte Daten hier abholen. man das Teil muss unbedingt getauscht werden. Ich konnte es auch nicht glauben aber es ist wirklich so. Das muss ich unbedingt mal ändern und zwar schnell auch wenn wir dieses Jahr noch die Sophos tauschen müssen. Hier läuft noch eine UTM und es wird so langsam Zeit das getauscht werden wird da die Lizenz eh nur noch um ein Jahr verlängert werden konnte. Ich habe hier schon mal ein wenig geschaut und haben diesen Link gefunden https://www.frankysweb.de/sophos-utm-9-4-waf-und-exchange-2016/ Es ist war noch eine alte Version der UTM Software und "nur" der Exchange 2016 aber ggf. kann ich es ja anpassen oder finde noch was besseres im Netz. Wenn ich schon bei den Mail alles ändern muss soll es naher auch aktuell sein.


P.S. Sorry für die Kürze, muss gleich mit meinen Hausdrachen schnell noch in den Laden flitzen. 🤪
Danach kann ich dir aber gerne etwas detaillierter helfen.

Du weist doch hinter jedem Man steht immer eine erfolgreiche Frau dahinter die alles im Griff hat und das ganze aus der zweiten Reihe aus steuert. face-wink Frauenpower halt.

Danke Tanja
Vision2015
Vision2015 01.01.2024 um 18:57:04 Uhr
Goto Top
Moin...

Prima, dann stell den beitrag mal auf gelöst!

Frank
MysticFoxDE
MysticFoxDE 01.01.2024 um 19:35:07 Uhr
Goto Top
Moin @Dumpfbacke,

also erstes wünsche ich Euch einen guten Start ins Jahr 2024

danke, dir auch!

Outlook wollte sich einfach immer per IMAP zum Provider verbinden was ich ja nicht möchte. Ich habe das Profil auf dem Rechner sehr oft gelöscht aber es funktionierte einfach nicht. Die Mail Adresse wurde richtig erkannt. Also habe ich mal beim Provider nach dem autodiscover Eintrag gesucht, gefunden und den auch geändert da dieser vorher zum Provider ging. Das hat leider auch nicht funktioniert.

Oh, verflixt, habe eine Sache doch glatt vergessen. 😬
Du muss bei den neuen Outlooks unbedingt den folgenden Reg-Key setzen, wenn du einen reinen OnPremise Exchange hast.

(!! CMD als Benutzer und nicht explizit als Administrator starten. !!)
reg add "HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\AutoDiscover" /t REG_DWORD /v ExcludeExplicitO365Endpoint /d 1  

Dann noch zu der Sophos SG Geschichte.
Du hättest die DNS Einträge, genau so wie ich vorgeschlagen habe, besser auf dieser machen sollen.
Denn wenn bei den Clients die SG als direkter Proxy eingetragen ist und die Proxyausnahmen nicht richtig gesetzt sind, dann werden die FQDN's sämtlicher http/https Zugriffe, nicht über die AD DNS Server aufgelöst, sondern über die Sophos.
Daher, konfiguriere bitte auch den DNS Server der SG so, das diese "exchange.firma.de", "mail.firma.de" & "autodiscover.firma.de" mit der internen IP des Exchange auflöst. 😉

Zu der WAF Geschichte.
Holt euch lieber das MDM von Sophos.
Dann kannst du auch den EAS Proxy nutzen, der meiner Ansicht nach, einen Exchange einfacher und besser absichert, als die meisten WAF's die ich kenne das tun.

Und ja, die SG gehört so langsam in die Rente geschickt.

Gruss Alex
Vision2015
Vision2015 01.01.2024 um 20:12:44 Uhr
Goto Top
Moin...

Dann noch zu der Sophos SG Geschichte.
Du hättest die DNS Einträge, genau so wie ich vorgeschlagen habe, besser auf dieser machen sollen.
nein... im AD DNS ist die bessere wahl...
Denn wenn bei den Clients die SG als direkter Proxy eingetragen ist und die Proxyausnahmen nicht richtig gesetzt sind, dann werden die FQDN's sämtlicher http/https Zugriffe, nicht über die AD DNS Server aufgelöst, sondern über die Sophos.
das kann man so machen, dazu müssen aber die Clients die Sophos aber auch als Proxy nutzen!
der einfache und richtige weg ist, wenn im DNS die AD die Zonen eingetragen sind....
alleine für die Fehlerbehebung, wenn jemand noch nicht so sicher beim setup ist.
1000 Wege führen noch Rom.....
Holt euch lieber das MDM von Sophos.
ich würde eher von Sophos wegehen!

Frank
MysticFoxDE
MysticFoxDE 01.01.2024 aktualisiert um 21:21:31 Uhr
Goto Top
Moin @Vision2015,

nein... im AD DNS ist die bessere wahl...

na ja, darüber kann man lange streiten weil es eher eine Geschmacksfrage ist. 🙃

Denn wenn bei den Clients die SG als direkter Proxy eingetragen ist und die Proxyausnahmen nicht richtig gesetzt sind, dann werden die FQDN's sämtlicher http/https Zugriffe, nicht über die AD DNS Server aufgelöst, sondern über die Sophos.
das kann man so machen, dazu müssen aber die Clients die Sophos aber auch als Proxy nutzen!

Das ist bei einem älteren SG Setup, alles andere als unwahrscheinlich. 😉

der einfache und richtige weg ist, wenn im DNS die AD die Zonen eingetragen sind....

Wie gesagt, das ist +- eine Geschmacksfrage.
Wir konfigurieren schon seit längerem bei Clients und so gut wie bei allen Servern ausser bei den DC's, als DNS Server immer das SGW, was bei unseren Kunden in den meisten Fällen eine XG(s) ist.
Der Grund ist der folgende. Bei einem ATP Event, wo das SGW z.B. die Auflösung eines FQDN's eines C&C's blockiert, sieht man normalerweise immer den internen DNS, weil dieser bei vielen Installationen die Weiterleitung der externen Auflösung übernimmt. Wenn du in dem Fall den wirklichen Verursacher des C&C Requests ausfindig machen möchtest, dann muss du schnell auf den DC flitzen, der von dem SGW fälschlicherweise wegen der DNS-Weiterleitung angemeckert wurde und in dessen DNS Logs, die übrigens per default nicht aktiviert sind und oder je nach Umgebung auch recht schnell wieder überschrieben werden, weiter suchen.

Wenn jedoch immer das SGW als DNS-Server eingetragen wird, dann siehst du z.B. in den ATP Meldung, auch gleich den eigentlichen Übeltäter. 😉

1000 Wege führen noch Rom.....

So ist das meistens auch. 😁

ich würde eher von Sophos wegehen!

Nö, ich sehe keinen Grund dazu.
Denn alle unserer Kunden, die ordentlich durch sie SGW's und auch AV von Sophos geschützt sind,
hatten bisher noch nie wirklich irgendwelche nennenswerten Incidents.

Zudem finde ich die Symbiose zwischen den einzelnen Produkten mittlerweile auch sehr gut gelungen.
Mag sein, dass der Support nicht der beste ist, aber, zum einen versucht Sophos diesbezüglich mittlerweile ein paar Fehler der Vergangenheit wieder rückgängig zu machen und zum anderen sieht der Support der anderen grösseren Security Hersteller, meistens auch nicht besser aus.

Unter dem Kleidchen, sind die meisten SGW's eh ziemlich gleich. 🙃

Gruss Alex