Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange zertifizieren

Mitglied: NordicMike

NordicMike (Level 1) - Jetzt verbinden

21.04.2019 um 18:03 Uhr, 1541 Aufrufe, 8 Kommentare

Moin Community,

ich habe einen Exchange Server installiert und überlege gerade wie ich diesen zertifizieren soll.

Zu Hause habe ich einen Domain Controller und einen Exchange Server. Meine Heim-PC‘s sind in der Domäne angemeldet. Als Firewall dient ein Sophos UTM.

Der Zugriff von Außen ist einfach:
autodiscover.meinedomain.de
mail.meinedomain.de
meinedomain.de
Alles über Letsencrypt zertifizieren. Die 3 DNS Namen sind von außen auflösbar, bei meinem Domainhoster habe ich die Adressen in seinen DNS gefüttert.

Innerhalb meines Hauses sind alle Clients in der Dömäne und erhalten von der auf dem DC installierten Zertifizierungsstelle ein Zertifikat per GPO zugeteilt, das den internen Namen des Exchange Servers ex01.meinedomain.de vertraut macht.

Läuft soweit, wie es soll.

Nur, wenn mich jetzt meine Eltern mit ihrem Surface besuchen (sie haben ihre E-Mails auch auf meinem Exchange Server gehostet) und in mein WLAN anmelden, erhalten Sie eine Zertifikatswarnung, da ihre Surfaces nicht in der Domäne angemeldet sind.

Die erste Warnung ist, weil Autodiscover zunächst versucht meinedomain.de aufzulösen und damit laut den Sophos Einstellungen auf dem Domain Controller dc01.meinedomain.de landen und nicht mehr auf dem Exchange Server.
Die zweite Warnung ist, weil sie nun nicht mehr per Autodiscover die Adresse mail.meinedomain.de , sondern nun den internen FQDN ex01.meinedomain.de erhalten, den sie nicht kennen und nicht vertrauen.

Wie bekommt man das weg?

Ich kenne nur die Möglichkeit sie nicht in mein Domänennetzwerk zu lassen z.B. ein Gäste WLAN.
Oder ich muss jedem Client, der mein Exchange benutzen will, ein ex01 Zertifikat manuell installieren?
Ich möchte nicht, dass die internen FQDN‘s für ex01 (später evtl ex02 usw) auf dem exteurnen DNS Server meines Domainhosters angemeldet werden, nur um auch ein Letsencrypt Zertifikat zu erhalten. <– oder wäre das gar nicht schlimm?

Oder kann ich an meiner Zertifikatsstrategie was ändern?

Ich habe überlegt dem Exchange die interneren Links genau so einzustellen, wie auch die Externen sind. Ich befürchte jedoch, das geht in dem Moment schief, wenn ich einen zweiten Exchange Server als DAG hinzufügen möchte.

Ich weiß, es ist ein klein wenig oversized für ein privates Netzwerk. Die Lizenzen sind nun mal da und ich spiele mich gerne damit.

Danke Euch und keep rockin

Der Mike
Mitglied: vBurak
21.04.2019 um 21:42 Uhr
Hallo,

im Prinzip ganz einfach: interne und externe URLs vom Exchange identisch setzen und im lokalen DNS-Server die jeweiligen Subdomains auf die interne IP-Adresse des Exchange Servers einstellen.

https://docs.microsoft.com/de-de/exchange/plan-and-deploy/post-installat ...

Hier ist sogar ein Skript von colinardo
https://administrator.de/wissen/powershell-konfigurieren-internen-extern ...

Das interne, selbst-signierte Zertifikat was du über GPO verteilst, brauchst du dann nicht mehr.

VG
Bitte warten ..
Mitglied: NordicMike
21.04.2019 um 21:58 Uhr
Danke. Das würde jedoch bedeuten, dass Autodiscover dann erst einmal grundsätzlich in einen Fehler läuft, wenn er https://meinedomain.de/Autodiscover/Autodiscover.xml aufruft, da meinedomain.de intern auf den DC schaut. Ist das OK?
Bitte warten ..
Mitglied: Vision2015
22.04.2019 um 09:42 Uhr
moin...

ist doch prima, dann stell dich die passenden zonen und eintrage im dns ein...

Frank
Bitte warten ..
Mitglied: NordicMike
22.04.2019 um 12:26 Uhr
Ich glaube, ich weiß, was Du meinst, die passenden Zonen in dem Fall wären:

Für die Domainmitglieder muss meinedomain.de auf die IP des dc01 zeigen,
Für die Besucher muss meinedomain.de auf die IP der ex01 zeigen.

Meinst Du das so, dass sie einfach unterschiedliche Antworten vom DNS Server erhalten sollen? In diesem Fall müsste ich die MAC Adressen der Domainkandidaten registrieren, damit die in eine andere Zone kommen, richtig so?
Bitte warten ..
Mitglied: vBurak
23.04.2019 um 07:38 Uhr
Nein, du machst es viel komplizierter als es ist.

Autodiscover testet verschiedene Optionen aus, um den Exchange Server zu finden und nimmt die Option, die als erste funktioniert.

Wenn autodiscover.domain.tld funktioniert, passt alles. Ein Eintrag für domain.tld ist nicht notwendig.

  • Alle Domains müssen von außen richtig erreichbar sein, also autodiscover.domain.tld und mail.domain.tld muss auf die externe IP-Adresse deines Anschlusses zeigen
  • autodiscover.domain.tld und mail.domain.tld muss innerhalb deines Netzwerkes auf die interne IP-Adresse deines Exchange-Servers zeigen. Dazu erstellst du zwei Primäre-Zonen im DNS unter Forward-Lookup Zonen und als A-Record die IP deines Exchange.
  • interne und externe URLs identisch setzen mit den Befehlen bzw. Skript von oben. Also einfach alles auf mail.domain.tld setzen
  • Es funktioniert dann alles!

Noch paar Informationen
https://www.msxfaq.de/exchange/autodiscover/autodiscover_grundlagen.htm
https://support.microsoft.com/en-us/help/3211279/outlook-2016-implementa ...
Bitte warten ..
Mitglied: NordicMike
23.04.2019 um 08:37 Uhr
Viele Dank an Dich für Deine Geduld.

So hatte ich es anfangs, und auch gestern Abend wieder eingerichtet. Existierende Clients verbinden sich sauber.

Nur beim einrichten eines neuen Outlook Clients hackt es ständig. Es kommt immer die Passwortabfrage von O365 online. Wenn man diese abbricht, dauert es nochmal eine halbe Minute und mit etwas Glück kommt dann die Passwortabfrage vom lokalen Exchange Server. Mit etwas Pech kommt oft nochmal die Passwortabfrage vom O365 und man bricht immer wieder ab. Lösung laut maxfaq und frankysweb ist der Registry Eintrag, bei dem die online Prüfmethode ausgelassen wird. Auch das löschen aller Konten in der Anmeldeinformationsverwaltung bringt nichts.

Ich habe zwar keinen Schmerz damit meiner Familie eine .reg Datei zur Verfügung zu stellen, aber, ich dachte mir, das ist nicht im Sinne des Erfinders und es geht bestimmt auch etwas schöner. In der Arbeit klappt es ja auch mit neuen frischen Clients ohne irgendwas verstellen zu müssen. Und Outlook richtet das Postfach ein innerhalb von wenigen Sekunden ohne zu murren.

Also habe ich mir vorgenommen die erste Prüfmethode von Autodiscover zu ermöglichen, die der Exchange Connectivity Analyzer auch prüft, und das ist https://domain.tld/Autodiscover/Autodiscover.xml

Hat das evtl. noch was mit dem _autodiscover._tcp.domain.tld Eintrag zu tun? Den habe ich testweise auf autodiscover zeigen lassen, aber die Auswirkungen blieben die Gleichen.
Bitte warten ..
Mitglied: Vision2015
23.04.2019 um 09:04 Uhr
Moin...
Nur beim einrichten eines neuen Outlook Clients hackt es ständig. Es kommt immer die Passwortabfrage von O365 online.
mit etwas Glück kommt dann die Passwortabfrage vom lokalen Exchange Server.
äh.. was richten wir den wo ein?

wiso 2 exchange server?


Frank
Bitte warten ..
Mitglied: NordicMike
23.04.2019 um 09:54 Uhr
Ich habe im Moment nur einen Exchange Server. O365 habe ich nicht. Autodiscover versucht ständig automatisch zu O365 zu verbinden. Das Phänomen ist bekannt, siehe hier

https://www.frankysweb.de/exchange-2016-moegliche-ursachen-fuer-abfrage- ...
Bitte warten ..
Neue Wissensbeiträge
Off Topic
Europawahl 2019 - Ein Statement der Jugend
Information von Frank vor 1 StundeOff Topic2 Kommentare

Dies ist ein offener Brief. Ein Statement. Von einem großen Teil der Youtuber-Szene. Am Wochenende sind die EU-Wahlen und ...

Off Topic
Europawahl 2019
Information von Frank vor 1 TagOff Topic25 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 1 TagHumor (lol)7 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 3 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Heiß diskutierte Inhalte
Ausbildung
Wie sind eure Erfahrungen als oder mit Ü30 Azubis für Fachinformatik Systemintegration?
Frage von CaptainProcessorAusbildung26 Kommentare

Tagchen allerseits :) Mir steht in wenigen Monaten eine Veränderung bevor, da mein AG seine IT auslagert und ich ...

Off Topic
Europawahl 2019
Information von FrankOff Topic24 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Router & Routing
ZyXEL ZyWALL USG 20 Routing
Frage von Oggy01Router & Routing12 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Virtualisierung
VServer (Linux): Absichern, verschlüsseln usw
Frage von mrserious73Virtualisierung11 Kommentare

Hallo zusammen, ich möchte einen Linux-Vserver mieten und diesen absichern. Darunter verstehe ich in diesem Falle hauptsächlich: Dafür sorgen, ...