5
local Domain und Zertifikat
Hi,
Auf meinen w2k8 mit Exchange 2010 habe ich mein SSL Zertifikat erneuert, .local ist ja jetzt verboten, daher haben meine lokalen Benutzer jetzt eine SSL Warnung.
über webmail.meinefirma.at läuft alles prima, lokal passt nun das zertifikat nicht mehr, da es nicht mit meinexchange.meinefirma.local zusammenpasst.
Jetzt habe ich mich schon viel reingelesen, aber ich würde trotzdem nochmal gerne bei den Experten Nachfragen die das vielleicht schon verwirklicht haben.
Was ist der einfachste und sauberste Weg? Split DNS habe ich gelesen wäre eine möglichkeit.
Ein anderer Weg wäre nach diesem MS Artikel:
https://support.microsoft.com/en-us/kb/940726
Hat das schon jemand gemacht und kann mir kurz erklären was er gemacht hat? Bin für jede Hilfe dankbar!
lg
Auf meinen w2k8 mit Exchange 2010 habe ich mein SSL Zertifikat erneuert, .local ist ja jetzt verboten, daher haben meine lokalen Benutzer jetzt eine SSL Warnung.
über webmail.meinefirma.at läuft alles prima, lokal passt nun das zertifikat nicht mehr, da es nicht mit meinexchange.meinefirma.local zusammenpasst.
Jetzt habe ich mich schon viel reingelesen, aber ich würde trotzdem nochmal gerne bei den Experten Nachfragen die das vielleicht schon verwirklicht haben.
Was ist der einfachste und sauberste Weg? Split DNS habe ich gelesen wäre eine möglichkeit.
Ein anderer Weg wäre nach diesem MS Artikel:
https://support.microsoft.com/en-us/kb/940726
Hat das schon jemand gemacht und kann mir kurz erklären was er gemacht hat? Bin für jede Hilfe dankbar!
lg
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 282247
Url: https://administrator.de/contentid/282247
Ausgedruckt am: 08.11.2024 um 15:11 Uhr
5 Kommentare
Neuester Kommentar
Hi,
beide Wege führen zum Ziel.
Split-DNS bedeutet u.U. ständigen Verwaltungausfwand in der DNS-Zone, wenn in der externen Zone öfters Änderungen erfolgen, die auch intern wirken müssen. Das kommt aber i.A. eher sehr selten vor.
Eine extra Zone nur für diesen einen Host (Zone mit dem FQDN des Host und einem Record ohne Namen mit der internen IP des Exchange) wäre nur ein einmaliger Aufwand.
Ein neues Zertifikat, welches auch den internen Namen abdeckt, wäre auch nur ein einmaliger Aufwand, kostet aber extra Geld.
E.
beide Wege führen zum Ziel.
Split-DNS bedeutet u.U. ständigen Verwaltungausfwand in der DNS-Zone, wenn in der externen Zone öfters Änderungen erfolgen, die auch intern wirken müssen. Das kommt aber i.A. eher sehr selten vor.
Eine extra Zone nur für diesen einen Host (Zone mit dem FQDN des Host und einem Record ohne Namen mit der internen IP des Exchange) wäre nur ein einmaliger Aufwand.
Ein neues Zertifikat, welches auch den internen Namen abdeckt, wäre auch nur ein einmaliger Aufwand, kostet aber extra Geld.
E.
1
Danke.
nun ja, ich kann ja kein Zertifikat mit einem .local mehr anlegen, das ist ab 1.11.2015 abgeschafft und kann bereits jetzt nicht mehr eingetragen werden.
Ein Wildcard nutzt mir auch nichts da dieses auch nicht die .local abfängt, oder`?
Was meinst du eine extra Zone für den Host , meinst du es genügt nur den Exchange server in eine extra zone zu geben, oder alle hosts (ca. 50) die darauf zugreifen?
nun ja, ich kann ja kein Zertifikat mit einem .local mehr anlegen, das ist ab 1.11.2015 abgeschafft und kann bereits jetzt nicht mehr eingetragen werden.
Ein Wildcard nutzt mir auch nichts da dieses auch nicht die .local abfängt, oder`?
Was meinst du eine extra Zone für den Host , meinst du es genügt nur den Exchange server in eine extra zone zu geben, oder alle hosts (ca. 50) die darauf zugreifen?
nun ja, ich kann ja kein Zertifikat mit einem .local mehr anlegen, das ist ab 1.11.2015 abgeschafft
Ok, kann sein. da bin ich dann nicht auf dem Laufenden.Erstelle auf jenem DNS-Server, welchen die internen Clients benutzen, eine Zone "webmail.meinefirma.at". In dieser Zone erstellst Du einen neuen A-Record ohne Namen und mit der internen IP-Adresse des Exchange-Servers.
1
Hi,
das klappt noch noch nicht.
hab eine forward lookupzone mit webmail.meinefirma.at erstellt (auswahl immer auf standard lassen) mit dem host a ohne namen auf die ip meines exchanges.
Fehlermeldung kommt aber weiterhin das das öffentliche, fremdsignierte zertifikat nicht zusammenpasst.
hab ich noch was falsch gemacht?
auf meinem exchange ist ein öffentliches, fremdigniertes, und eines für exchange.meinefirma.at (selbstsigniert) für smtp.
Im DNS habe ich noch einen eintrag in der meinefirma.local für webmail (bereits existierend, zeigt auf den exchange) und unter meinefirma.at ebenso..
das klappt noch noch nicht.
hab eine forward lookupzone mit webmail.meinefirma.at erstellt (auswahl immer auf standard lassen) mit dem host a ohne namen auf die ip meines exchanges.
Fehlermeldung kommt aber weiterhin das das öffentliche, fremdsignierte zertifikat nicht zusammenpasst.
hab ich noch was falsch gemacht?
auf meinem exchange ist ein öffentliches, fremdigniertes, und eines für exchange.meinefirma.at (selbstsigniert) für smtp.
Im DNS habe ich noch einen eintrag in der meinefirma.local für webmail (bereits existierend, zeigt auf den exchange) und unter meinefirma.at ebenso..
Du musst dem Exchange auch noch sagen, dass die interne URL genauso ist, wie die externe.
