gk3000
Goto Top

local Domain und Zertifikat

Hi,

Auf meinen w2k8 mit Exchange 2010 habe ich mein SSL Zertifikat erneuert, .local ist ja jetzt verboten, daher haben meine lokalen Benutzer jetzt eine SSL Warnung.
über webmail.meinefirma.at läuft alles prima, lokal passt nun das zertifikat nicht mehr, da es nicht mit meinexchange.meinefirma.local zusammenpasst.


Jetzt habe ich mich schon viel reingelesen, aber ich würde trotzdem nochmal gerne bei den Experten Nachfragen die das vielleicht schon verwirklicht haben.

Was ist der einfachste und sauberste Weg? Split DNS habe ich gelesen wäre eine möglichkeit.

Ein anderer Weg wäre nach diesem MS Artikel:
https://support.microsoft.com/en-us/kb/940726

Hat das schon jemand gemacht und kann mir kurz erklären was er gemacht hat? Bin für jede Hilfe dankbar!
lg

Content-ID: 282247

Url: https://administrator.de/forum/local-domain-und-zertifikat-282247.html

Ausgedruckt am: 23.12.2024 um 15:12 Uhr

emeriks
emeriks 08.09.2015 um 08:44:04 Uhr
Goto Top
Hi,
beide Wege führen zum Ziel.

Split-DNS bedeutet u.U. ständigen Verwaltungausfwand in der DNS-Zone, wenn in der externen Zone öfters Änderungen erfolgen, die auch intern wirken müssen. Das kommt aber i.A. eher sehr selten vor.
Eine extra Zone nur für diesen einen Host (Zone mit dem FQDN des Host und einem Record ohne Namen mit der internen IP des Exchange) wäre nur ein einmaliger Aufwand.
Ein neues Zertifikat, welches auch den internen Namen abdeckt, wäre auch nur ein einmaliger Aufwand, kostet aber extra Geld.

E.
gk3000
gk3000 08.09.2015 um 08:53:42 Uhr
Goto Top
Danke.

nun ja, ich kann ja kein Zertifikat mit einem .local mehr anlegen, das ist ab 1.11.2015 abgeschafft und kann bereits jetzt nicht mehr eingetragen werden.
Ein Wildcard nutzt mir auch nichts da dieses auch nicht die .local abfängt, oder`?

Was meinst du eine extra Zone für den Host , meinst du es genügt nur den Exchange server in eine extra zone zu geben, oder alle hosts (ca. 50) die darauf zugreifen?
emeriks
emeriks 08.09.2015 aktualisiert um 09:01:57 Uhr
Goto Top
nun ja, ich kann ja kein Zertifikat mit einem .local mehr anlegen, das ist ab 1.11.2015 abgeschafft
Ok, kann sein. da bin ich dann nicht auf dem Laufenden.

Erstelle auf jenem DNS-Server, welchen die internen Clients benutzen, eine Zone "webmail.meinefirma.at". In dieser Zone erstellst Du einen neuen A-Record ohne Namen und mit der internen IP-Adresse des Exchange-Servers.
gk3000
gk3000 09.09.2015 aktualisiert um 16:57:54 Uhr
Goto Top
Hi,

das klappt noch noch nicht.

hab eine forward lookupzone mit webmail.meinefirma.at erstellt (auswahl immer auf standard lassen) mit dem host a ohne namen auf die ip meines exchanges.

Fehlermeldung kommt aber weiterhin das das öffentliche, fremdsignierte zertifikat nicht zusammenpasst.

hab ich noch was falsch gemacht?

auf meinem exchange ist ein öffentliches, fremdigniertes, und eines für exchange.meinefirma.at (selbstsigniert) für smtp.
Im DNS habe ich noch einen eintrag in der meinefirma.local für webmail (bereits existierend, zeigt auf den exchange) und unter meinefirma.at ebenso..
emeriks
emeriks 09.09.2015 um 23:03:40 Uhr
Goto Top
Du musst dem Exchange auch noch sagen, dass die interne URL genauso ist, wie die externe.