8
SBS 2008 (Exchange 2007 SP3) - externe URL ändern - neues Zertifikat
Einen schönen guten Abend zusammen,
auch wenn mein Anliegen schon mehrfach behandelt wurde und es zu allem Überfluss auch noch Freitag ist so hoffe ich auf die "Axt" die meine Sicht etwas aufklärt.
Vorab ich habe in dem Bereich ein gefährliches "Viertel"-Wissen und mich wohl durch zu viel googeln und lesen hier im Forum mehr selbst verwirrt als alles andere.
Folgende IST-Situation:
- SBS 2008 mit Exchange 2007 SP3 (aktuelles Patchlevel). AD, DNS, DHCP...die übliche Eierlegendewollmilchsau
- Die Kiste läuft rund und wurde zu 98% über die Assistenten konfiguriert
- die interne Domäne lautet: firma.local (vor Urzeiten eingerichtet als man es nicht besser wusste)
- FQDN des Servers: server.firma.local
- externe und interne URL (OWA, Remote-Webarbeitsplatz): remote.firma.zz
- Zertifikat selbst ausgestellt, signiert....Assistent halt
- Mailempfang erfolgt mittels POP3-Download (Popbeamer)
- Versand erfolgt über den Smarthost des Providers
- Neue Internetanbindung (endlich!) mit 8 statischen IPv4-Adressen und beim Provider bereits eingerichtetem A-Record: hq.firma.org für eine der statischen IP-Adressen
Ziel:
Das System für einen sauberen internen und externen Zugriff auf/via OWA, ActiveSync (iOS10, Android) und Outlook Anywhere (Outlook 2007 bis 2013) um zudrehen. Es gibt zwar ein tägliches Backup (Windows-Serversicherung auf ext. USB-Festplatte), aber ein Ausfall/Restore wäre mehr als ärgerlich, da es sich noch um den einzigen Server handelt.
geplantes Vorgehen samt Verwirrung:
1. Mit dem Assistenten die URL auf hq.firma.org ändern. Mit den Optionen "Ich verfüge bereits über einen Domänennamen" und "ich möchte die Adresse selber verwalten"
Die Fragen die sich mir hier stellen:
a. wird der lokale DNS-Server hier sauber neukonfiguriert? Bei meinen Recherchen kam es zu unterschiedlichen Aussagen (läuft, händische alte Einträge löschen, Outlook bekommt bei bereits eingerichteten Konten die Änderung nicht sauber mit)
b. Wird ein korrekter (momentan nicht der Fall? Zertifikatsfehler?) Autodiscover-Eintrag erzeugt?
c. Verständnisproblem: wie greifen lokale Clients auf den Exchange zu hq.firma.org zeigt ja auf die WAN-IP
2. SSL-Zertifikat
a. selbsterstellte/-signierte Zertifikate werden wohl von iOS 10 Clients nicht mehr akzeptiert und gekaufte sind sicherer?!
b. Mit dem Assistenten eine neues selbstsigniertes Zertifikat erstellen (vorerst) und testen, ob im lokalen Netzwerk noch alles sauber läuft
c. Ebenfalls mit dem Assistenten ein CSR erstellen und ein offizielles Zertifikat kaufen (Thawte, GoDaddy etc.)...nun verlassen Sie mich final. Welchen Zertifikat-Typ brauche ich?
Bei Thawte finde ich von SSL123, SSL-Webserver und SSL-Webserver mit EV mit unterschiedlichen Preisen mehrere Möglichkeiten. Bei GoDaddy spricht man von "Schutz einer Webseite mit DV,- OV und EV-SSL Zertifikat". StartSSL habe ich mir angesehen und mich registriert, aber ich glaube mein Hirn käst schon. Wie viel Geld muss man hier sinnvoll ausgeben ohne was zum Fenster rauszuwerfen?
Ich hoffe jemand kann mir die Axt reichen, bitte mit Griff vorraus
auch wenn mein Anliegen schon mehrfach behandelt wurde und es zu allem Überfluss auch noch Freitag ist so hoffe ich auf die "Axt" die meine Sicht etwas aufklärt.
Vorab ich habe in dem Bereich ein gefährliches "Viertel"-Wissen und mich wohl durch zu viel googeln und lesen hier im Forum mehr selbst verwirrt als alles andere.
Folgende IST-Situation:
- SBS 2008 mit Exchange 2007 SP3 (aktuelles Patchlevel). AD, DNS, DHCP...die übliche Eierlegendewollmilchsau
- Die Kiste läuft rund und wurde zu 98% über die Assistenten konfiguriert
- die interne Domäne lautet: firma.local (vor Urzeiten eingerichtet als man es nicht besser wusste)
- FQDN des Servers: server.firma.local
- externe und interne URL (OWA, Remote-Webarbeitsplatz): remote.firma.zz
- Zertifikat selbst ausgestellt, signiert....Assistent halt
- Mailempfang erfolgt mittels POP3-Download (Popbeamer)
- Versand erfolgt über den Smarthost des Providers
- Neue Internetanbindung (endlich!) mit 8 statischen IPv4-Adressen und beim Provider bereits eingerichtetem A-Record: hq.firma.org für eine der statischen IP-Adressen
Ziel:
Das System für einen sauberen internen und externen Zugriff auf/via OWA, ActiveSync (iOS10, Android) und Outlook Anywhere (Outlook 2007 bis 2013) um zudrehen. Es gibt zwar ein tägliches Backup (Windows-Serversicherung auf ext. USB-Festplatte), aber ein Ausfall/Restore wäre mehr als ärgerlich, da es sich noch um den einzigen Server handelt.
geplantes Vorgehen samt Verwirrung:
1. Mit dem Assistenten die URL auf hq.firma.org ändern. Mit den Optionen "Ich verfüge bereits über einen Domänennamen" und "ich möchte die Adresse selber verwalten"
Die Fragen die sich mir hier stellen:
a. wird der lokale DNS-Server hier sauber neukonfiguriert? Bei meinen Recherchen kam es zu unterschiedlichen Aussagen (läuft, händische alte Einträge löschen, Outlook bekommt bei bereits eingerichteten Konten die Änderung nicht sauber mit)
b. Wird ein korrekter (momentan nicht der Fall? Zertifikatsfehler?) Autodiscover-Eintrag erzeugt?
c. Verständnisproblem: wie greifen lokale Clients auf den Exchange zu hq.firma.org zeigt ja auf die WAN-IP
2. SSL-Zertifikat
a. selbsterstellte/-signierte Zertifikate werden wohl von iOS 10 Clients nicht mehr akzeptiert und gekaufte sind sicherer?!
b. Mit dem Assistenten eine neues selbstsigniertes Zertifikat erstellen (vorerst) und testen, ob im lokalen Netzwerk noch alles sauber läuft
c. Ebenfalls mit dem Assistenten ein CSR erstellen und ein offizielles Zertifikat kaufen (Thawte, GoDaddy etc.)...nun verlassen Sie mich final. Welchen Zertifikat-Typ brauche ich?
Bei Thawte finde ich von SSL123, SSL-Webserver und SSL-Webserver mit EV mit unterschiedlichen Preisen mehrere Möglichkeiten. Bei GoDaddy spricht man von "Schutz einer Webseite mit DV,- OV und EV-SSL Zertifikat". StartSSL habe ich mir angesehen und mich registriert, aber ich glaube mein Hirn käst schon. Wie viel Geld muss man hier sinnvoll ausgeben ohne was zum Fenster rauszuwerfen?
Ich hoffe jemand kann mir die Axt reichen, bitte mit Griff vorraus
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 320036
Url: https://administrator.de/contentid/320036
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
viel Aufwand für ein fast totes Pferd ... ( der MX 2007 läuft im April in das EOL )
.
Don't worry ...
LG, Thomas
viel Aufwand für ein fast totes Pferd ... ( der MX 2007 läuft im April in das EOL )
.a. wird der lokale DNS-Server hier sauber neukonfiguriert?
Was hat der Internet-Assi mit dem internen DNS zu tun?b. Wird ein korrekter (momentan nicht der Fall? Zertifikatsfehler?) Autodiscover-Eintrag erzeugt?
Why not?c. Verständnisproblem: wie greifen lokale Clients auf den Exchange zu hq.firma.org zeigt ja auf die WAN-IP
Bis Outlook 2013 via FQDN, ab Outlook 2016 ausschliesslich über autodiscover ...a. selbsterstellte/-signierte Zertifikate werden wohl von iOS 10 Clients nicht mehr akzeptiert und gekaufte sind sicherer?!
Meine iOS 10 -Geräte haben da keine Probleme ... Don't worry ...
LG, Thomas
Hallo Thomas,
ja das fast tote Pferd bekommt nochmal eine Möhre, bevor kommendes Jahr (Q1) ein neues Pferd angeschafft wird.
Zu den eigenen Zertifikaten und iOS10: Wenn hier neue Geräte momentan eingerichtet werden sollen - im lokalen Netz - so wird das Zertifikat nicht akzeptiert. Auch wenn es manuell vorher als Profil installiert wird. Dies habe ich in meinem Leichtsinn (?) auf die eigenen Zertifikate und nur intern auflösbare FQDN etc. geschoben. Bin ich hier etwa auf dem Holzweg?
Schöne Grüße
Björn
ja das fast tote Pferd bekommt nochmal eine Möhre, bevor kommendes Jahr (Q1) ein neues Pferd angeschafft wird.
Zu den eigenen Zertifikaten und iOS10: Wenn hier neue Geräte momentan eingerichtet werden sollen - im lokalen Netz - so wird das Zertifikat nicht akzeptiert. Auch wenn es manuell vorher als Profil installiert wird. Dies habe ich in meinem Leichtsinn (?) auf die eigenen Zertifikate und nur intern auflösbare FQDN etc. geschoben. Bin ich hier etwa auf dem Holzweg?
Schöne Grüße
Björn
Moin,
LG, Thomas
Wenn hier neue Geräte momentan eingerichtet werden sollen - im lokalen Netz
dein Router beherrscht aber NAT loopback?LG, Thomas
Ja das tut er, handelt sich um einen älteren Lancom. Irgendwo gibt es lt. Meldung an den iOS Geräten Probleme bei der Überprüfung der Serveridentität. Da das momentan nicht sauber für einen externen Zugriff konfiguriert ist (Remote.firma.zz) vermute ich das Problem hier...außerdem kann ich nun sinnvollen Gebrauch der statischen IP machen.
Schöne Grüße
Schöne Grüße
Kommst Du via OWA aus Deinem LAN auf den MX?
Von Rechnern ohne Probleme oder Zertifikatsfehler. iOS kann ich erst Montag testen, sollte aber übers WLAN auch klappen.
Habe ich versucht, jedoch ohne Erfolg. Was mir jedoch gerade bei einem PC-Client (der nicht in der Domäne ist, HomeOffice) mit Outlook 2010 auffällt. Irgendwie ploppt für autodiscover.firma.org das Zertifikat für die Webseite www.firma.org auf.
Edit:
Doch hinbekommen. Vielen Dank!
Das mit den offiziellen Zertifikaten werde ich aber noch angehen, da muss unser Provider vorher nur noch ein paar DNS-Einträge ändern. *.firma.org verweisen alle auf unseren gehosteten Webserver.
Edit:
Doch hinbekommen. Vielen Dank!
Das mit den offiziellen Zertifikaten werde ich aber noch angehen, da muss unser Provider vorher nur noch ein paar DNS-Einträge ändern. *.firma.org verweisen alle auf unseren gehosteten Webserver.
