Suche vernünftiges Lehrbuch für Zertifikate
Guten Morgen allerseits,
kann mir jemand ein gutes Lehrbuch oder eine Schritt-für-Schritt-Anleitung empfehlen, welche die ganze Zertifikatsthematik mit Hintergrundinfos vernünftig erklärt?
Bei einer Testumgebung habe ich einen 2008 R2 mit Exchange 2010 und das neue Office 2016 läßt sich nur mit vernünftig konfiguriertem Autodiscover mit dem Exchange verbinden.
Ich habe ein Zertifikat ausgestellt und eingebunden und nun folgende Probleme:
Die interne Domain lautet test.local
Es gibt auch eine externe Domain test.de welche sich im Zertifikat wiederfindet (mit Popcon werden Mails direkt auf den Exchange geladen und verteilt, Benutzer schreiben Mails unter test.de)
Und es gibt für das Ansprechen von außen noch ein test.dyndns.org
Alle 3 Domains finden sich im Zertifikat wieder.
Auf dem Server ist eine Zertifizierungsstelle installiert.
Diese ist weder von außen (https://test.dyndns.com/certserv) erreichbar.
Noch von innen (https://servername/certserv)
Es kommt jedes Mal die Fehlermeldung, dass das Verzeichnis verschoben wurde.
Möchte nun ein Benutzer Outlook starten, kommt jedes Mal ein Zertifikatsfehler und Outlook startet nicht. Autodiscover erkennt den Benutzer auch nicht, obwohl sich der Computer in der Domäne befindet.
Da ich hier gravierende Wissenslücken habe, meine Frage zu guter Literatur.
Ciao und vielen Dank schon mal im Vorfeld
Rüdiger
kann mir jemand ein gutes Lehrbuch oder eine Schritt-für-Schritt-Anleitung empfehlen, welche die ganze Zertifikatsthematik mit Hintergrundinfos vernünftig erklärt?
Bei einer Testumgebung habe ich einen 2008 R2 mit Exchange 2010 und das neue Office 2016 läßt sich nur mit vernünftig konfiguriertem Autodiscover mit dem Exchange verbinden.
Ich habe ein Zertifikat ausgestellt und eingebunden und nun folgende Probleme:
Die interne Domain lautet test.local
Es gibt auch eine externe Domain test.de welche sich im Zertifikat wiederfindet (mit Popcon werden Mails direkt auf den Exchange geladen und verteilt, Benutzer schreiben Mails unter test.de)
Und es gibt für das Ansprechen von außen noch ein test.dyndns.org
Alle 3 Domains finden sich im Zertifikat wieder.
Auf dem Server ist eine Zertifizierungsstelle installiert.
Diese ist weder von außen (https://test.dyndns.com/certserv) erreichbar.
Noch von innen (https://servername/certserv)
Es kommt jedes Mal die Fehlermeldung, dass das Verzeichnis verschoben wurde.
Möchte nun ein Benutzer Outlook starten, kommt jedes Mal ein Zertifikatsfehler und Outlook startet nicht. Autodiscover erkennt den Benutzer auch nicht, obwohl sich der Computer in der Domäne befindet.
Da ich hier gravierende Wissenslücken habe, meine Frage zu guter Literatur.
Ciao und vielen Dank schon mal im Vorfeld
Rüdiger
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 291833
Url: https://administrator.de/contentid/291833
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
25 Kommentare
Neuester Kommentar
Moin,
Die CRL deiner CA musst du für alle Clients von überall abrufbar auf einen Webserver legen und deine URL für die CRL in den Einstellungen der CA angeben und dann das CA-Zertifikat und das Server-Zertifikat neu erstellen.
Gruß jodel32
Es kommt jedes Mal die Fehlermeldung, dass das Verzeichnis verschoben wurde.
Für mich eindeutiges Zeichen das die CRL (Certficate Revocation List) der CA nicht abgerufen werden kann, und deswegen meckern die Clients, weil sie die hinterlegte URL für die CRL-Liste nicht kontaktieren können. Diese CRL enthält die Thumbprints von allen von der CA zurückgerufenen Zertifikaten und ist eine einfache Textdatei.Die CRL deiner CA musst du für alle Clients von überall abrufbar auf einen Webserver legen und deine URL für die CRL in den Einstellungen der CA angeben und dann das CA-Zertifikat und das Server-Zertifikat neu erstellen.
Gruß jodel32
Wo hinterlege ich denn die URL?
In den Einstellungen der CA nicht im IIS, siehe auch Link unten.http://www.msxfaq.de/signcrypt/crl05.jpg
Beim Installieren der Zertifizierungsdienste:
Welche sind denn notwendig, um zB mit Outlook von einem anderen Standort aus zuzugreifen?
Die CRL muss nur auf einem beliebigen Webserver abrufbar sein, und der Client der CA vertrauen (CA-Cert in die vertrauenswürdigen Stamm-Zertifizierungsstellen auf dem Client importieren), hier steht alles was du dazu wissen musst:Welche sind denn notwendig, um zB mit Outlook von einem anderen Standort aus zuzugreifen?
http://www.msxfaq.de/signcrypt/crl.htm
Moin,
oh je oh je, wenn ich das lese beschäftige doch erst mal mit den Grundlagen zu einer CA, sonst wird das nichts.
http://openbook.rheinwerk-verlag.de/windows_server_2008/windows_server_ ...
Gruß grexit
oh je oh je, wenn ich das lese beschäftige doch erst mal mit den Grundlagen zu einer CA, sonst wird das nichts.
http://openbook.rheinwerk-verlag.de/windows_server_2008/windows_server_ ...
Gruß grexit
Moin,
Gruß,
Dani
Leider habe ich nix entsprechendes gefunden.
Es gibt noch Windows Server 2008 - PKI- und Zertifikat-Sicherheit. Viel hat sich nicht geändert und die Grundlagen schon gar nicht. Gruß,
Dani
Wie @Dani schon sagt an den Grundlagen hat sich nichts verändert. Hier und da ein Dialog minimal anders, aber ansonsten weitestgehend übertragbar.
2008 R2 habe ich momentan in der Testumgebung, weil ich ihn noch besser zu administrieren finde als 2012 mit seinen vielen Powershell-Befehlen.
Verabschiede dich davon... mit 2016 wird das Ganze nochmal extremer. Es ist schlicht einfach nicht mehr möglich, alle Powershell-Befehle in eine GUI übersichtlich und strukturiert darzustellen.Ich denke mal, das Ganze ist bestimmt auch für neuere Server anwendbar?
Wenn du die Basic verstehst, ist das völlig egal... Änderungen kannst du grundsätzlich im Technet nachlesen.Gruß,
Dani
Zitat von @Ruediger010:
Der IIS war bereits installiert, diesen habe ich nicht neu installiert.
Die Bindungen verweisen auf das neue Zertifikat.
Welches ? Ich hoffe nicht auf das der CA ....Der IIS war bereits installiert, diesen habe ich nicht neu installiert.
Die Bindungen verweisen auf das neue Zertifikat.
Für den IIS fordert man ein extra Zertifikat bei der CA an.
Das eigene Zertifikat test-ca habe ich der vertrauenswürdigen Stammzertifizierungsstelle hinzugefügt.
Das ist Blödsinn, denn die CA vertraut sich automatisch selbst und erledigt das bei der Installation schon. Das gilt nur für die Clients!! Und denen kann man das Cert via GPO pushen.1. Problem im Servermanager: Unternehmens-PKI: Hier sagt er, AIA-Speicherort und Sperrlistenfehler -> Download nicht möglich.
Die Sperristen müssen immer mit normalem http abrufbar sein, der IIS muss also normalen http Zugriff gestatten. Zusätzliche Hinweise s. unten.2. Problem: Der BPA zeigt an, dass die automatische Benutzer- und Computerregistrierung nicht aktiviert wäre. Dies habe ich aber in der Gruppenrichtlinienverwaltung / Default Domain Controllers Policy vorgenommen
OK, also kein Problem...3. Problem: Lokal auf dem Server mit dem IE rufe ich die Zertifizierungsstelle auf (https://server-pdc/certsrv)
Hier erhalte ich immer einen Zertifikatsfehler.
Warum?
Weil du für den IIS noch kein Server-Zertifikat angefordert hast, welches diesen Namen enthält!Hier erhalte ich immer einen Zertifikatsfehler.
Warum?
Da komme ich wieder zu den Zertifikatsgrundlagen und der Bedeutung des Common-Name und den Subject Alternative Names eines Zertifikats die du dir unbedingt mal ansehen solltest.
Ich habe das Zertifikat test-ca doch in der vertrauenswürdigen Stammzertifizierungsstelle installiert?
Falsch, s.o. Das hat in diesem Fall nichts damit zu tun.Die Meldung besagt, dass das Zertifikat für eine andere Adresse ausgestellt wurde.
Eben, fordere im IIS ein Serverzertifikat bei der CA mit richtigen Common-Name des Servers an.4.Problem: Von extern komme ich nicht auf die Zertifizierungsstelle.
Dies müsste eigentlich doch passieren unter https://testserver.dyndns.org/certsrv
Hier sagt er, Datei oder Verzeichnis wurde nicht gefunden.
Fehlende Portweiterleitung am Router, oder SperrlistenURLs von extern nicht erreichbar.Dies müsste eigentlich doch passieren unter https://testserver.dyndns.org/certsrv
Hier sagt er, Datei oder Verzeichnis wurde nicht gefunden.
Außerdem würde mich der Teufel reiten eine CA direkt ins Web zu hängen!! Sowas macht man nur mit besonderste abgesicherten Webservern in einer DMZ!
5.Problem: Auf meinem Win 8 System habe ich das Zertifikat der Zertifizierungsstelle in den vertrauenswürdigen Stammzertifizierungsstellen installiert.
Ich hoffe in den Computer- und nicht den User-Store. Außerdem wäre das überflüssig wenn du wie ich oben geschrieben habe das CA Cert wie empfohlen per GPO auf die Clients gepusht hättest.Dieses Zertifikat berechtigt normal für alle Dienste.
Wenn ich eine RDP-Verbindung mit dem Server aufbaue, muss ich trotzdem überprüfen.
Meldung: Angeforderter Remotecomputer: testserver.dyndns.org
Zertifikat des Remotecomputers: testserver.domain.local
RDP ist nochmal ein ganz anderes Kaliber s. dazu folgenden LinkWenn ich eine RDP-Verbindung mit dem Server aufbaue, muss ich trotzdem überprüfen.
Meldung: Angeforderter Remotecomputer: testserver.dyndns.org
Zertifikat des Remotecomputers: testserver.domain.local
http://www.rdsgurus.com/ssl-certificates/windows-2012-r2-how-to-create- ...
6.Problem: Auf dem Exchange Server habe ich ein neues Zertifikat erstellt.
Wie ?Ein CSR erstellt und das bei der CA eingereicht ?
Dieses finde ich bei den Zertifikaten unter eigene Zertifikate aber nicht.
Ich habe im Exchange Server einige Zertifikatssignieranforderungen.
Tja diese musst du ja auch erst bei der CA einreichen...Ich habe im Exchange Server einige Zertifikatssignieranforderungen.
Diese kann ich aber nicht abschließen, weil er sagt, das Zertifikat mit dem Fingerabdruck wäre bereits installiert?
Dann solltest du erst mal alle anderen Zertifikate deinstallieren. Powershell ist wie immer dein Freund.7. Versuche ich via OWA auf den Exchange zu kommen, schlägt er mir nur ein abgelaufenes Zertifikat vor.
Eben ein veraltetes, zu Exchange-Zertifikaten und deren Installation findest du im Web Haufenweise Anleitungen.Fazit: Die Rheinwerk-Dokumentation hat mir zwar ein wenig die Hintergründe vermittelt, so ganz erschließt sich mir aber die Handhabung im tatsächlichen Betrieb nicht wirklich.
Da ist halt jeder anderst gestrickt.Dabei wären vor allem folgende Fragen von Interesse:
Kann ich und ist es sinnvoll ein Hauptzertifikat für alle Anwendungsbereiche zu erstellen?
Oder sollte für jedes Anwendungsgebiet ein eigenes Zertifikat erstellt werden (zB Remotedesktop-Dienste)?
Kommt auf deine Server-Struktur an.Kann ich und ist es sinnvoll ein Hauptzertifikat für alle Anwendungsbereiche zu erstellen?
Oder sollte für jedes Anwendungsgebiet ein eigenes Zertifikat erstellt werden (zB Remotedesktop-Dienste)?
Man kann das mit einem Wildcard-Zertifikat alles abfackeln, würde ich aber persönlich nicht machen wollen.
Muss ich für interne Domains und extern erreichbare Domains jeweils eigene Zertitikate erstellen?
Nein, das regelt man über SAN (Subject Alternative Names) im Zertifikat.Dieser Server ist ja auch gleichzeitig Webserver. Die CRL ist ja auch vorhanden. Trotzdem findet er sie nicht. Habe ich noch irgendwo etwas vergessen, ist noch zusätzlich irgendwo etwas einzustellen, damit die crl und crt gefunden werden?
Wie oben geschrieben die CRL kann nur via simplen http abgerufen werden.Und selbstverständlich muss die URL extern via DNS auflösbar sein d.h. eine der CRL-URLs die du hinzufügst muss eine extern erreichbare Adresse sein!! Ist ja auch logisch, denn von außen auf testdomain.intern zuzugreifen kann ja nur fehlschlagen.
Wo du die CRL-URLs findest, hat dir @114757 in einem weiter oben zu findenden Posting schon geschrieben.
Ebenso findest du die Sperrlisten URLs im Zertifikat der CA wieder. Ist dort keine URL mit dabei die von extern erreichbar und auflösbar ist kann der Abruf dieser auch nicht klappen und dun musst sie nachtragen, und das CA-Cert neu erzellen.So einfach ist das.
Und Portweiterleitung am Router natürlich nicht vergessen (aber nur für einen Test, später sollte das ein extra System in einer DMZ erledigen, denn eine CA direkt ins Web zu stellen, ist der Obergau!)
Moin,
Je nach Zertifikatstype ist das möglich. Wenn du für den Computer ein Zertifikat ausgestellt hast, musst dieses auch den Diensten (Remote Desktop) zuweisen. Das macht Windows nicht von alleine.
Gruß,
Dani
1. Problem im Servermanager: Unternehmens-PKI: Hier sagt er, AIA-Speicherort und Sperrlistenfehler -> Download nicht möglich.
Auf welche Adresse verweisen diese und sind diese über die URL abrufbar?2. Problem: Der BPA zeigt an, dass die automatische Benutzer- und Computerregistrierung nicht aktiviert wäre. Dies habe ich aber in der Gruppenrichtlinienverwaltung / Default Domain Controllers Policy vorgenommen
So was wird eigentlich mit einer zusätzlich Gruppenrichtlinie konfiguriert. Die Default Richtlinien werden nur angelangt, wenn es unabdingbar ist. Und die Default Domain Controllers Policy wird nur auf DCs angewendet und nicht auf die Client... das aber nur am Rande!Außerdem würde mich der Teufel reiten eine CA direkt ins Web zu hängen!! Sowas macht man nur mit besonderste abgesicherten Webservern in einer DMZ!
Oder über einen ReverseProxy welcher ebenfalls in der DMZ steht und nur Anfragen an eine bestimmte URL zulässt.Auf meinem Win 8 System habe ich das Zertifikat der Zertifizierungsstelle in den vertrauenswürdigen Stammzertifizierungsstellen installiert.
Wenn diese Rechner in der Domäne sind und automatisch Zertifikate an Clients verteilt werden, passiert dies vollautomatisch. Somit ist klar, dass deine Konfiguration von Problem 2 nicht funktioniert.Fazit: Die Rheinwerk-Dokumentation hat mir zwar ein wenig die Hintergründe vermittelt, so ganz erschließt sich mir aber die Handhabung im tatsächlichen Betrieb nicht wirklich.
Was hast du erwartet... das soll ein Einstieg darstellen und nicht mehr. Hintergründe und Wissen kannst du im TechNet Seite an Seite nachlesen bis es dir zum Hals rauskommt.Kann ich und ist es sinnvoll ein Hauptzertifikat für alle Anwendungsbereiche zu erstellen?
Oder sollte für jedes Anwendungsgebiet ein eigenes Zertifikat erstellt werden (zB Remotedesktop-Dienste)?Je nach Zertifikatstype ist das möglich. Wenn du für den Computer ein Zertifikat ausgestellt hast, musst dieses auch den Diensten (Remote Desktop) zuweisen. Das macht Windows nicht von alleine.
Gruß,
Dani
Zitat von @Ruediger010:
Dies habe ich im IIS Manager unter Serverzertifikat / Selbstsigniertes Zertifikat erstellen getan.
Stimmt dies so?
Falsch! "Domänenzertifikat" anfordern. Ein selbstsigniertes Zertifikat hat nicht die CA als Ursprung sondern sich selbst, und das wollen wir ja nichtDies habe ich im IIS Manager unter Serverzertifikat / Selbstsigniertes Zertifikat erstellen getan.
Stimmt dies so?
Man kann auch manuell ein Webserver-Zertifkat mit mehreren SANs erstellen, und dann einbinden:
http://www.carbonwind.net/blog/post/Quick-Dirty-Trick-e28093-Enroll-a-w ...
https://technet.microsoft.com/de-de/library/ff625722%28v=ws.10%29.aspx#B ...
http-Zugriff ist gestattet.
Die Bindung von http verweist auf testserver.dyndns.org
Ich hoffe dies passt so?
Hostheader muss nicht eingetragen werden. Kommt nur bei Verwendung von mehreren IIS-Sites zum Einsatz.Die Bindung von http verweist auf testserver.dyndns.org
Ich hoffe dies passt so?
Eben, fordere im IIS ein Serverzertifikat bei der CA mit richtigen Common-Name des Servers an.
Wie wäre der denn?
siehe oben. Ich hänge nicht an der Domäne.
Und ich habs in beide Stores installiert
Der Computer-Store reicht völlig aus.Und ich habs in beide Stores installiert
Ich habe momentan ein bisschen die Vermutung, dass mein System mittlerweile durchs viele rumspielen schon verkonfiguriert ist.
Vielleicht sollte ich wirklich mal einen 2012 installieren und damit testen.
Tu das.Vielleicht sollte ich wirklich mal einen 2012 installieren und damit testen.
Puh, das mit dem Zertifikat der CA und Nachtragen bzw. Neuausstellen eines Zertifikats mit den Weburls erschließt sich für mich immer noch nicht so recht.
Du meinst jetzt bei der CA den Sperrlisten-Verteilerpunkt oder gibts da noch eine andere Stelle?
Dort meine ich das, dort trägst du zusätzlich eine extern erreichbare http-URL ein damit der Client die CRL unter dieser URL abrufen kann.Du meinst jetzt bei der CA den Sperrlisten-Verteilerpunkt oder gibts da noch eine andere Stelle?
http://xyz.dyndns.org/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
In CDP-Erweiterung des ausgestellten Zertifikats einbeziehen.
Man kann natürlich auch ein benutzerdefiniertes Zertifikatstemplate erstellen in der keine CRLs eingetragen sind oder alle Zerrlistenpunkte rausnehmen, das bleibt jedem überlassen ist aber nicht zu Empfehlen wenn der Client nicht prüfen kann welche Zertifikate revoked wurden.
Hier heißt es erst mal Schritt für Schritt sich in die Materie einzulesen. Doku dazu gibt es genug im Web, man muss sich halt nur die Zeit nehmen.
Über Hilfe gegen Cash ließe sich auch reden.
Gruß grexit
Die Zeit hättest du vielleicht besser erst mal in Lesen und recherchieren investiert, anstatt hier mal was verstellt und da mal was verstellt ohne in Hintergründe zu kennen. Quellen gibt es genug im Netz und das vor allem bei MS.
Kein Buch kann dir jede noch so kleine Einstellung erläutern, das wäre ein Wälzer mit 100000 Seiten... Wie Dani schon sagt das Technet liefert dir auf alle Fragen die entsprechenden Antworten.
Aber grundsätzlich stellt man keine extern erreichbaren Zertifikate mit ldap Sperrlisten-URLs etc. aus
Und noch als wichtige Info: Die Sperrlisten URLs landen nur in nach dem setzen der Einstellung generierten Zertifikaten.
Schau dir einfach mal die Eigenschaften eines Zertifikates genauer an, dann siehst du das.
??? Ein CAS kann nur ein Zertifikat und hier trägt man die Domains als SANs ein nicht anders ...
Einfach endlich mal lesen
http://exchangeserverpro.com/exchange-server-2013-ssl-certificates/
http://exchangeserverpro.com/avoiding-exchange-2013-server-names-ssl-ce ...
BTW. bist du nicht gezwungen gleich eine Microsoft PKI zu nutzen.
Das geht ohne viel Aufwand auch hervorragend mit einen Tool Namens
XCA
mit dem man sich seine Zertifikate komfortabel zusammenklingen kann, und das portabel ohne jegliche Installation.
Na dann noch viel Erfolg beim rumbasteln.
i'm out'a here
Gruß und guten Rutsch
grexit
Kein Buch kann dir jede noch so kleine Einstellung erläutern, das wäre ein Wälzer mit 100000 Seiten... Wie Dani schon sagt das Technet liefert dir auf alle Fragen die entsprechenden Antworten.
und dabei folgendes festgestellt:
Beim Ort der Sperrlisten:
Mal findet er sie, mal nicht ?!?
Gestern abend war folgender Stand:
Gebe ich ein: http://testserver.domain.local (den FQDN), kann er die Sperrlisten nicht finden.
Gebe ich http://testserver.dyndns.org ein, findet er sie auch nicht.
Gebe ich nur http://testserver (natürlich mit den entsprechenden Dateierweiterungen wie CaName etc.) ein, findet er sie.
Hier fehlt mal wieder die Info von wo und wie du versuchst sie zu erreichen!Beim Ort der Sperrlisten:
Mal findet er sie, mal nicht ?!?
Gestern abend war folgender Stand:
Gebe ich ein: http://testserver.domain.local (den FQDN), kann er die Sperrlisten nicht finden.
Gebe ich http://testserver.dyndns.org ein, findet er sie auch nicht.
Gebe ich nur http://testserver (natürlich mit den entsprechenden Dateierweiterungen wie CaName etc.) ein, findet er sie.
Heute morgen habe ich einen anderen Stand.
AIA-Speicherort1: Findet er unter dem FQDN
AIA-Speicherort2: Findet er nicht unter testserver.dyndns.org
AIA-Speicherort3: Nur unter dem Servernamen: findet er nicht
Sperrlisten-Verteilerpunkt1: FQDN: findet er
Punkt 2: testserver.dyndns.org: Findet er nicht
Punkt3: nur Servername: Findet er wiederum.
OCSP-Speicherorte stehen 2 drin, einmal der FQDN und einmal nur der Servername - die findet er beide nicht.
Muss er auf jeden Speicherort zugreifen können oder würde einer reichen?
Für den Client reicht eine einzige erreichbare URL, die welche er nicht erreichen kann ignoriert er.AIA-Speicherort1: Findet er unter dem FQDN
AIA-Speicherort2: Findet er nicht unter testserver.dyndns.org
AIA-Speicherort3: Nur unter dem Servernamen: findet er nicht
Sperrlisten-Verteilerpunkt1: FQDN: findet er
Punkt 2: testserver.dyndns.org: Findet er nicht
Punkt3: nur Servername: Findet er wiederum.
OCSP-Speicherorte stehen 2 drin, einmal der FQDN und einmal nur der Servername - die findet er beide nicht.
Muss er auf jeden Speicherort zugreifen können oder würde einer reichen?
Aber grundsätzlich stellt man keine extern erreichbaren Zertifikate mit ldap Sperrlisten-URLs etc. aus
Bringt es Nachteile, wenn er nicht auf jeden zugreifen kann?
Nein, er muss nur die CRL herunterladen können von wo ist egal. Wenn man aber Sperrlisten mit ins Zertifikat einbindet muss mindestens eine davon erreichbar sein, denn sonst kann ein Betriebssystem den Zugriff auf die Seite mit diesem Zertifikat blockieren, wenn entsprechende CRL-Verifikationseinstellungen gesetzt sind.Und noch als wichtige Info: Die Sperrlisten URLs landen nur in nach dem setzen der Einstellung generierten Zertifikaten.
Schau dir einfach mal die Eigenschaften eines Zertifikates genauer an, dann siehst du das.
Mit Deinen Tipps habe ich nun zumindest schonmal Outlook Anywhere von meinem Notebook zum Testsystem zum laufen bekommen. Ich habe 2 Exchange Zertifikate erstellt: Eins für internes Netzwerk, eines für außerhalb.
??? Ein CAS kann nur ein Zertifikat und hier trägt man die Domains als SANs ein nicht anders ...
Einfach endlich mal lesen
http://exchangeserverpro.com/exchange-server-2013-ssl-certificates/
http://exchangeserverpro.com/avoiding-exchange-2013-server-names-ssl-ce ...
BTW. bist du nicht gezwungen gleich eine Microsoft PKI zu nutzen.
Das geht ohne viel Aufwand auch hervorragend mit einen Tool Namens
XCA
mit dem man sich seine Zertifikate komfortabel zusammenklingen kann, und das portabel ohne jegliche Installation.
Na dann noch viel Erfolg beim rumbasteln.
i'm out'a here
Gruß und guten Rutsch
grexit
Wie immer dein Freund ob du alles richtig eingerichtet hast:
https://testconnectivity.microsoft.com/
https://testconnectivity.microsoft.com/
Hier ist die Schwierigkeit, dass die Benutzer eine Mailadresse haben, die nicht benutzer@domain.local lautet sondern benutzer@domain.de
Auch kein Problem mit zusätzlicher Accepted Domain und Adressbookpolicy. zusätzlich kann man den Usern intern auf ein anderes UPN-Suffix zuweisen. Zusätzliche UPN-Suffixe lassen sich in der MMC ActiveDirectory Sites & Services hinzufügen, damit kann man dann beim ersten Verbinden die zusätzliche Credential-Abfrage verhindern.
Wie immer ...
http://www.msxfaq.de/e2007/autodiscover.htm
Diese sollte man alle korrekt konfigurieren, sonst kann das nie klappen!
Powershell: Konfigurieren der internen und externen URLs von Exchange Server 2013, 2016
Gruß grexit
Das Tool sagt folgendes:
Beim Test der Outlook-Autoermittlung für einen Benutzer:
Kann er erfolgreich testen, aber nur wenn er an Strato durchreicht.
??Beim Test der Outlook-Autoermittlung für einen Benutzer:
Kann er erfolgreich testen, aber nur wenn er an Strato durchreicht.
Für die interne Domain kann er nicht.
Logisch alles was intern ist ist ja nicht für extern.DNS-Eintrag für domain.de findet er
Port ist auch geöffnet
OKPort ist auch geöffnet
Bei der Gültigkeitsprüfung kann er kein Remote SSL Zertifikat abrufen.
Klar, der Eintrag im Zertifikat lautet ja auch autodiscover.domain.de und wenn er nur domain.de abrufen möchte, findet er keinen Eintrag dazu.
externe Subdomain mit A-Record autodiscover.domain.de fehlt bei Strato.Klar, der Eintrag im Zertifikat lautet ja auch autodiscover.domain.de und wenn er nur domain.de abrufen möchte, findet er keinen Eintrag dazu.
Oder muss hier noch ein zusätzliches Zertifikat eingerichtet werden?
Nope. autodiscover Subdomain mit ins Zertifikat packen.Für autodiscover.domain.de sagt er, den Host kann er nicht im DNS auflösen
wie gesagt den hast du vergessen bei Strato als Subdomain einzurichten.Beim Test der http-Umleitungsmethode meint er auch, er kann den DNS Namen nicht auflösen.
Die Umleitungsmethode probiert er nur wenn alle anderen Versuche die autodiscover.xml zu erreichen fehlschlagen und wenn die Umleitung nicht eingerichtet schlägt das eben fehl, logisch. Les doch bitte erst mal die Grundlagen zum Autodiscover durch dann versteht sich das von selbst!http://www.msxfaq.de/e2007/autodiscover.htm
Als UPN Suffix habe ich die externe Domain mit als vertrauenswürdig hinzugefügt.
Der Benutzer kann sich auch als domain.de anmelden.
Hilft aber im Endeffekt nix, weil er dann wieder zu den Strato Autodiscover Infos durchreicht.
Das ist auch nur als Erleichterung für den User bei der Einrichtung des Outlook gedacht, so dass er nicht DOMAIN\User oder user@domain.local benutzen muss.Der Benutzer kann sich auch als domain.de anmelden.
Hilft aber im Endeffekt nix, weil er dann wieder zu den Strato Autodiscover Infos durchreicht.
Wenn ich beim Benutzer benutzer@domain.local hinterlege, wie es ja sowieso Standard war, richtet ers richtig ein, stürzt dann aber ab und bleibt ewig darin hängen, dass er keine Verbindung zum Exchange Server bekommt.
Erst mal alles andere richtig einrichten, du versuchst es hier einfach mit einem Durcheinander was nie zum Erfolg führen kann.Auch beim Exchange Active Sync spinnt er rum (obwohl dies mit Handy eigentlich 1a funktioniert).
Wie oben bereits geschrieben stimmen 100% deine URLs intern nicht.Diese sollte man alle korrekt konfigurieren, sonst kann das nie klappen!
Powershell: Konfigurieren der internen und externen URLs von Exchange Server 2013, 2016
Fehler bringt er bei "Die IIS-Konfiguration wird im Hinblick auf die Clientzertifikatsauthentifizierung überprüft". Clientzertifikatsauthentifizierung erkannt. Clientzertifikate für Akzeptieren/Anfordern gefunden. Legen Sie in der IIS-Konfiguration fest, dass Clientzertifikate ignoriert werden, wenn Sie diesen Authentifizierungstyp nicht verwenden.
Hier verstehe ich nicht, was falsch ist?
Tja das ist nur die SSL-Einstellung im IIS das er Client-Zertifikate annimmt, ist nicht so wichtig aber da hast du sicher auch einfach mal wieder rumgespielt. Einfach Einstellung in der SSL-Section im IIS zurücksetzen.Hier verstehe ich nicht, was falsch ist?
Bei der Autoermittlungsprüfung für Active Sync meckert er auch wieder das Remote Zertifikat an, bei den Details meint er: Unbekannter Fehler bei der Überprüfung des SSL-Zertifikats
Einen CName Autoermittlungseintrag kann er nicht finden
Beim Test der Exchange Webdienste mit Autoermittlung meint er:
Keine Einstellungen für EXPR oder EXCH in der Antwort der AutoErmittlung gefunden.
Für was eine Adressbook-Policy? Ich dachte diese ist dafür da, wenn ich 2 unterschiedliche Domains getrennt an einem Exchange Server verwalten möchte, ohne das die eine die Daten der anderen sehen darf?
Alles folge einer komplett falschen Config, sorry.Einen CName Autoermittlungseintrag kann er nicht finden
Beim Test der Exchange Webdienste mit Autoermittlung meint er:
Keine Einstellungen für EXPR oder EXCH in der Antwort der AutoErmittlung gefunden.
Für was eine Adressbook-Policy? Ich dachte diese ist dafür da, wenn ich 2 unterschiedliche Domains getrennt an einem Exchange Server verwalten möchte, ohne das die eine die Daten der anderen sehen darf?
Wie gesagt ein MX Record soll bei Strato nicht erstellt werden, da Strato dann alle Mails direkt an den Exchange weiterleitet und sie nicht mehr stratointern speichert, um ggf. auch über andere Quellen abzurufen.
Muss auch nicht wenn die Mailserver dir keine Mails direkt zustellen sollen. Deine genutzte Sub-Domain zum Zugriff über OWA/Outlook etc. muss bei Strato nur via CNAME-Eintrag auf deine dyndns-Adresse verweisen.Was gibts nun noch für Möglichkeiten?
Weiterbildung.Das Exchange Zertifikat nochmal neu einstellen und als Domain nicht nur autodiscover.domain.de hinterlegen sondern domain.de selbst?
Haben wir oben schon alles erörtert.Was muss im DNS Server noch hinterlegt werden und wo und wie?
s. oben.Bei anderen Tests sagt er, er kann keine vollständige Zertifikatskette finden.
Logisch wenn man selbstsignierte Zertifikate nutzt, diesen Fehler kannst du gepflegt ignorieren wenn du das CA-Cert bei den Clients implantierst.Gruß grexit
Zitat von @Ruediger010:
So, Problem gelöst.
Es war nicht der A-Record, der will immer eine IP-Adresse haben und da der Server ja keine feste IP hat....
Es war der SRV-Record, der bei Strato fehlte.
Der ist kein muss sondern eine mögliche Option welche Outlook bei seinem Autodiscover-Prozess durchläuft wenn es keine andere Option mehr hat den Server herauszufinden. Steht ja auch oben im letzten Link zum Autodiscover-Prozess.So, Problem gelöst.
Es war nicht der A-Record, der will immer eine IP-Adresse haben und da der Server ja keine feste IP hat....
Es war der SRV-Record, der bei Strato fehlte.
Diesen kannst du dir übrigens auch detailliert anzeigen lassen indem du mit STRG + RECHTSKLICK auf das Outlook-Icon in der Statusleiste klickst, und dann einen Autodiscover-Test durchführen lässt.
Der Autodiscover-A-Record wird an zweiter Stelle nach der eigentlichen Domain überprüft, ist dieser auch nicht vorhanden geht es weiter zur nächsten Option. Bedenke auch das manche Smartphone-Clients keine _SRV Record Überprüfung machen und dadurch eventuell keinen Kontakt bekommen wenn die anderen Verfahren nicht greifen.
Wenn ich mich irgendwie erkenntlich zeigen kann?
Nee ist schon gut so, dafür ist ein Forum ja da.Wo kommst Du eigentlich her?
Ich bin momentan auf MAUI (HAWAII) stationiert leider nur noch 3 Monate, dann ist meine Arbeit hier getan und es geht weiter, wohin ist noch nicht sicher.Jetzt erst mal ne Runde mit dem Surfboard in den Pazifik hüpfen, bevor's wieder zur Arbeit geht Ist hier zwar das reinste Paradies aber bei Arbeitstagen die durchschnittlich 18-19 Stunden dauern auch kein Pappenstiel.
Gruß grexit