ezekiel666
Goto Top

SBS 2008 (Exchange 2007 SP3) - externe URL ändern - neues Zertifikat

Einen schönen guten Abend zusammen,

auch wenn mein Anliegen schon mehrfach behandelt wurde und es zu allem Überfluss auch noch Freitag ist so hoffe ich auf die "Axt" die meine Sicht etwas aufklärt.
Vorab ich habe in dem Bereich ein gefährliches "Viertel"-Wissen und mich wohl durch zu viel googeln und lesen hier im Forum mehr selbst verwirrt als alles andere.

Folgende IST-Situation:
- SBS 2008 mit Exchange 2007 SP3 (aktuelles Patchlevel). AD, DNS, DHCP...die übliche Eierlegendewollmilchsau
- Die Kiste läuft rund und wurde zu 98% über die Assistenten konfiguriert
- die interne Domäne lautet: firma.local (vor Urzeiten eingerichtet als man es nicht besser wusste)
- FQDN des Servers: server.firma.local
- externe und interne URL (OWA, Remote-Webarbeitsplatz): remote.firma.zz
- Zertifikat selbst ausgestellt, signiert....Assistent halt
- Mailempfang erfolgt mittels POP3-Download (Popbeamer)
- Versand erfolgt über den Smarthost des Providers
- Neue Internetanbindung (endlich!) mit 8 statischen IPv4-Adressen und beim Provider bereits eingerichtetem A-Record: hq.firma.org für eine der statischen IP-Adressen

Ziel:
Das System für einen sauberen internen und externen Zugriff auf/via OWA, ActiveSync (iOS10, Android) und Outlook Anywhere (Outlook 2007 bis 2013) um zudrehen. Es gibt zwar ein tägliches Backup (Windows-Serversicherung auf ext. USB-Festplatte), aber ein Ausfall/Restore wäre mehr als ärgerlich, da es sich noch um den einzigen Server handelt.

geplantes Vorgehen samt Verwirrung:
1. Mit dem Assistenten die URL auf hq.firma.org ändern. Mit den Optionen "Ich verfüge bereits über einen Domänennamen" und "ich möchte die Adresse selber verwalten"
Die Fragen die sich mir hier stellen:
a. wird der lokale DNS-Server hier sauber neukonfiguriert? Bei meinen Recherchen kam es zu unterschiedlichen Aussagen (läuft, händische alte Einträge löschen, Outlook bekommt bei bereits eingerichteten Konten die Änderung nicht sauber mit)
b. Wird ein korrekter (momentan nicht der Fall? Zertifikatsfehler?) Autodiscover-Eintrag erzeugt?
c. Verständnisproblem: wie greifen lokale Clients auf den Exchange zu hq.firma.org zeigt ja auf die WAN-IP

2. SSL-Zertifikat
a. selbsterstellte/-signierte Zertifikate werden wohl von iOS 10 Clients nicht mehr akzeptiert und gekaufte sind sicherer?!
b. Mit dem Assistenten eine neues selbstsigniertes Zertifikat erstellen (vorerst) und testen, ob im lokalen Netzwerk noch alles sauber läuft
c. Ebenfalls mit dem Assistenten ein CSR erstellen und ein offizielles Zertifikat kaufen (Thawte, GoDaddy etc.)...nun verlassen Sie mich final. Welchen Zertifikat-Typ brauche ich?

Bei Thawte finde ich von SSL123, SSL-Webserver und SSL-Webserver mit EV mit unterschiedlichen Preisen mehrere Möglichkeiten. Bei GoDaddy spricht man von "Schutz einer Webseite mit DV,- OV und EV-SSL Zertifikat". StartSSL habe ich mir angesehen und mich registriert, aber ich glaube mein Hirn käst schon. Wie viel Geld muss man hier sinnvoll ausgeben ohne was zum Fenster rauszuwerfen?

Ich hoffe jemand kann mir die Axt reichen, bitte mit Griff vorraus face-wink

Content-Key: 320036

Url: https://administrator.de/contentid/320036

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: keine-ahnung
keine-ahnung 04.11.2016 um 23:18:43 Uhr
Goto Top
Moin,
viel Aufwand für ein fast totes Pferd ... ( der MX 2007 läuft im April in das EOL ) face-smile.
a. wird der lokale DNS-Server hier sauber neukonfiguriert?
Was hat der Internet-Assi mit dem internen DNS zu tun?
b. Wird ein korrekter (momentan nicht der Fall? Zertifikatsfehler?) Autodiscover-Eintrag erzeugt?
Why not?
c. Verständnisproblem: wie greifen lokale Clients auf den Exchange zu hq.firma.org zeigt ja auf die WAN-IP
Bis Outlook 2013 via FQDN, ab Outlook 2016 ausschliesslich über autodiscover ...
a. selbsterstellte/-signierte Zertifikate werden wohl von iOS 10 Clients nicht mehr akzeptiert und gekaufte sind sicherer?!
Meine iOS 10 -Geräte haben da keine Probleme ... face-smile

Don't worry ...

LG, Thomas
Mitglied: Ezekiel666
Ezekiel666 05.11.2016 um 16:47:57 Uhr
Goto Top
Hallo Thomas,

ja das fast tote Pferd bekommt nochmal eine Möhre, bevor kommendes Jahr (Q1) ein neues Pferd angeschafft wird. face-smile

Zu den eigenen Zertifikaten und iOS10: Wenn hier neue Geräte momentan eingerichtet werden sollen - im lokalen Netz - so wird das Zertifikat nicht akzeptiert. Auch wenn es manuell vorher als Profil installiert wird. Dies habe ich in meinem Leichtsinn (?) auf die eigenen Zertifikate und nur intern auflösbare FQDN etc. geschoben. Bin ich hier etwa auf dem Holzweg?

Schöne Grüße
Björn
Mitglied: keine-ahnung
keine-ahnung 05.11.2016 um 18:21:27 Uhr
Goto Top
Moin,
Wenn hier neue Geräte momentan eingerichtet werden sollen - im lokalen Netz
dein Router beherrscht aber NAT loopback?

LG, Thomas
Mitglied: Ezekiel666
Ezekiel666 05.11.2016 um 18:52:31 Uhr
Goto Top
Ja das tut er, handelt sich um einen älteren Lancom. Irgendwo gibt es lt. Meldung an den iOS Geräten Probleme bei der Überprüfung der Serveridentität. Da das momentan nicht sauber für einen externen Zugriff konfiguriert ist (Remote.firma.zz) vermute ich das Problem hier...außerdem kann ich nun sinnvollen Gebrauch der statischen IP machen.

Schöne Grüße
Mitglied: keine-ahnung
keine-ahnung 05.11.2016 um 19:11:31 Uhr
Goto Top
Kommst Du via OWA aus Deinem LAN auf den MX?
Mitglied: Ezekiel666
Ezekiel666 05.11.2016 um 19:20:30 Uhr
Goto Top
Von Rechnern ohne Probleme oder Zertifikatsfehler. iOS kann ich erst Montag testen, sollte aber übers WLAN auch klappen.
Mitglied: keine-ahnung
Lösung keine-ahnung 05.11.2016 um 19:36:21 Uhr
Goto Top
OK. Dann versuche mal das hier ...

LG, Thomas
Mitglied: Ezekiel666
Ezekiel666 06.11.2016 aktualisiert um 17:04:55 Uhr
Goto Top
Habe ich versucht, jedoch ohne Erfolg. Was mir jedoch gerade bei einem PC-Client (der nicht in der Domäne ist, HomeOffice) mit Outlook 2010 auffällt. Irgendwie ploppt für autodiscover.firma.org das Zertifikat für die Webseite www.firma.org auf.

Edit:
Doch hinbekommen. Vielen Dank!
Das mit den offiziellen Zertifikaten werde ich aber noch angehen, da muss unser Provider vorher nur noch ein paar DNS-Einträge ändern. *.firma.org verweisen alle auf unseren gehosteten Webserver.