Kurze Frage zu SAN-Cert´s und Ex2010/TMG

  • Grüße...


    Ich wollte noch mal schnell fragen, ob es sinnvoll ist, ein SAN-Zertifikat mit


    owa.firma.de
    mail.firma.de
    autodiscover.firma.de
    exchangeservername
    exchangeservername.firma.de


    zu beantragen, um dieses dann der externen NIC des TMGs und dem Exchange (intern) mit den entsprechenden Services (IMAP, POP, IIS, SMTP) zu zuweisen?


    Müsste dann die Zertifikatswarnung verschwinden, die bei interner OWA-Nutzung erscheint?


    Cheers

  • Hallo,


    ja, das ist der übliche Weg.


    Allerdings

    Quote


    exchangeservername
    exchangeservername.firma.de


    ist der erste der Netbios-Name,
    der zweite der interne FQDN, also exchangeserver.firma.local,
    es sei denn, interne und externe Domain sind gleich.


    Bei mir ist das z.B. exchsrv01.intern.corp.de


    Und natürlich muss owa, mail, autodiscover auflösbar sein.


    BTW: wozu mail? Für den MX?


    ;)

    Gruss, Norbert
    MVP Exchange Server 2006-06/2018
    Acronis Certfied Engineer

  • Hi


    und jawoll. Interne und externe Domain sind gleich.
    Und das mit dem MX... Eigentlich braucht der da ja nicht rein, den Eintrag mit mail.firma.de gibbet schon und ich wollte einfach für das OWA noch einen zusätzlichen Namen...

  • So,


    da bin ich noch mal...
    Wie war das mit den Zertifikaten noch? Was wird da beim Aufruf der entsprechenden Seiten geprüft?
    Hintergrund: Es wird versucht, ein Zertifikat (Identitäts-geprüft) zu erwerben, welches nur 3 Hosteinträge besitzt. Nun soll das so aussehen:


    owa.meinefirma.de
    autodiscover.meinefirma.de
    abc.meinefirma.de (ist für etwas anderes)


    Das Knifflige an der Geschichte ist, dass die interne Domäne gleich der externen Domäne ist. Und, dass intern ein DNS-Alias (CNAME) auf den CAS (Ex2010) erstellt werden soll, um so das Zertifikat intern mit owa.meinefirma.de nutzen zu können...
    Nun die Frage: Würde das intern funktionieren? Muss man da überhaupt etwas machen, damit intern die Zertifikatswarnung nicht mehr erscheint? (also mit Benutzung des Zertifikats mit den 3 Einträgen...)
    (Im 1. Post habe ich ja noch exchangeservername und exchangeservername.meinefirma.de in das Zertifikat eintragen wollen. Da das aber ganz schön teuer wird, sollen der interne NetBIOS-Name und der interne FQDN nicht mehr ins Zertifikat...)
    :pint:


    Cheers

  • Moin,


    solange Du nur einen CAS-Server hast, wird das funktionieren, mit folgenden Einschränken:


    - SplitDNS ist ok und wird auch viel gemacht, führt aber zu einigen kleineren Time-Out-Themen (z.B. wenn Outlook Anywhere benutzt wird); keine Fehler nur Unschönheiten
    - du musst die interne URL für OWA,OAB,EWS,EAS auf den gleichen Wert, wie die externe setzen
    - Outlook wird wegen des CANMES ein Redirect-Warnung geben, die man aber mit "Nicht mehr anzeigen" wegbekommt

    Grüße aus Berlin schickt Robert