Gå til innhold
🎄🎅❄️God Jul og Godt Nyttår fra alle oss i Diskusjon.no ×

[Løst] Exchange sertifikattull


Anbefalte innlegg

En exchangeserver (exch01.domene.local, exchange 2010 på server 2008r2) står bak brannmur med nat. Port 443 og 587 er forwarded fra wan til server. (Port 25 er forwarded til en annen server (mailgw01.domene.local) med spamfilter.)

 

mail.domene.public og mgw.domene.public peker til routerens public ip.

exchangeserver har public sertifikat for mail.domene.public og mailgateway har public sertifikat for mgw.domene.public

 

Følgende C-NAME / SRV peker også til mail.domene.public

autoconfig.domene.public

_autodiscover._tcp.domene.public

 

For pc'r ute i verden fungerer autoconfig av outlook glimrende.

 

På lanet er det en intern DNS server. Der finnes følgende A records:

exch01.domene.local -> internip for exchange

mailgw01.domene.local -> internip for mailgateway

mail.domene.public -> internip for exchange

mgw.domene.public -> internip for mailgateway

 

Og følgende C-NAME / SRV peker til mail.domene.public (som altså inneholder lan ip i intern dns)

autoconfig.domene.public

_autodiscover._tcp.domene.public

 

For PC'r på lanet fungerer autoconfig av outlook, men det gir sertifikat advarsler at sertifikat med commonname mail.domene.public ikke matcher servernavnet exch01.domene.local

 

Jeg har to nær identiske oppsett andre steder som fungerer helt perfekt, men da brukt SBS 2011, som jo i praksis også er exchange 2010 på server 2008r2. Der har jeg ikke dette problemet

 

Spørsmålet er: Hva har jeg glemt bort i oppsettet av denne exchange serveren?

(Samme problem gjelder enten man setter outlook til å bruke https proxy eller ikke.)

Lenke til kommentar
Videoannonse
Annonse

Hmm. Jeg trenger public cert for https / imaps / smtp.

Ser ikke ut til å ha noen mulighet til å legge til lokalt hostname som alternativt navn (uten å kjøpe et vesentlig dyrere cert). Finnes det noen måte å sette et cert for intene tilkoblinger og et for eksterne?

Lenke til kommentar

SAN/UCC sertifikat ER public cert, det er bare en litt mer avansert utgave av SSL sertifikat med støtte for flere hostnames. Du kan ikke ha 2 forskjellige sertifikater på Exchange.

 

Et SAN/UCC sertifikat med 5 hostname koster vel rundt 150 $ for et år hos Godaddy, kan ikke si at det er så fryktelig dyrt vel?

Lenke til kommentar

Ikke at det er dyrt, men jeg føler ikke at det er rette løsningen. Jeg satt opp en test-sbs2011 og lagde en kopi av nettet (local dns + public dns), kopierte inn samme cert som kjører på den problematiske exchangeserveren. På SBS'n var det ikke noe problem. Det tyder dermed på at det er en instilling som gjøres automatisk på SBS som jeg har glemt å gjøre manuelt på exchange. Men jeg klarer ikke å finne ut hvilken instilling dette er.

Lenke til kommentar

 

RunspaceId : ab2d7a10-f60b-4635-a708-dfe1b9522775
Name : EXCH01
Fqdn : exch01.domene.local
OutlookAnywhereEnabled : True
AutoDiscoverServiceCN : exch01
AutoDiscoverServiceClassName : ms-Exchange-AutoDiscover-Service
AutoDiscoverServiceInternalUri : https://exch01.domene.local/Autodiscover/Autodiscover.xml
AutoDiscoverServiceGuid : 77378f46-2c66-4aa9-a6a6-3e7a48b19596
AutoDiscoverSiteScope : {Default-First-Site-Name}
AlternateServiceAccountConfiguration :
IrmLogEnabled : True
IrmLogMaxAge : 30.00:00:00
IrmLogMaxDirectorySize : 250 MB (262,144,000 bytes)
IrmLogMaxFileSize : 10 MB (10,485,760 bytes)
IrmLogPath : C:\Program Files\Microsoft\Exchange Server\V14\Logging\IRMLogs
IsOutOfService : False
MigrationLogLoggingLevel : Information
MigrationLogFilePath :
MigrationLogMaxAge : 180.00:00:00
MigrationLogMaxDirectorySize : 10 GB (10,737,418,240 bytes)
MigrationLogMaxFileSize : 100 MB (104,857,600 bytes)
IsValid : True
ExchangeVersion : 0.1 (8.0.535.0)
DistinguishedName : CN=EXCH01,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=DOMENE First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domene,DC=local
Identity : EXCH01
Guid : 79cad039-04e7-41ae-8e04-b728a01e5096
ObjectCategory : domene.local/Configuration/Schema/ms-Exch-Exchange-Server
ObjectClass : {top, server, msExchExchangeServer}
WhenChanged : 16.02.2014 16:09:25
WhenCreated : 12.02.2014 03:06:19
WhenChangedUTC : 16.02.2014 15:09:25
WhenCreatedUTC : 12.02.2014 02:06:19
OrganizationId :
OriginatingServer : exch01.domene.local

 

(Det ekte domenenavnet er erstattet med "domene")

 

 

Sammenlignet med SBS testen ser jeg forskjell på følgende linjer (SBS-versjon følger):

 

RunspaceId : 3bffba74-692e-4f2c-b4d7-6d2c21bf7c76
AutoDiscoverServiceInternalUri : https://mail.domene.public/Autodiscover/Autodiscover.xml
[i]Linje mangler: IsOutOfService : [/i]
Guid : 8cbe11ac-4c19-4c0a-a2a3-3b64df51a294

 

Da ser det altså ut som om trikset kan være å endre AutoDiscoverServiceInternalUri. Hvor endres den?

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...