[Løst] Exchange sertifikattull

[petterg]

En exchangeserver (exch01.domene.local, exchange 2010 på server 2008r2) står bak brannmur med nat. Port 443 og 587 er forwarded fra wan til server. (Port 25 er forwarded til en annen server (mailgw01.domene.local) med spamfilter.)

 

mail.domene.public og mgw.domene.public peker til routerens public ip.

exchangeserver har public sertifikat for mail.domene.public og mailgateway har public sertifikat for mgw.domene.public

 

Følgende C-NAME / SRV peker også til mail.domene.public

autoconfig.domene.public

_autodiscover._tcp.domene.public

 

For pc'r ute i verden fungerer autoconfig av outlook glimrende.

 

På lanet er det en intern DNS server. Der finnes følgende A records:

exch01.domene.local -> internip for exchange

mailgw01.domene.local -> internip for mailgateway

mail.domene.public -> internip for exchange

mgw.domene.public -> internip for mailgateway

 

Og følgende C-NAME / SRV peker til mail.domene.public (som altså inneholder lan ip i intern dns)

autoconfig.domene.public

_autodiscover._tcp.domene.public

 

For PC'r på lanet fungerer autoconfig av outlook, men det gir sertifikat advarsler at sertifikat med commonname mail.domene.public ikke matcher servernavnet exch01.domene.local

 

Jeg har to nær identiske oppsett andre steder som fungerer helt perfekt, men da brukt SBS 2011, som jo i praksis også er exchange 2010 på server 2008r2. Der har jeg ikke dette problemet

 

Spørsmålet er: Hva har jeg glemt bort i oppsettet av denne exchange serveren?

(Samme problem gjelder enten man setter outlook til å bruke https proxy eller ikke.)

[xcomiii]

Det løses veldig enkelt med å legge til de interne hostnames på sertifikatet. Regner med du bruker SAN/UCC sertifikat. Da slipper du sertifikatadvarsler fra interne klienter.

[petterg]

Hmm. Jeg trenger public cert for https / imaps / smtp.

Ser ikke ut til å ha noen mulighet til å legge til lokalt hostname som alternativt navn (uten å kjøpe et vesentlig dyrere cert). Finnes det noen måte å sette et cert for intene tilkoblinger og et for eksterne?

[xcomiii]

SAN/UCC sertifikat ER public cert, det er bare en litt mer avansert utgave av SSL sertifikat med støtte for flere hostnames. Du kan ikke ha 2 forskjellige sertifikater på Exchange.

 

Et SAN/UCC sertifikat med 5 hostname koster vel rundt 150 $ for et år hos Godaddy, kan ikke si at det er så fryktelig dyrt vel?

[petterg]

Ikke at det er dyrt, men jeg føler ikke at det er rette løsningen. Jeg satt opp en test-sbs2011 og lagde en kopi av nettet (local dns + public dns), kopierte inn samme cert som kjører på den problematiske exchangeserveren. På SBS'n var det ikke noe problem. Det tyder dermed på at det er en instilling som gjøres automatisk på SBS som jeg har glemt å gjøre manuelt på exchange. Men jeg klarer ikke å finne ut hvilken instilling dette er.

[xcomiii]

Hva får du hvis du sjekker dette?

Get-ClientAccessServer | fl

[petterg]

 

RunspaceId : ab2d7a10-f60b-4635-a708-dfe1b9522775
Name : EXCH01
Fqdn : exch01.domene.local
OutlookAnywhereEnabled : True
AutoDiscoverServiceCN : exch01
AutoDiscoverServiceClassName : ms-Exchange-AutoDiscover-Service
AutoDiscoverServiceInternalUri : https://exch01.domene.local/Autodiscover/Autodiscover.xml
AutoDiscoverServiceGuid : 77378f46-2c66-4aa9-a6a6-3e7a48b19596
AutoDiscoverSiteScope : {Default-First-Site-Name}
AlternateServiceAccountConfiguration :
IrmLogEnabled : True
IrmLogMaxAge : 30.00:00:00
IrmLogMaxDirectorySize : 250 MB (262,144,000 bytes)
IrmLogMaxFileSize : 10 MB (10,485,760 bytes)
IrmLogPath : C:\Program Files\Microsoft\Exchange Server\V14\Logging\IRMLogs
IsOutOfService : False
MigrationLogLoggingLevel : Information
MigrationLogFilePath :
MigrationLogMaxAge : 180.00:00:00
MigrationLogMaxDirectorySize : 10 GB (10,737,418,240 bytes)
MigrationLogMaxFileSize : 100 MB (104,857,600 bytes)
IsValid : True
ExchangeVersion : 0.1 (8.0.535.0)
DistinguishedName : CN=EXCH01,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=DOMENE First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domene,DC=local
Identity : EXCH01
Guid : 79cad039-04e7-41ae-8e04-b728a01e5096
ObjectCategory : domene.local/Configuration/Schema/ms-Exch-Exchange-Server
ObjectClass : {top, server, msExchExchangeServer}
WhenChanged : 16.02.2014 16:09:25
WhenCreated : 12.02.2014 03:06:19
WhenChangedUTC : 16.02.2014 15:09:25
WhenCreatedUTC : 12.02.2014 02:06:19
OrganizationId :
OriginatingServer : exch01.domene.local

 

(Det ekte domenenavnet er erstattet med "domene")

 

 

Sammenlignet med SBS testen ser jeg forskjell på følgende linjer (SBS-versjon følger):

 

RunspaceId : 3bffba74-692e-4f2c-b4d7-6d2c21bf7c76
AutoDiscoverServiceInternalUri : https://mail.domene.public/Autodiscover/Autodiscover.xml
[i]Linje mangler: IsOutOfService : [/i]
Guid : 8cbe11ac-4c19-4c0a-a2a3-3b64df51a294

 

Da ser det altså ut som om trikset kan være å endre AutoDiscoverServiceInternalUri. Hvor endres den?

[petterg]

Her er en guide som løste problemet:

http://www.3ait.co.uk/blog/changing-the-autodiscover-url-in-microsoft-exchange-2010/

 

Guiden endrer både ekstern og intern url. Jeg endret kun intern.

Takk til xcomiii som satt meg på rett spor.

[xcomiii]

Flott at det virket, det var noe i den retningen jeg tenkte meg.

[process]

Jippi. Har fulgt med her, da jeg hadde et lignende problem, dog ikke helt identisk. Lenken løste det hele for meg også.

 

Takker

[c7Nn]

Digicert har et verktøy for å løse opp i lignende problem.

http://www.digicert.com/internal-domain-name-tool.htm

 

Nå som man (snart) ikke kan sette interne navn i pub cert.