Exchange 2010 + Outlook 2007 Sicherheitshinweise

Warum sollte die lokale Installation am Client auch helfen? Der Name im Zertifikat ist doch dann trotzdem falsch. Du mußt Autodiscover umkonfigurieren. Das ist aber im Forum und mit dem SBS nicht ganz so einfach, deswegen solltest du dir die Grundlagen dazu mal anlesen, oder eventuell jemanden kommen lassen, der das für dich mal löst.

Bye
Norbert

Hallo,

wenn du das mit einem Single Name lösen willst, hier eine Anleitung für 2007, die du bei 2010 genauso anwenden kannst.

http://www.server-talk.eu/2008…-single-name-certificate/

Schau mal in die Seite von Frank, da gibt es viel zu lesen:

http://www.msxfaq.net

Moin,

Zitat

Was ich nicht verstehe, wieso kann man nicht einfach ein neues selbstsigniertes Zertifikat generieren und speziell der internen Domäne zuweisen?

Kann man ja. Aber Self-Signed sind in Windows unsupported und damit auch in Outlook/Exchange. Sie können funktionieren, müssen aber nicht und verändern eventuell ihr Verhalten mit einem Service Pack.

Zitat

Eigentlich ist es intern egal, ob es von einem CA ist oder nicht, hauptsache der Name stimmt für Outlook überein.

Es ist deswegen nicht egal, weil ein intern signiertes Zertifikat eine Signatur der CA hat und ein Self-Signed nicht. Die interne CA kann ich vertrauenswürdig machen, dass ist ein Standard-Vorgang, da mit externen CAs nichts anderes passiert.

Zitat

Mich regt es echt ein bissel auf, dass man diese Meldung nicht einfach deaktiveren kann.

Ach? Und wenn dann der User in einer wichtigen Mail ("geben Sie hier ihre PIN ein") auf einen Link zu "postbank.ru" klickt und die Warnung nicht sieht, weil DU sie abgeschaltet hast, möchte ich nicht in Deiner Haut stecken.

Ne, ne, das ist sicherheitskritisch und da bin ich froh, dass man es nicht pauschal ausschalten kann.

Zitat

Hat jemand von euch den Sinn dahinter verstanden?

Sicher.

Zitat

Hier noch eine Frage:
Glaubt Ihr das ist notwendig?
Es muss dort noch zusätzlich eine „Fake“ primäre Zone für die externe Domain angelegt werden, die die eigentlich externe Zone überlagert (und statt der externen IP für webmail.*.de… die interne liefert).

Das nennt sich dann Split-DNS und ist für Exchange das empfohlene Vorgehen, wenn man kein SAN-Zertifikat nutzen will.

Zitat

In diese Zonen müssen aber auch alle sonstigen DNS Host Einträge dupliziert werden, wie sie extern auch sind, sonst kann man intern seine eigene Webseite nicht mehr aufrufen.

Korrekt. Aber wie viele Einträge hast Du denn so im externen Server?

Zitat

Falls es die Möglichkeit gibt, nur einzelne Hosts in den DNS „einzublenden“, den Rest aber vom externen Nameserver zu holen, dann wäre das optimal.

Das kann Windows leider nicht, was ich manchmal auch bedauere (wobei ich Windows 2012 in der Hinsicht noch nicht geprüft habe).

Die Zone ist ja intern Authorativ und das heißt: Was ich nicht kenne, gibt es nicht. Eine Weiterleitung für unbekannte Namen wäre richtig praktisch, genau für solche Fälle.

Zitat

RobertW schrieb:
Die Zone ist ja intern Authorativ und das heißt: Was ich nicht kenne, gibt es nicht. Eine Weiterleitung für unbekannte Namen wäre richtig praktisch, genau für solche Fälle.

Einfach ne Hostzone definieren, dann geht das.

Bye
Norbert

Was verstehst Du unter eine "Hostzone"? Den Begriff kennt Google in Verbindung mit Windows DNS nicht?

Statt mydomain.tld und darin den A-Record owa anzulegen einfach eine komplette Zone owa.mydomain.tld mit einem leerem A-Record und der IP Adresse des Exchangeservers anlegen.

Beispiel mit Screenshots.
http://www.netlife.co.za/tech-…a-windows-dns-server.html

Bye
Norbert

Ach das meinst Du. Ja stimmt, so funktioniert es natürlich technisch, auch wenn es extrem merkwürdig aussieht.

BTW: Habe ich bei mir daheim genauso gemacht - konnte nur den Begriff nicht zuordnen.

Eventuell muss man dann nur ein paar Zonen anlegen, wenn mehr als externer Eintrag gespiegelt werden soll.