Exchange POP 3 Connector TLS Zertifikat Problem - SBS 2008

    Zitat

    Dann lösche das alte abgelaufene Zertifikat und starte den Wizard nochmal. Kann ja nicht so schwer sein, oder?


    muss ich mal schaun wie und vorallem wo das geht. Aber ich werds versuchen!


    Zitat

    Und was machst du dann am SBS?


    arbeiten?
    Wie du schon sagtest, der SBS macht einiges mehr als nur exchange. Nur weil ich mich mit exchange nicht auskenne, heist das nicht dass ich 0 plan von anderen sachen habe ;)



    Zitat


    Ich verstehe weder den Zusammenhang zwischen exchange/dc/filer und DMZ noch warum das irgendwas mit IPhones zu tun haben sollte.


    naja der sbs, der eben unser "allround server" ist, stellt OWA bereit. Das heist doch, dass der Server aus dem Internet erreichbar sein muss. Oder sehe ich das falsch? (was anderes wäre ja nicht sinnvoll.)


    Das heisst der Port 443 ist nach außen hin offen.
    Sonst könnten die handys ja nicht auf den exchange zugreifen! wenn jemand über den offenen port eindringt, ist alles offengelegt.


    VPN ist keine option, da die iphones sich ständig im standby vom VPN verabschieden... Das ist bei push mail ein no-go mMn




    Zitat


    Und welches Loch wäre das deiner Meinung nach?


    Port 443



    Zitat

    Der MX Record ist dafür zuständig, damit du den POP3Connector abschalten kannst und die Mails auf den externen Namen deines Mailservers (relay oder SBS oder was auch immer) geleitet werden.


    moment, meintest du oben mit MX Record abstellen "deaktivieren" oder "Bereitstellen"


    Das ist irgendwie konfus. Warum soll ich den MX Record deaktivieren wenn dieser dafür sorgt, dass die mails an den externen namen gehen?


    Zitat


    Ja, bzw. den vorhandenen einfach anpassen. Ich würde wetten, dass es dafür dann sogar wieder einen Wizard im SBS gibt.


    ja den gibt es! Muss mich damit mal ausseinander setzen :)



    Danke schomal für die bisherige hilfe! hat mir sehr geholfen!

    • Offizieller Beitrag
    Zitat


    Gu4rdi4n schrieb:
    muss ich mal schaun wie und vorallem wo das geht. Aber ich werds versuchen!


    Remove-Exchangecertificate oder mmc und Zertifikate bspw. ;)


    Zitat


    naja der sbs, der eben unser "allround server" ist, stellt OWA bereit. Das heist doch, dass der Server aus dem Internet erreichbar sein muss. Oder sehe ich das falsch? (was anderes wäre ja nicht sinnvoll.)


    Deswegen stellt man doch aber den SBS nicht in eine DMZ. Das wäre dann ja nicht ein Loch, sondern ein Käse zum LAN hin.


    Zitat

    Das heisst der Port 443 ist nach außen hin offen.
    Sonst könnten die handys ja nicht auf den exchange zugreifen! wenn jemand über den offenen port eindringt, ist alles offengelegt.


    Und was ist da jetzt anders, wenn der SBS in der DMZ steht? Dann ist doch genau das selbe Problem, oder?



    Zitat

    Port 443


    Aha. Und das ist ein Problem?


    Zitat

    moment, meintest du oben mit MX Record abstellen "deaktivieren" oder "Bereitstellen"


    Ich meinte statt ab==um. ;) Du stellst ihn um. Sorry für den Vertipper.



    Bye
    Norbert

    Zitat

    Remove-Exchangecertificate oder mmc und Zertifikate bspw.


    mhhh


    remove-exchangecertificate mag die verwaltungsshell iwie nicht und unter Zertifikate finde ich dieses nicht


    kannst du mír sagen wo das sein soll?
    [Blockierte Grafik: http://www.abload.de/img/zertsbjz7.jpg]


    Zitat

    Deswegen stellt man doch aber den SBS nicht in eine DMZ. Das wäre dann ja nicht ein Loch, sondern ein Käse zum LAN hin.


    naja, wie soll ich das sonst lösen?
    Exchange ist auf dem SBS installiert. Clients müssen aus dem Internet auf exchange über den Port 443 zugreifen können.
    Auf der Firewall wurde zum exchange (der auf dem SBS ist) der Zugriff aus dem internet zugelassen.
    Dann befindet sich doch der Rechner in einer quasi DMZ oder nicht?



    Zitat

    Aha. Und das ist ein Problem?


    ja ich denke doch schon, wenn der port von außen her offen ist!
    Hast du doch oben drüber auch gesagt, oder komme ich gerade total durcheinander?! :-?


    ah gut, hätte mich auch stark gewundert ;)

    bzgl. der Zertifikats, musst du meines wissen nicht den Aktuellen Benutzer auswählen, sondern das Computer-Konto ;)
    Also mmc ausführen -> Snapin hinzufügen -> Zertfikate -> Computer-Konto -> Lokaler Computer.


    Dann solltest du unter eigene zertifikate das entsprechende zertifikat finden.

    Vielen Dank und viele Grüsse


    Tappi

    • Offizieller Beitrag
    Zitat


    Gu4rdi4n schrieb:


    remove-exchangecertificate mag die verwaltungsshell iwie nicht und unter Zertifikate finde ich dieses nicht


    mhhh, google ist jetzt aber auch schwer ;)
    http://technet.microsoft.com/d…y/aa997569(EXCHG.80).aspx


    Eventuell solltest du auch die Exchange Powershell starte. Das ist die mit dem Rot/Weißen Icon und nicht die mit dem blauen. ;)


    Zitat

    naja, wie soll ich das sonst lösen?
    Exchange ist auf dem SBS installiert. Clients müssen aus dem Internet auf exchange über den Port 443 zugreifen können.


    OK.


    Zitat

    Auf der Firewall wurde zum exchange (der auf dem SBS ist) der Zugriff aus dem internet zugelassen.
    Dann befindet sich doch der Rechner in einer quasi DMZ oder nicht?


    Oder nicht! Damit hast du wahrscheinlich erstmal eine NAT Regel (https von extern nach intern) eingerichtet). Und das Gleiche brauchst du dann auch noch für SMTP. ;)


    Zitat

    ja ich denke doch schon, wenn der port von außen her offen ist!


    Ist er doch jetzt auch!


    Zitat

    Hast du doch oben drüber auch gesagt, oder komme ich gerade total durcheinander?! :-?


    Was genau hab ich gesagt?


    Bye
    Norbert

    Habs jetzt hinbekommen. Sorry dass ich mich so spät melde, aber ich war krank!
    sobald ich das startcom zertifikat entfernt hatte, konnte ich mit dem wizard das neue einfügen!


    Ist das jetzt also kein sicherheitsrisiko, dass port 443 von außen erreichbar ist?


    NAT ist übrigens nicht aktiviert!


    [Blockierte Grafik: http://www.abload.de/img/unbenannto6kae.jpg]

    • Offizieller Beitrag
    Zitat


    Gu4rdi4n schrieb:


    sobald ich das startcom zertifikat entfernt hatte, konnte ich mit dem wizard das neue einfügen!


    War zu erwarten.


    Zitat

    Ist das jetzt also kein sicherheitsrisiko, dass port 443 von außen erreichbar ist?


    Natürlich ist es das. Aber das ist doch schon so bei dir. Was genau willst du denn jetzt?


    Zitat


    NAT ist übrigens nicht aktiviert!


    Ich weiß jetzt nicht, was du da auf den Screenshots genau zeigst, aber ich bezweifle, dass DMZ Forwarding was anderes ist als NAT. Oder hat dein Exchangeserver ne public IP?


    Bye
    Norbert

    Ja natürlich ist es bei mir so. Das sagte ich doch auch schon die ganze zeit. Deswegen will ich ja ein relay, das ich in eine richtige DMZ stellen kann.


    So richtig mit firewall - relay - firewall - sbs08 etc


    verstehst du jetzt was ich meine?




    auf dem screenshot sind die Firewall regeln für eben den Zugriff auf den exchange mit SMTP über port 443

    • Offizieller Beitrag
    Zitat


    Gu4rdi4n schrieb:
    Ja natürlich ist es bei mir so. Das sagte ich doch auch schon die ganze zeit. Deswegen will ich ja ein relay, das ich in eine richtige DMZ stellen kann.


    Das Relay funktioniert aber nicht für https. Dafür brauchst du dann einen Reverseproxy und da gibts für Exchange nicht allzuviele sinnvolle Optionen. ;)


    Zitat


    So richtig mit firewall - relay - firewall - sbs08 etc


    verstehst du jetzt was ich meine?


    Ich versteh schon die ganze Zeit was du meinst. Nur du verdrehst hier Begrifflichkeiten. Relay ist für SMTP, https siehe oben.


    Zitat


    auf dem screenshot sind die Firewall regeln für eben den Zugriff auf den exchange mit SMTP über port 443


    NAT bzw. PAT. Aber SMTP über Port 443 kann Exchange nicht.


    Bye
    Norbert