UAG/Forefront/TMG?

  • Hallo Zusammen,


    vielleicht eine etwas #OOPS#e Frage aber welches ist für mich das richtige Produkt? UAG/Forefront/TMG? Ich Möchte nur ein Server Aufbauen der in der DMZ Steht und den Traffic über HTTP Annimmt und an den Exchange im Internen Netz weiter reicht. Also rein Webmail/ActiveSYnc und vielleicht noch mal Outlook Anywhere. Der SMTP Traffic läuft über eine andere Firwall.


    Gruß
    Philipp

  • Hallo Zusammen,
    ich hab da noch mal eine Frage zu den SSL Zertifikaten.
    Wir stehen nun kurz vor dem kauf eines SSL Zertifikat für den TMG bzw Exchange, bevor ich aber nun sehr viel Geld für dieses Zertifikat ausgeben würde ich gerne Sicher sein das ich das richtige Kaufe.


    Ich habe nun auf meinem Exchange 2007 eine Zertifikat request mit dieser http://www.sslshopper.com/arti…s-with-exchange-2007.htmlerstellt, wobei ich den Bereich SubjectName etwas erweitert habe.


    Soweit kein Problem, das Problem kommt mit dem -domainname.
    Dort habe ich nun verschiedene DNS Namen eingetragen wie z.B:


    autodiscover.domain.de
    webmail.domain.de
    tmg.domain.de
    EX001.domain.local
    EX001


    1: Frage ist es richtig das ich auch den Hostname vom Exchange also EX001 EX001.domain.local eingetragen haben? Ich möchte ja auch dass das Zertifikat intern Gültig ist.


    2: Gehe ich richtig davon aus das ich auch http://WWW.webmail.domain.de eintragen muss?
    Mann weiß ja nie was der User eingibt.


    Soweit so gut, ich schicke das request ab und bekomme dann mein Zertifikat zurück und kann das auf meinem Exchange Installieren. Kein Problem. den TMG hab ich so verstanden das ich das Zertifikat auf dem Exchange Exportiere und dann auf dem TMG wieder Importiere. Richtig oder? Deswegen habe ich ja auch den DNS tmg.domain.de mit im Zertifikat damit die URL vom TMG auch Gültig ist.



    Soweit glaube ich es verstanden zu haben. Oder ich bin schon dabei in den Abgrund zu laufen :D
    Nun kommt mein Chef und sagt "Hey so ein Zertifikat ist ja recht teuer wenn du da verschiedene Namen eintragen kannst, können wir da auch mehr Server Eintragen?".


    Das ist nun die Frage, kann ich das Zertifikat auf verschiedenen Server Installieren? Wir haben z.B: noch einen Sharepoint der vielleicht auch über das TMG veröffentlicht werden soll. Und intern Arbeiten wir zur Zeit mit einem eigenen Zertifikat. Nun könnte ich ja den Hostname vom Sharepoint mit auf nehmen und das Zertifikat dann auch auf dem Sharepoint installieren. Klappt das? Ist das Erlaubt?


    Ich hoffe man kann meine Fragen Sammlung zu verstehen. Google war da leider nicht so erfolreich.


    Gruß und Besten Dank.
    Philipp

    • Offizieller Beitrag

    Moin,


    Zitat


    1: Frage ist es richtig das ich auch den Hostname vom Exchange also EX001 EX001.domain.local eingetragen haben? Ich möchte ja auch dass das Zertifikat intern Gültig ist.


    Der interne Name muss rein, wenn die Seite intern nicht via SplitDNS mit dem gleichen Namen wie auch extern aufrufbar ist.


    Der Netbios-Name muss nur für Leute rein, die zu faul zum Tippen sind. Exchange braucht den nicht.


    Zitat


    2: Gehe ich richtig davon aus das ich auch http://WWW.webmail.domain.de eintragen muss?
    Mann weiß ja nie was der User eingibt.


    Wenn Du schon nicht weißt, was Deine User machen, woher sollen wir das dann wissen? :)


    Im Ernst: Wenn http://WWW.webmail.domain.de nicht auf die OWA-Seite führt, muss der Name auch nicht ins Zertifikat rein.


    Zitat


    Soweit so gut, ich schicke das request ab und bekomme dann mein Zertifikat zurück und kann das auf meinem Exchange Installieren. Kein Problem. den TMG hab ich so verstanden das ich das Zertifikat auf dem Exchange Exportiere und dann auf dem TMG wieder Importiere. Richtig oder?


    Ja.


    Zitat


    Deswegen habe ich ja auch den DNS tmg.domain.de mit im Zertifikat damit die URL vom TMG auch Gültig ist.


    Wobei mir nicht klar ist, wozu Du die URL tmg.* brauchst - für Exchange jedenfalls nicht.


    Zitat


    Soweit glaube ich es verstanden zu haben. Oder ich bin schon dabei in den Abgrund zu laufen :D
    Nun kommt mein Chef und sagt "Hey so ein Zertifikat ist ja recht teuer wenn du da verschiedene Namen eintragen kannst, können wir da auch mehr Server Eintragen?".


    Der Preis hängt aber von der Anzahl der Namen ab, d.h. je mehr Namen, desto teurer.


    BTW: Mit richtiger Konfig und in Abhnägigkeit vom Netzwerk bekommt man auch Umgebungen mit einem Namen hin (wobei das bei Ex2010 einfacher ist).


    Zitat


    Das ist nun die Frage, kann ich das Zertifikat auf verschiedenen Server Installieren?


    Ja.


    Zitat

    Wir haben z.B: noch einen Sharepoint der vielleicht auch über das TMG veröffentlicht werden soll. Und intern Arbeiten wir zur Zeit mit einem eigenen Zertifikat. Nun könnte ich ja den Hostname vom Sharepoint mit auf nehmen und das Zertifikat dann auch auf dem Sharepoint installieren. Klappt das? Ist das Erlaubt?


    Ob es klappt kann ich nicht sagen (kenne SharePoint nicht gut genug), erlaubt ist es aber.

  • Vielen Dank für dein Antwort das hat mir Super geholfen!



    Zitat

    Wenn Du schon nicht weißt, was Deine User machen, woher sollen wir das dann wissen? Im Ernst: Wenn http://www.webmail.domain.de nicht auf die OWA-Seite führt, muss der Name auch nicht ins Zertifikat rein.


    Da hab ich mich etwas unklar ausgedrückt.
    Sowohl unter webmail.domain.de als auch http://www.webmail.domain.de ist der OWA zu Erreichen. Einige User geben die Adresse mit WWW ein, andere nicht. Daher die Frage ob das WWW auch in das DNS muss.



    Gruß
    Philipp

    • Offizieller Beitrag

    Die internen Namen müssen aber nicht ins externe Zertifikat. Insofern würde ich das mal rauslassen. Was dann auf dem Exchange als Zertifikatsname steht ist ja eine ganz andere Sache.
    Falls ihr mehr als eine public IP haben solltet, kann man sich die Kosten für SAN Zertifikate meist sparen, denn 2-3 Single Name Zertifikate sind immer noch billiger als ein SAN. ;)


    Bye
    Norbert

  • Public IP haben wir zwei, sobald der TMG läuft nur noch eine. Aber wir haben eben verschiedene DNS Adresse. Es Soll alles über tmg.domain.de laufen.


    tmg.domain.de/owa
    tmg.domain.de/sharepoint
    tmg.domain.de/blabla


    Dafür müsste ich aber dann das Zertifikat für die Adresse tmg.domain.de auch auf dem sharepoint und anderen Server installieren. Aber das wäre ja möglich wenn ich das richtig verstanden habe.


    Das Problem ist das wir schon ca 100 Mobil Clients haben die über
    webmail.domain.de laufen, gute die könnte man umkonfigurieren.


    Aber warum sollte der internen Namen nicht mit rein?
    Wäre es nicht gut wenn das auch mit einem gültigen SSL Zertifikat läuft?


    Gruß
    Philipp

    • Offizieller Beitrag

    Du machst ssl bridging, also ist das Zertifikat hinter dem TMG (auf den lokalen Servern) vollkommen unabhängig davon. Wenn du mehrere interne Server über eine IP Veröffentlichen willst, mußt du ggf. sowieso mit URL rewrite arbeiten.


    Bye
    Norbert


    PS: Warum sollte der intere Name denn rein? Der interessiert in der weiten Welt sowieso niemanden. Also warum?