Exchange Server 2010 - Wildcard - Split DNS

1. offizieller Beitrag

    Hallo zusammen,


    ich benötige mal etwas Hilfe von den Exchange Profis ;) :


    Folgendes Szenario:


    Unser Unternehmen hat bereits ein vorhandes Wildcard Zertifikat. Bisher war kein SPlit DNS konfiguriert und der Exchange Server hatte Intern wie Extern verschiedene URLS hinterlegt. Intern waren die URLS auf den lokalen Hostname angelegt.Nun war mein Ziel, SPLIT DNS zu konfigurieren und das selbstsignierte Zertifikat durch das bereits vorhandene Wildcard Zertifikat zu ersetzen. Bisher hatte ich allerdings immer ein SAN Zertifikat, welches mit Exchange wesentlich besser funktioniert.


    Im DNS wurden zwei Zonen angelegt:


    outlook.domain.de


    autodiscover.domain.de


    In den jeweiligen Zonen wurde ein HOST A Eintrag erstellt, welcher auf den Mailserver zeigt. DNS Auflösung beider Zonen funktioniert.


    ##


    Im nächsten Schritt habe ich das Zertifikat auf dem Exchange Server importiert.


    ##


    Danach habe ich alle URLS über die Powershell umkonfiguriert.


    Alle Dienste auf outlook.domain.de, bis auf den Dienst "autodiscover". Dieser wurde auf "autodiscover.domain.de" konfiguriert. Outlook Anywhere ist nicht aktiv.


    ###


    Danach habe ich das Binding auf dem IIS (443) auf das neue Zertifikat umgestellt.



    ####


    Nun zu den Fragen:


    1.) Wie oben bereits geschrieben, habe ich noch NIE ein Wildcard Zertifikat in Verbindung mit Exchange konfiguriert. Muss an dieser Stelle ein weiteres Binding durchgeführt werden? Oder genügt es, dass Wildcard Zertifikat im Exchange Server 2010 zu importieren und an den Port 443 zu binden?


    2.) Muss sonst noch etwas am Exchange Server für Wildcard Zertifikate konfiguriert werden?


    3.) Auf einigen Clients (Outlook) wird die Fehlermeldung angezeigt, dass das Zertifikat nicht übereinstimmt. Allerdings kommt diese Meldung nicht auf allen Clients.
    Autodiscover test wird erfolgreich ausgeführt und verweißt auch auf die neue korrekte URL "autodiscover.domain.de".


    Was mich etwas stutzig macht ist, dass wenn ich den Verbindungsstatus kontrolliere immer noch der lokale Servername angezeigt wird. Sollte an dieser Stelle nicht auch der neue Servername hinterlegt sein?


    4.) Letzte Frage, zum Thema Empfangs und Sendeconnectoren und den FQDN auf HELO Anfragen:


    Die Connectoren waren bisher natürlich alle auf den lokalen Hostname angelegt "Exch.domain.local". Müssen hier alle Connectoren auf den neuen umgestellt werden?


    Also Sendeconnector. Empfangsconnector "Default" und "Client"?



    Danke im Voraus für eure Hilfe.


    Grüße Philipp

    • Offizieller Beitrag

    Moin,


    zunächst einmal - willkommen an Board. Schön, das du uns gefunden hast!


    Ich mag keine Wildcard Zertifikate, da sie unterm Strich mehr Arbeit machen als SAN mit den beiden (der mehr...) Namen drin.


    IMAP mit Wildcard ist eine Katastrophe...


    Hast du die Möglichkeit, trotzdem ein SAN draus zu machen?


    Manche der Zertifikatsstellen bieten diese Möglichkeit - zudem sind SAN meistens günstiger.


    Vielleicht hat ja einer der anderen noch Vorschläge... ;)

    Hi Norbert,


    danke dir für die nette Begrüßung.


    Genau wie du bereits geschrieben hast, finde auch ich Wildcard Zertifikate nicht sehr ansprechend :D...


    IMAP und POP werden wir nicht einsetzen, was kein Problem darstellt.


    ##


    Ich habe bereits angefragt, ich kann das Zertifikat noch widerrufen und ein SAN Zertifikat bestellen (an dies habe ich ehrlich gesagt auch gedacht).


    Eine weiter Idee war, dass ich den Servernamen, welcher Autodiscover nutzt auf die öffentliche domain umstelle. "outlook.domain.de". Und zwar das ganze über eine CAS Array. Wenn dieser dann abgefragt wird, müsste das Zertifikat erkannt werden, da im Zertifikat ja "*.domain.de" eingetragen ist.


    Allerdings hat man eben auch die Problematik mit dem IMAP und POP 3 Thema, falls es irgendwann einmal notwendig sein sollte.



    ##


    Für weiter Vorschläge bin ich allerdings auch offen.


    Grüße Philipp

    Genau.


    War auch einiges an Interesse dabei, wie es mit den Wildcard Zertifikaten funktioniert und ob es überhaupt korrekt funktioniert.
    Erfahrung damit habe ich nun gesammelt :D und werde in Zukunft keine Wildcard Zertifikate mehr nutzen :D


    ##


    Ich werde das neue SAN Zertifikat bestellen und das alte widerrufen. Danke euch für die Hilfe.


    Grüße Philipp

    NorbertFe:


    Alles klar...


    RobertW:


    Mhh, hier habe ich leider bereits die Bindung über den IIS vorgenommen. Allerdings hatte ich die Dienste dem neuen Zertifikat zugewiesen und er hat die Bindung nicht selbständig übernommen.


    Im IIS war immer noch das alte Zertifikat gebunden? Wo kann hier der Fehler liegen?



    Grüße Philipp

    Alles klar. Habe nun das neue Zertifikat eingebunden und per Exchange Powershell den Diensten zugeordnet. Diesmal hat er alles korrekt im IIS gebunden.
    Ich hoffe, dass die Zertifikatsfehler nun nicht mehr vorhanden sind.



    Danke an alle für die Hilfe.