Installation Exchange-Server

    • Offizieller Beitrag

    Moin,


    zusammengefasst:


    Du hast zwei DNS-Server, einen im internen Netz (meistens auf den Domain Controllern) und einem im externen Netz.


    Auf beiden gibt es für den Namen, den Du im Exchange-Server für HTTPS-Verbindungen verwendest, einen Eintrag. Intern zeigt der DNS-Eintrag auf den Server/Load Balancer. Extern zeigt der Eintrag auf die externe IP-Adresse, die dann über geeignete Wege auf die Server/Load Balancer weiterleitet.


    Viel detailierter kann man in einem Forum aus der Ferne nur schlecht beschreiben, weil man dafür mehr Information aus Deiner Umgebung braucht, die natürlich nicht öffentlich sind.


    Norberts Link zeigt schon eine der möglichen Konfigurationen, das kann je nach Anforderung und vorhandener Infratruktur auch anders aussehen.

    Danke für eure Beiträge und für die Hilfe!


    Zitat von NorbertFe

    Bisschen unklar, wie man mit so wenig Grundlage sowas in Betrieb nehmen will. ;) Aber vielleicht hilft das hier:
    https://jans.cloud/2014/09/exc…sse-zertifikate-splitdns/


    Viel Erfolg
    Norbert

    Dank dir für den Link, sieht im ersten Moment genau nach dem aus was ich benötige. Allerdings bin ich mir in einem Punkt nicht sicher. Im Artikel steht: "Nachdem die Konfiguration von SplitDNS erledigt ist, sollten als nächstes diese beiden Host-Einträge (owa.<domain.tld> und autodiscover<domain.tld>) beim öffentlichen DNS-Anbieter angelegt werden und auf die öffentliche IP zeigen."


    Ist hier die Rede von der öffentlichen IP der domain.tld oder der öffentlichen, statischen IP meines Routers?


    Zitat von RobertW

    Extern zeigt der Eintrag auf die externe IP-Adresse, die dann über geeignete Wege auf die Server/Load Balancer weiterleitet.

    Von Robert könnte hier schon die Antwort stehen, dass der Eintrag auf die öffentliche IP der domain.tld zeigen muss?



    So richtig?



    Grüße




    EDIT: Ich habe den DNS-Eintrag bei der TLD bzw. beim dortigen Anbieter jetzt mal auf die feste IP meines Routers zeigen lassen, irgendwie sagt mir das mein gesunder Menschenverstand? :rolleyes:


    Wenn ich Norberts Anleitung dann weiter bearbeite stoße ich allerdings auf ein Problem, wenn ich folgenden Schritt ausführen möchte:


    "Im nächsten Schritt am Exchange Server in der Exchange Management Shell einen Zertifikatsrequest erstellen und bei der entsprechenden Zertifizierungstelle einrichen:"


    Code
    Set-Content -Path "C:\cert.req" -Value (New-ExchangeCertificate -GenerateRequest -KeySize 2048 -SubjectName "c=Deutschland, s=Bayern, l=Nürnberg, o=Name, cn=owa.domain.tld" -domainName owa.domain.tld, autodiscover.domain.tld; -PrivateKeyExportable $True)

    Bringt er mir folgende Fehlermeldung in der Exchange ManagementShell:


    "
    In Zeile:1 Zeichen:252
    + ... omainName owa.domain.tld, autodiscover.domain.tld; -Priva ...
    + ~
    Schließende ")" fehlt in einem Ausdruck.
    In Zeile:1 Zeichen:281
    + ... domain.tld, autodiscover.domain.tld; -PrivateKeyExportable $True)
    + ~
    Unerwartetes Token ")" in Ausdruck oder Anweisung.
    + CategoryInfo : ParserError: (:) [], ParentContainsErrorRecordException
    + FullyQualifiedErrorId : MissingEndParenthesisInExpression


    "


    (Ich habe hier domain.tld anstatt meiner Domain verwendet, bei meiner Anwendung habe ich natürlich meine richtige Domain verwendet)


    Wie ich das verstehe fehlt ihm eine schließende Klammer, aber die ist ja vorhanden? ?(



    Grüße

    2 Mal editiert, zuletzt von udgesbou ()

    • Offizieller Beitrag

    C=DE
    Das gehört da hin statt Deutschland. Und Umlaute kann auch ein Problem sein. Probier’s mal mit Nuremberg.


    Code
    Set-Content -path "c:\temp\owa_domain_tld.txt" -Value (New-ExchangeCertificate -FriendlyName OWA-2019 -GenerateRequest -KeySize 2048 -SubjectName "c=DE, s=Bayern, l=Nuremberg, o=Name, ou=IT, cn=owa.domain.tld" -DomainName owa.domain.tld, autodiscover.domain.tld -PrivateKeyExportable $True)

    Der sollte jetzt funktionieren. Du hast da oben ein Semikolon zuviel.

    Dank dir Norbert, werde ich später gleich testen.


    Mit deinem Befehl erstellst du eine .txt im Beispiel des Artikels wird eine .cer-Datei erstellst. Gibt es da Vor-oder Nachteile beim Dateiformat?


    Und noch eine Frage zu den darauffolgenden Einstellungen bzgl. der virtuellen Verzeichnisse.


    Code
    Get-OwaVirtualDirectory -Server <Exchange Server> | Set-OwaVirtualDirectory -InternalUrl 'https://owa.<domain.tld>/owa' -ExternalUrl 'https://owa.<domain.tld>/owa'

    Verwende ich da am Punkt <Exchange Server> den Namen mit Domäne, also beispielsweise "EXServer.Domäne.local" oder genügt der einfache Name "EXServer"?


    Grüße

    Servus,
    ich habe deinen Befehl nun ausgeführt und es wurde ein Zertifikat erstellt. Wenn ich nun einen Schritt in der Anleitung weitergehen möchte:


    "Danach den Zertifikatsrequest abschließen und das Zertifikat importieren:"


    Code
    Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\temp\owa_domain_tld.txt -Encoding byte -ReadCount 0))

    Bekomme ich im Shell folgende Fehlermeldung:



    "Ein spezieller RPC-Fehler ist auf Server SERVER3 aufgetreten: Die Quelldaten sind fehlerhaft oder nicht
    ordnungsgemäß Base64-codiert.
    + CategoryInfo : ReadError: (:) [Import-ExchangeCertificate], InvalidOperationException
    + FullyQualifiedErrorId : [Server=SERVER3,RequestId=abbf520d-d472-4249-9fa0-235fa9f344a4,TimeStamp=14.01.2019
    15:54:35] [FailureCategory=Cmdlet-InvalidOperationException] ACCED791,Microsoft.Exchange.Management.SystemConfigu
    rationTasks.ImportExchangeCertificate
    + PSComputerName : server3.gmbh.local"


    Irgendwie scheint bei der Erstellung etwas falsch zu laufen?



    Grüße

    • Offizieller Beitrag

    Moin,



    Zitat von udgesbou

    Irgendwie scheint bei der Erstellung etwas falsch zu laufen?

    sieht so aus, wobei vermutlich nur das Format falsch ist.


    Das müsstest Du bei der CA prüfen, mit der Du den Request bestätigt hast. Die bieten oft mehrere Format ab, in der man den signierten Request herunterladen kann.


    Wenn nur das Format falsch ist, kannst Du ihn aber auch konvertieren. Macht "certuil". Da ich aktuell aber kein Beispiel habe und die Schalter nicht intuitiv sind, kann ich aus dem Stegreif nicht beantworten, wie das genau funktioniert.

    Servus,
    ich habe den Zertifikatsrequest wie in der von Norbert verlinken Anleitung beschrieben direkt auf dem Exchange-Server gestellt.
    Laut Norbert ist die Endung ja egal.


    Ich wüsste aber nicht wo ich nachschauen könnte welches Format mein Exchange-Server nimmt, normalerweise müsste er doch das was er erstellt hat auch akzeptieren? ?(



    Grüße

    • Offizieller Beitrag

    Moin,


    der Ablauf sieht wie folgt aus.
    Request erstellen (auf dem Exchange Server)
    Request einreichen (in einer Certifizierungsstelle, die den Request signiert und zurückgibt)
    Signiertes Zertifikat wieder in Exchange importieren


    Steht ja auch so in der Anlage "Danach den Zertifikatsrequest abschließen" oder hast Du das "abschließen" einfach weggelassen? Dann funktioniert das natürlich nicht.

    Nein, genau bei dem Punkt bin ich gerade, ich habe mich schon gewundert, warum die Datei welche hier dann genutzt wird eine andere Endung hat ^^


    Kannst du eine Zertifizierungsstelle empfehlen oder soll ich einfach Google bemühen?



    Grüße