Beiträge von Gerber

  • Exchange Server 2010 - Wildcard - Split DNS

    Hallo zusammen,


    ich benötige mal etwas Hilfe von den Exchange Profis ;) :


    Folgendes Szenario:


    Unser Unternehmen hat bereits ein vorhandes Wildcard Zertifikat. Bisher war kein SPlit DNS konfiguriert und der Exchange Server hatte Intern wie Extern verschiedene URLS hinterlegt. Intern waren die URLS auf den lokalen Hostname angelegt.Nun war mein Ziel, SPLIT DNS zu konfigurieren und das selbstsignierte Zertifikat durch das bereits vorhandene Wildcard Zertifikat zu ersetzen. Bisher hatte ich allerdings immer ein SAN Zertifikat, welches mit Exchange wesentlich besser funktioniert.


    Im DNS wurden zwei Zonen angelegt:


    outlook.domain.de


    autodiscover.domain.de


    In den jeweiligen Zonen wurde ein HOST A Eintrag erstellt, welcher auf den Mailserver zeigt. DNS Auflösung beider Zonen funktioniert.


    ##


    Im nächsten Schritt habe ich das Zertifikat auf dem Exchange Server importiert.


    ##


    Danach habe ich alle URLS über die Powershell umkonfiguriert.


    Alle Dienste auf outlook.domain.de, bis auf den Dienst "autodiscover". Dieser wurde auf "autodiscover.domain.de" konfiguriert. Outlook Anywhere ist nicht aktiv.


    ###


    Danach habe ich das Binding auf dem IIS (443) auf das neue Zertifikat umgestellt.



    ####


    Nun zu den Fragen:


    1.) Wie oben bereits geschrieben, habe ich noch NIE ein Wildcard Zertifikat in Verbindung mit Exchange konfiguriert. Muss an dieser Stelle ein weiteres Binding durchgeführt werden? Oder genügt es, dass Wildcard Zertifikat im Exchange Server 2010 zu importieren und an den Port 443 zu binden?


    2.) Muss sonst noch etwas am Exchange Server für Wildcard Zertifikate konfiguriert werden?


    3.) Auf einigen Clients (Outlook) wird die Fehlermeldung angezeigt, dass das Zertifikat nicht übereinstimmt. Allerdings kommt diese Meldung nicht auf allen Clients.
    Autodiscover test wird erfolgreich ausgeführt und verweißt auch auf die neue korrekte URL "autodiscover.domain.de".


    Was mich etwas stutzig macht ist, dass wenn ich den Verbindungsstatus kontrolliere immer noch der lokale Servername angezeigt wird. Sollte an dieser Stelle nicht auch der neue Servername hinterlegt sein?


    4.) Letzte Frage, zum Thema Empfangs und Sendeconnectoren und den FQDN auf HELO Anfragen:


    Die Connectoren waren bisher natürlich alle auf den lokalen Hostname angelegt "Exch.domain.local". Müssen hier alle Connectoren auf den neuen umgestellt werden?


    Also Sendeconnector. Empfangsconnector "Default" und "Client"?



    Danke im Voraus für eure Hilfe.


    Grüße Philipp