Ja natürlich ist es bei mir so. Das sagte ich doch auch schon die ganze zeit. Deswegen will ich ja ein relay, das ich in eine richtige DMZ stellen kann.
So richtig mit firewall - relay - firewall - sbs08 etc
verstehst du jetzt was ich meine?
auf dem screenshot sind die Firewall regeln für eben den Zugriff auf den exchange mit SMTP über port 443
Habs jetzt hinbekommen. Sorry dass ich mich so spät melde, aber ich war krank!
sobald ich das startcom zertifikat entfernt hatte, konnte ich mit dem wizard das neue einfügen!
Ist das jetzt also kein sicherheitsrisiko, dass port 443 von außen erreichbar ist?
NAT ist übrigens nicht aktiviert!
[Blockierte Grafik: http://www.abload.de/img/unbenannto6kae.jpg]
[Blockierte Grafik: http://cache.ohinternet.com/images/thumb/7/73/JeanLucPicardFacepalm.jpg/618px-JeanLucPicardFacepalm.jpg]
Ich bin dumm ~.~
Danke dir 
ZitatRemove-Exchangecertificate oder mmc und Zertifikate bspw.
mhhh
remove-exchangecertificate mag die verwaltungsshell iwie nicht und unter Zertifikate finde ich dieses nicht
kannst du mír sagen wo das sein soll?
[Blockierte Grafik: http://www.abload.de/img/zertsbjz7.jpg]
ZitatDeswegen stellt man doch aber den SBS nicht in eine DMZ. Das wäre dann ja nicht ein Loch, sondern ein Käse zum LAN hin.
naja, wie soll ich das sonst lösen?
Exchange ist auf dem SBS installiert. Clients müssen aus dem Internet auf exchange über den Port 443 zugreifen können.
Auf der Firewall wurde zum exchange (der auf dem SBS ist) der Zugriff aus dem internet zugelassen.
Dann befindet sich doch der Rechner in einer quasi DMZ oder nicht?
ZitatAha. Und das ist ein Problem?
ja ich denke doch schon, wenn der port von außen her offen ist!
Hast du doch oben drüber auch gesagt, oder komme ich gerade total durcheinander?! :-?
ah gut, hätte mich auch stark gewundert 
ZitatDann lösche das alte abgelaufene Zertifikat und starte den Wizard nochmal. Kann ja nicht so schwer sein, oder?
muss ich mal schaun wie und vorallem wo das geht. Aber ich werds versuchen!
ZitatUnd was machst du dann am SBS?
arbeiten?
Wie du schon sagtest, der SBS macht einiges mehr als nur exchange. Nur weil ich mich mit exchange nicht auskenne, heist das nicht dass ich 0 plan von anderen sachen habe
Zitat
Ich verstehe weder den Zusammenhang zwischen exchange/dc/filer und DMZ noch warum das irgendwas mit IPhones zu tun haben sollte.
naja der sbs, der eben unser "allround server" ist, stellt OWA bereit. Das heist doch, dass der Server aus dem Internet erreichbar sein muss. Oder sehe ich das falsch? (was anderes wäre ja nicht sinnvoll.)
Das heisst der Port 443 ist nach außen hin offen.
Sonst könnten die handys ja nicht auf den exchange zugreifen! wenn jemand über den offenen port eindringt, ist alles offengelegt.
VPN ist keine option, da die iphones sich ständig im standby vom VPN verabschieden... Das ist bei push mail ein no-go mMn
Zitat
Und welches Loch wäre das deiner Meinung nach?
Port 443
ZitatDer MX Record ist dafür zuständig, damit du den POP3Connector abschalten kannst und die Mails auf den externen Namen deines Mailservers (relay oder SBS oder was auch immer) geleitet werden.
moment, meintest du oben mit MX Record abstellen "deaktivieren" oder "Bereitstellen"
Das ist irgendwie konfus. Warum soll ich den MX Record deaktivieren wenn dieser dafür sorgt, dass die mails an den externen namen gehen?
Zitat
Ja, bzw. den vorhandenen einfach anpassen. Ich würde wetten, dass es dafür dann sogar wieder einen Wizard im SBS gibt.
ja den gibt es! Muss mich damit mal ausseinander setzen
Danke schomal für die bisherige hilfe! hat mir sehr geholfen!
naja, also viel kann man da ja nicht falsch machen mit dem wizard 
wenn ich über die verwaltungsshell versuche das zertifikat zu tauschen, sagt er mir dass nur das für die interne Kommunikation getauscht wird, da das andere eine höhere Priorisierung hat (da von öffentlicher CA ausgestellt).
Das zertifikat ist allerdings abgelaufen.
Sprich: er nutzt das abgelaufene, lässt es mich aber nicht austauschen.
was pop3 angeht:
wie gesagt, ich habe erstmal 0 plan von exchange. Hab noch nie vorher damit zu tun gehabt. Muss erstmal die Mechanismen verstehen bevor ich da rumwerkel!
=)
wegen dem relay:
weil momentan unser exchange/dc/filer all in one sbs in der dmz hängt - nicht meine entscheidung, ich finde es absolut unmöglich, aber die geschäftsleitung will unbedingt exchange aufm iphone.... (drecksdinger ^^)
immerhin ist der server durch die firewall sonst relativ gut geschützt. Aber der beste staudamm hilft nichts wenn ein loch in der Wand ist...
Der MX Record ist dann für die übermittlung vom pop3 connector des SBS auf dem exchange zuständig oder wie sehe ich das?
muss ich dann eigentlich nurnoch im exchange in der server config einen empfangsconnector als smtp einrichten, oder?
ja, stimmt, die zertifikate bei pop3 waren nicht aktiviert.
Das problem ist, dass ich hier reingekommen bin und alles schon auf pop3 eingerichtet war.
Ich kann das jetzt nicht alles auf einmal ändern.
Fehler wurde gefunden:
Unsere Firewall hat ein update installiert und dann hat sich der pop3 proxy verabschiedet. Simpel aber man muss da erstmal drauf kommen -.-
Neustart der Firewall und es geht.
Allerdings bleibt da noch die Frage oben zwecks dem Fehler mit dem Zertifikat.
Kann mir jemand sagen, wo ich das austauschen kann?
(Das mit dem Wizard hab ich gemacht, behebt den fehler aber nicht. Das SMTP zertifikat ist trotzdem abgelaufen! )
für einen mail relay server ist momentan auch noch kein geld da. 
ich gebs offen zu ich bin ein absoluter anfänger in sachen Exchange
kennt jemand zufällig ne gute anleitung zum umstellen von pop auf smtp?
naja, also das problem ist, dass mein exchange keine Mails mehr abholt
versenden geht nach extern.
Intern geht senden und empfangen.
Meine vermutung ist jetzt natürlich, dass es an dem Zertifikat liegt :-/
Hallo an alle.
Ich habe ein Riesen Problem.
Wir hatten ein Zertifikat von startssl
aber dieses ist abgelaufen und es besteht kein bedarf an einem neuen
jetzt möchte ich über den Exchange mittels pop3 connector mails holen.
Bekomme aber diese Meldung in der Ereignisanzeige:
Fehler 13.01.2012 10:39:27 MSExchangeTransport 12016 TransportService
Es ist kein gültiges SMTP-TLS-Zertifikat (Transport Layer Security) für den FQDN von 'remote.domain.de' vorhanden. Das vorhandene Zertifikat für diesen FQDN ist abgelaufen. Die fortgesetzte Verwendung dieses FQDNs wird Nachrichtenübermittlungsprobleme verursachen. Ein neues Zertifikat, das den FQDN von 'remote.domain.de' enthält, sollte so bald wie möglich auf diesem Server installiert werden. Sie können ein neues Zertifikat mithilfe des Tasks 'New-ExchangeCertificate' erstellen.
Warnung 13.01.2012 10:39:21 MSExchangeTransport 1020 SmtpReceive
Das Konto 'Domain\Administrator' hat gültige Anmeldeinformationen bereitgestellt, ist jedoch nicht berechtigt, den Server zu verwenden; Fehler bei der Authentifizierung.
Warnung 13.01.2012 03:23:34 CertificateServicesClient-Serverspeicherung 64 Keine
Zertifikat für lokaler Computer mit Fingerabdruck d5 58 a9 D558A905CCF2AE6DFSASDC435EDC77BD80C6436D0 wird bald ungültig oder ist bereits ungültig.
dieses Zertifikat wird als ungültig (und zwar berechtigt) erkannt:
ZitatAccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System .Security.AccessControl.CryptoKeyAccessRule, System.Securi ty.AccessControl.CryptoKeyAccessRule} CertificateDomains : {remote.domain.de, domain.de} HasPrivateKey : True IsSelfSigned : False Issuer : CN=StartCom Class 1 Primary Intermediate Server CA, OU=Sec ure Digital Certificate Signing, O=StartCom Ltd., C=IL NotAfter : 30.12.2011 10:44:23 NotBefore : 28.12.2010 15:45:52 PublicKeySize : 2048 RootCAType : ThirdParty SerialNumber : 02A64C Services : SMTP Status : DateInvalid Subject : E=webmaster@domain.de, CN=remote.domain.de, OU=StartCom Free Certificate Member, O=Persona Not Validated, C=DE, De scription=323242-Rx3cGQhi6ZuGHAzV Thumbprint : D558A905CCF2AE6DFSASDC435EDC77BD80C6436D0
so, wie bringe ich jetzt also diesen verfluchten Exchange dazu die externe TLS kommunikation über mein selbst ausgestelltes zertifikat zu erledigen?
Danke schonmal =)
Oh man -.-"
nach 4 stunden fehlersuche kommt er an und sagt: "hoppla, wir haben das über den DynDNS eintrag aufgerufen" ....
meinen fehler habe ich auch bemerkt. Ich habs mit HTTPS aufgerufen
rufe ich die subdomain remote.name.de auf, leitet er mich entsprechend auf die https:///oeffIP.de/owa weiter
aber danke nochmal für die nette Hilfe!
Ich werde sicher nochmal das ein oder andere mal auf euch zukommen
und sorry für doppelpost!
Jetzt werd ich mich mal an einen reverse proxy machen
