Beiträge von neovanmatix

Zitat

Aber was ich nicht verstehe: Wenn Du Kunden hast, anscheinend mehrere, und immer wieder das Problem hast: WARUM beschäftigst Du Dich nicht mal ordentlich damit? Einmal, zwei Tage und das Thema sitzt und Du hast beim Kunden einen besseren Stand.

Genau an diesem Punkt bin ich ja gerade Die Aussage, dass ich hier nur mit einem Ohr drin hänge ist ebenfalls wahrheitsgemäß, ich versuche mir diesbezüglich ein paar Lösungswege zu erarbeiten und danach den Kollegen vorzuschlagen.

Die Sache mit dem Split-DNS macht natürlich Sinn; 5 Minuten drüber nachgedacht und festgestellt, dass ich das bereits 1-2 in einem anderen Bereich verwendet habe.

Dazu aber eine Frage: Damit die Outlook-Clients auch tatsächlich über den externen Namen und nicht über den internen zum Exchange-Server gehen, sollte man vermutlich die AutoDiscover-Einstellungen ändern und die externe Adresse eintragen und das Exchange-Outlook-Profil neu einrichten, oder?

Hallo,

was ich nicht verstehe:
Warum ist das so kompliziert?

Wir haben keine Kunden mit 3000 Mitarbeitern, sondern hauptsächlich keine Workgroups mit max. 50 Usern, die Regel ist eher 10 User mit einem SBS.

Und für solche Szenarien gibt es keine ordentliche, einfache und kostengünstige Möglichkeit, intern wie extern mit einem signierten Zertifikat zu arbeiten?

Ich meine, ein selbstsigniertes zu erstellen und an 10 Plätzen einzutragen ist schnell von der Hand; aber nervt und muss doch auch "ordentlich" und zentral gehen.

Split-DNS hört sich für mich einfach umzusetzen an - scheint mir aber keine sooo saubere Lösung zu sein.

Und die Sache mit den Proxys sprengt für unsere Zwecke vermutlich den Rahmen.

Ich vermute, auf einem Server beim Kunden eine eigene CA zu installieren, dort Zertifikate auszustellen und diese per GPO (zumindest das Root-CA) zu verteilen, ist noch die "ordentlichste" Variante für unsere Zwecke?

Hallo,

ich klinke mich hier mal ein, um einem Kollegen unter die Arme zu greifen, der ein paar Probleme mit Exchange 2010 und SSL-Zertifikaten hat.

Grundsätzlich wird doch ein selbstsigniertes SSL-Zertifikat bei der Installation von SBS2011/Exchange erstellt, das von Haus aus erstmal funktioniert.

Nach einem Jahr läuft das Zertifikat ab und kann verlängert werden.

Ich habe mich parallel versucht einzulesen; konnte aber nur folgendes feststellen: Wenn man ein Zertifikat verlängert, wird ein neues mit den Daten des alten erstellt; der Thumbprint ändert sich aber - es ist also ein "neues Zertifikat".

Die Clients kriegen dann, wenn für Smtp, Imap, POP und IIS aktiviert, eine Zertifikatwarnung - wenn man das Zertifikat am Client installiert, läuft es erstmal soweit.

Nun wollten wir uns ein SSL-Zertifikat von StartSSL besorgen. Jetzt, mit erheblichem Aufwand für Class 2 Identifiy und Organization-Validation sind wir soweit, ein Zertifikat erstellen zu können.

Nun das blöde: Ich kann nur öffentliche Domänen im Zertifikat eintragen - also webmail.domain.de, aber nicht server.local.

Anscheinend ist das auch bei anderen Anbietern von SSL-Zertifikaten so, sodass meine jetzige Frage folgende ist:
- Wie löst man das normalerweise im Firmenumfeld? Gibt es eine Möglichkeit, ggf. intern mit einem selbsterstellten Zertifikat zu arbeiten, und von Extern mit einem öffentlich signiertem?

Auch lassen sich doch bestimmt die Zertifikate über Gruppenrichtlinien an die Clients ausbringen, oder? Sodass man bei einer Änderung des selbstsignierten Zertifikats nicht an jedem Client das Zertifikat manuell installieren muss?

Vielen Dank für eure Hilfe,
Bastian