Avatar billede juleulven Nybegynder
17. februar 2014 - 20:28 Der er 13 kommentarer og
1 løsning

Windows SBS 2011, Exchange 2010 og Certificater

Hej Alle

Vi har for nylig fået opgraderet vores SBS2003 til SBS2011.
Dette er forløbet overraskende godt og vi har nu taget den gamle server af netværket.

Jeg har dog opdaget et element der irriterer lidt.
DNS-Suffix hedder: domænexyzas.local
vores remote web workplace hedder: webmail.domænexyz.dk
vores primære e-mails hedder domænexyz.com

På selve SBSserveren ligger et certificat der hedder:
webmail.domænexyz.dk

Vores mobiletelefoner der forbinder til webmail.domænexyz.dk (server adressen) forbinder fint og uden problemer.

men vores klienters Outlook for til tider en "pop" op med noget certifikat de skal acceptere....  noget med, at certificatet ikke passer ...

Jeg læser noget om, at jeg bør lave et certificat via Exchange sbs2010 til webmail.domænexyz.dk også bruge SBS-consoles feature til, at lave et domænexyzas.local

passer det? eller nogen gode iddeer?
Avatar billede jjam Juniormester
18. februar 2014 - 07:25 #1
Har du sat de lokale mail klienter op til at benytte exchange proxy https://webmail.domænexyz.dk ?
Avatar billede juleulven Nybegynder
18. februar 2014 - 12:59 #2
Hej jjam.

Det har jeg ikke gjort nej.
De peger på server.domænexyz.local
Avatar billede jjam Juniormester
18. februar 2014 - 13:26 #3
SÅ ville jeg nok prøve dette, hvis din router kan finde ud af det (NAT loopback skal være slået til.)
Efter som mobil telefoner virker, så går jeg ud fra at ssl certifikatet virker i forhold til den eksterne adresse.
Ved at sætte outlook klienter op til det, så vil outlook få forbindelse på den offintelige adresse, der jo virker. ( som bonus, så vil evt. bærbare PCere efterfølgende kunne få fat i mail når de er uden for LAN)
Avatar billede juleulven Nybegynder
18. februar 2014 - 22:59 #4
hmm ... har lige været på vores RDS-server.
Her er Outlook konfigureret til, at kigge på
servername.domænexyz.local

MS Exchange via HTTP
Exchange proxy= https://webmail.domænexyz.dk
msstd: https://webmail.domænexyz.dk

så det har den altså klaret selv ... jeg får dog alligevel fejl med certifikat når jeg åbner Outlook ...

noget input til det?
Avatar billede juleulven Nybegynder
19. februar 2014 - 20:09 #5
jjam, du skriver; "SÅ ville jeg nok prøve dette, hvis din router kan finde ud af det (NAT loopback skal være slået til.)
Efter som mobil telefoner virker, så går jeg ud fra at ssl certifikatet virker i forhold til den eksterne adresse.
Ved at sætte outlook klienter op til det, så vil outlook få forbindelse på den offintelige adresse, der jo virker. ( som bonus, så vil evt. bærbare PCere efterfølgende kunne få fat i mail når de er uden for LAN) "


er det "Nat loopback" der gør, at folk kan tilslutte sig WAN-siden (webmail,domænexyz.dk) fra LAN siden?

Fordi vores mobiltelefoner kan IKKE synkronisere når det er på LAN-siden ... men "kun" på WAN-siden ..

og ja vores router kan NAT-loopback da det er en Zyxel Zywall USG 50
Avatar billede jjam Juniormester
19. februar 2014 - 20:30 #6
>Fordi vores mobiltelefoner kan IKKE synkronisere når det er på LAN-siden ... men "kun" på WAN-siden ..

Det KAN godt være fordi routeren ikke er sat til NAT loopback - check evt.

Det KAN også være et DNS problem, dvs. DNS for https://webmail.domænexyz.dk peger på den lokale IP når der når du er på LAN (Den skal pege på ekstern IP)

Test fra en PC på lan.:
1 Ping webmail.domænexyz.dk får du din eksterne IP er DNS OK.
2 Via internet Explorer gå ind på https://webmail.domænexyz.dk/OWA (webmail skal være slået til) Kan du ikke dette så skal du slå loopback til for HTTPS. (Rent faktisk så kan jeg ikke huske om andre porte også skal åbnes for mail)
Avatar billede juleulven Nybegynder
19. februar 2014 - 21:13 #7
Når jeg pinger får jeg en 192.168.1.3 (altså SBS-server LAN).
Så nu vil jeg gerne sætte NAT Loopback til men får en fejl om, at "Source IP" ikke må stå til "any".

skal den så stå til LAN SBS (altså 192.168.1.3) eller vores offentlige IP ?
Avatar billede juleulven Nybegynder
19. februar 2014 - 21:16 #8
opsætningen er:

incomming interface = TDC Fiber (wan port)
Original IP = any
Mapped IP = SBSserver
port mapping type = services
original service = https
mapped service = https
Related setting: nat Loopback = yes

jeg er i tvivl om hvad der skal stå i "original IP"
Avatar billede jjam Juniormester
19. februar 2014 - 21:37 #9
>Når jeg pinger får jeg en 192.168.1.3 (altså SBS-server LAN).
Den skal stå til den eksterne IP, ret i DNS på SBA.


>Så nu vil jeg gerne sætte NAT Loopback til men får en fejl om, at "Source IP" ikke må stå til "any".
Hver router har forskellig opsætning. Check evt. manuel.
Måske noget ved at at oprette en LAN range og bruge loopback på LAN (Ikke ANY)
Avatar billede juleulven Nybegynder
19. februar 2014 - 21:53 #10
jeg har fået NAT loopback til, at virke tror jeg...
hvis jeg fjerner en Outlook profil og tilføjer den igen så bruger den nu MEGET kort tid på konfiguration af Outlook ...

den peger på sbsserver.domænexyz.local men med https://webmail.domænexyz.dk og msstd:webmail.domænexyz.dk

men jeg får stadig en certifikatfejl omkring ugyldigt sikkerhedscertifikat / webstedets navn ...

lige PT kigger jeg på http://technet.microsoft.com/en-us/library/aa995942.aspx for, at få lavet et "selfsigned" certifikat med flere adresser i ...

altså:
https://servername/owa
https://servername.domænexyz.local/owa
https://autodiscover.domænexyz.dk

vores primære e-mails hedder domænexyz.com og vores sekundære domænexyz.dk ...

Skal jeg tage højde for det i ovenstående certifikat tror du?



og for øvrigt .... MAAAANGE TAK for den energi du lægger i denne tråd ...
Avatar billede jjam Juniormester
20. februar 2014 - 07:16 #11
Vil du ikke sende en privat besked med de offentlige domæne navnene så jeg kan se certifikatet.
Avatar billede jjam Juniormester
20. februar 2014 - 18:00 #12
Hej
Jeg mener at kan se at certifikatet er et selv-udstedt certifikat der virker på https://servername.domænexyz.local
(Det bør være https://servername.domænexyz.dk
Jeg har ikke den store erfaring med selv-udstedte certifikater.
(Der giver en del support da certifikatet skal installeres på hver enhed )

Jeg er uforstående for hvorfor det virker på mobiltelefoner (har i slået ssl fra?)

Min anbefaling vil være.:
1)    at få lavet et 'rigtig' certifikat
2)    at outlook klienterne sættes op til https proxy på den eksterne side

Du kan få nogle meget billige ssl certifikater på http://www.godaddy.com/ eneste ulempe er at du bliver spamet med gode tilbud. Så vidt jeg husker så er der i SBS 2011 gode muligheder for at opsætte certifikater via SBS admin. (dvs. du sparre de meterlange kommandoer der tidligere skulle skrives i Exchange konsollen) Mener også at der er nogle vejledninger på http://www.godaddy.com/
Avatar billede juleulven Nybegynder
20. februar 2014 - 22:36 #13
som jeg læser dit post skal certifikatet udstedes til den hjemmeside hvor tjenesten tilhører ... altså domænexyz.dk og ikke selve e-mail adressens domæne som er domænexyz.com ...
er det korrekt forstået?

SSL slået fra, når jeg opretter tjenesten skal SSL være slået til ellers kan jeg ikke forbinde til webmail.domænexyz.dk (server adressen) men mon ikke det skyldes, at HTTPS er det eneste jeg forwarder i min router.

jeg kan se 7 "warnings" i min Exchange best practice analyzer som peger på de forskellige HTTPS tjenester:

The subject alternative name (SAN) of SSL certificate for https://webmail.domænexyz.dk/owa/ does not appear to match the host address. Host address: webmail.xpdigital.dk. Current SAN: Other Name:DS Object Guid=04 10 c2 7f bf 25 5b 53 e8 4b 9e 30 cd 26 4b 91 bc 43, DNS Name=XPDSBS.xpdigitalas.local.

jeg har prøvet og køre "selfsigned" certificate igen og denne gang har jeg ikke problemer omkring de "interne Outlooks"  der brokker sig over SSL-certifikat hvert 20 sekund ... måske det "bare" var det ..  den ovenstående "Exchange best practice.adversel" er også væk nu. ...

når jeg også tilføje mobiltelefoner får jeg stadig en "SSL" warning men nu siger den bare, at udstederen ikke er betroet ...

drop mig et "svar" så skal jeg tildele dig point ... igen og igen og igen ...

jeg skal også hilse og sige MANGE tak for "NAT loopback" og derved muligheden for mobil sync fra LAN ...

jeg får med stor sikkerhed lavet et "digitals certifikat" snarest når jeg lige får CEO tilladelse til udgiften ...
Avatar billede jjam Juniormester
21. februar 2014 - 08:49 #14
>som jeg læser dit post skal certifikatet udstedes til den >hjemmeside hvor tjenesten tilhører ... altså domænexyz.dk
Ja !
>jeg kan se 7 "warnings" i min Exchange best practice analyzer >som peger på de forskellige HTTPS tjenester:
Den kender jeg ikke så godt.

Anbefaling: brug "Windows SBS Console" til at ændre/oprette certifikater med. (Network/Connetcivety).
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester