Windows SBS 2011, Exchange 2010 og Certificater

Har du sat de lokale mail klienter op til at benytte exchange proxy https://webmail.domænexyz.dk ?

Hej jjam.

Det har jeg ikke gjort nej.
De peger på server.domænexyz.local

SÅ ville jeg nok prøve dette, hvis din router kan finde ud af det (NAT loopback skal være slået til.)
Efter som mobil telefoner virker, så går jeg ud fra at ssl certifikatet virker i forhold til den eksterne adresse.
Ved at sætte outlook klienter op til det, så vil outlook få forbindelse på den offintelige adresse, der jo virker. ( som bonus, så vil evt. bærbare PCere efterfølgende kunne få fat i mail når de er uden for LAN)

hmm ... har lige været på vores RDS-server.
Her er Outlook konfigureret til, at kigge på
servername.domænexyz.local

MS Exchange via HTTP
Exchange proxy= https://webmail.domænexyz.dk
msstd: https://webmail.domænexyz.dk

så det har den altså klaret selv ... jeg får dog alligevel fejl med certifikat når jeg åbner Outlook ...

noget input til det?

jjam, du skriver; "SÅ ville jeg nok prøve dette, hvis din router kan finde ud af det (NAT loopback skal være slået til.)
Efter som mobil telefoner virker, så går jeg ud fra at ssl certifikatet virker i forhold til den eksterne adresse.
Ved at sætte outlook klienter op til det, så vil outlook få forbindelse på den offintelige adresse, der jo virker. ( som bonus, så vil evt. bærbare PCere efterfølgende kunne få fat i mail når de er uden for LAN) "

er det "Nat loopback" der gør, at folk kan tilslutte sig WAN-siden (webmail,domænexyz.dk) fra LAN siden?

Fordi vores mobiltelefoner kan IKKE synkronisere når det er på LAN-siden ... men "kun" på WAN-siden ..

og ja vores router kan NAT-loopback da det er en Zyxel Zywall USG 50

>Fordi vores mobiltelefoner kan IKKE synkronisere når det er på LAN-siden ... men "kun" på WAN-siden ..

Det KAN godt være fordi routeren ikke er sat til NAT loopback - check evt.

Det KAN også være et DNS problem, dvs. DNS for https://webmail.domænexyz.dk peger på den lokale IP når der når du er på LAN (Den skal pege på ekstern IP)

Test fra en PC på lan.:
1 Ping webmail.domænexyz.dk får du din eksterne IP er DNS OK.
2 Via internet Explorer gå ind på https://webmail.domænexyz.dk/OWA (webmail skal være slået til) Kan du ikke dette så skal du slå loopback til for HTTPS. (Rent faktisk så kan jeg ikke huske om andre porte også skal åbnes for mail)

Når jeg pinger får jeg en 192.168.1.3 (altså SBS-server LAN).
Så nu vil jeg gerne sætte NAT Loopback til men får en fejl om, at "Source IP" ikke må stå til "any".

skal den så stå til LAN SBS (altså 192.168.1.3) eller vores offentlige IP ?

opsætningen er:

incomming interface = TDC Fiber (wan port)
Original IP = any
Mapped IP = SBSserver
port mapping type = services
original service = https
mapped service = https
Related setting: nat Loopback = yes

jeg er i tvivl om hvad der skal stå i "original IP"

>Når jeg pinger får jeg en 192.168.1.3 (altså SBS-server LAN).
Den skal stå til den eksterne IP, ret i DNS på SBA.


>Så nu vil jeg gerne sætte NAT Loopback til men får en fejl om, at "Source IP" ikke må stå til "any".
Hver router har forskellig opsætning. Check evt. manuel.
Måske noget ved at at oprette en LAN range og bruge loopback på LAN (Ikke ANY)

jeg har fået NAT loopback til, at virke tror jeg...
hvis jeg fjerner en Outlook profil og tilføjer den igen så bruger den nu MEGET kort tid på konfiguration af Outlook ...

den peger på sbsserver.domænexyz.local men med https://webmail.domænexyz.dk og msstd:webmail.domænexyz.dk

men jeg får stadig en certifikatfejl omkring ugyldigt sikkerhedscertifikat / webstedets navn ...

lige PT kigger jeg på http://technet.microsoft.com/en-us/library/aa995942.aspx for, at få lavet et "selfsigned" certifikat med flere adresser i ...

altså:
https://servername/owa
https://servername.domænexyz.local/owa
https://autodiscover.domænexyz.dk

vores primære e-mails hedder domænexyz.com og vores sekundære domænexyz.dk ...

Skal jeg tage højde for det i ovenstående certifikat tror du?



og for øvrigt .... MAAAANGE TAK for den energi du lægger i denne tråd ...

Vil du ikke sende en privat besked med de offentlige domæne navnene så jeg kan se certifikatet.

Hej
Jeg mener at kan se at certifikatet er et selv-udstedt certifikat der virker på https://servername.domænexyz.local
(Det bør være https://servername.domænexyz.dk) 
Jeg har ikke den store erfaring med selv-udstedte certifikater.
(Der giver en del support da certifikatet skal installeres på hver enhed )

Jeg er uforstående for hvorfor det virker på mobiltelefoner (har i slået ssl fra?)

Min anbefaling vil være.:
1)    at få lavet et 'rigtig' certifikat
2)    at outlook klienterne sættes op til https proxy på den eksterne side

Du kan få nogle meget billige ssl certifikater på http://www.godaddy.com/ eneste ulempe er at du bliver spamet med gode tilbud. Så vidt jeg husker så er der i SBS 2011 gode muligheder for at opsætte certifikater via SBS admin. (dvs. du sparre de meterlange kommandoer der tidligere skulle skrives i Exchange konsollen) Mener også at der er nogle vejledninger på http://www.godaddy.com/

som jeg læser dit post skal certifikatet udstedes til den hjemmeside hvor tjenesten tilhører ... altså domænexyz.dk og ikke selve e-mail adressens domæne som er domænexyz.com ...
er det korrekt forstået?

SSL slået fra, når jeg opretter tjenesten skal SSL være slået til ellers kan jeg ikke forbinde til webmail.domænexyz.dk (server adressen) men mon ikke det skyldes, at HTTPS er det eneste jeg forwarder i min router.

jeg kan se 7 "warnings" i min Exchange best practice analyzer som peger på de forskellige HTTPS tjenester:

The subject alternative name (SAN) of SSL certificate for https://webmail.domænexyz.dk/owa/ does not appear to match the host address. Host address: webmail.xpdigital.dk. Current SAN: Other Name:DS Object Guid=04 10 c2 7f bf 25 5b 53 e8 4b 9e 30 cd 26 4b 91 bc 43, DNS Name=XPDSBS.xpdigitalas.local.

jeg har prøvet og køre "selfsigned" certificate igen og denne gang har jeg ikke problemer omkring de "interne Outlooks"  der brokker sig over SSL-certifikat hvert 20 sekund ... måske det "bare" var det ..  den ovenstående "Exchange best practice.adversel" er også væk nu. ...

når jeg også tilføje mobiltelefoner får jeg stadig en "SSL" warning men nu siger den bare, at udstederen ikke er betroet ...

drop mig et "svar" så skal jeg tildele dig point ... igen og igen og igen ...

jeg skal også hilse og sige MANGE tak for "NAT loopback" og derved muligheden for mobil sync fra LAN ...

jeg får med stor sikkerhed lavet et "digitals certifikat" snarest når jeg lige får CEO tilladelse til udgiften ...

>som jeg læser dit post skal certifikatet udstedes til den >hjemmeside hvor tjenesten tilhører ... altså domænexyz.dk
Ja !
>jeg kan se 7 "warnings" i min Exchange best practice analyzer >som peger på de forskellige HTTPS tjenester:
Den kender jeg ikke så godt.

Anbefaling: brug "Windows SBS Console" til at ændre/oprette certifikater med. (Network/Connetcivety).