Exchange 2007 mit ISA2004 veröffentlichen

08/04/2009 - 18:05 von Nico Brandt | Report spam
Hallo,

ich habe einen Exchange 2007 SP1 auf Windows Server 2008 mittels ISA 2004
veröffentlicht. Wir haben ein öffentliches Zertifikat (kein SAN).

Das Problem: ich habe es nicht hinbekommen den Exchange mittels des internen
Namens / IP in der Veröffentlichungsregel anzusprechen. Es gab immer einen
Zertifikatsfehler. Unter Exchange 2003 hat das aber definitiv funktioniert.
Stattdessen habe ich die host-datei auf dem ISA editieren müssen und den
externen FDQN verwendet. Im IIS auf dem Exchange musste ich das
Standardzertifikat durch unseres ersetzen. Dies führte jedoch dazu, das
interne Clients beim Starten von Outlook eine Zertifikatswarnung erhalten.

Brauche ich wirklich ein SAN-Zertifikat auch wenn ich kein Autodiscover von
extern benötige? Oder mache ich noch etwas falsch?

Danke und Gruß,

Nico Brandt
 

Lesen sie die antworten

#1 Jens Baier
08/04/2009 - 18:46 | Warnen spam
Hi,

ich habe einen Exchange 2007 SP1 auf Windows Server 2008 mittels ISA 2004
veröffentlicht. Wir haben ein öffentliches Zertifikat (kein SAN).



OK

Das Problem: ich habe es nicht hinbekommen den Exchange mittels des
internen Namens / IP in der Veröffentlichungsregel anzusprechen. Es gab
immer einen Zertifikatsfehler.



welchen? Zielprincipalname ist falsch oder Certificate nor trusted?

Unter Exchange 2003 hat das aber definitiv funktioniert.
Stattdessen habe ich die host-datei auf dem ISA editieren müssen und den
externen FDQN verwendet. Im IIS auf dem Exchange musste ich das
Standardzertifikat durch unseres ersetzen. Dies führte jedoch dazu, das
interne Clients beim Starten von Outlook eine Zertifikatswarnung erhalten.



Du brauchst Intern am Exchange das Zertifikat fuer die Veroeffentlichung mit
ISA nicht austauschen
Importier am ISA das self signed Certificate in den lokalen
Computerspeicher, importier das gleiche Certificate auch noch in den Trusted
Root CA Store der lokalen Maschine.
Das am Exchange ausgestellte zertifikat sollte auf den NetBIOS NAmen des
Exchange ausgestellt sein, so dass Du in der ISA Regel in der Registerkarte
BIS den NetBIOS Namen angibst, der ja dem CN im Certificate entspricht

Brauche ich wirklich ein SAN-Zertifikat auch wenn ich kein Autodiscover
von extern benötige? Oder mache ich noch etwas falsch?



fuer die Veroeffentlichung ueber ISA von Extern nicht zwingend. Fuer Intern
solltest Du Dir aber schon Gedanken ueber den Austausch des Zertifikats
machen, da das Cert ja self signed ist und nur 1 jahr gueltig ist.
So etwas sollte IMHO eines der ersten Schritte nach der Exchange
Installation sein

Gruss Jens
www.nt-faq.de
www.it-training-grote.de

Ähnliche fragen