Rahanas
Enthusiast
Wäre Dir sehr dankbar, wenn du das raussuchen könntest 
[Kaufberatung] Home ITX-Exchange Server
- Ersteller Rahanas
- Erstellt am
New-ExchangeCertificate -FriendlyName "SelfSigned Cert" -SubjectName "cn=mail08.yourdomain.com" -DomainName mail08,mail08.yourdomain.com,autodiscover.yourdomain.com -Services "SMTP, IMAP, POP, IIS, Federation" -PrivateKeyExportable $True
hiermit kannste des via exchange shell erstellen.
Wie du siehst ist autodiscover auch mit enthalten.
Normalerweise fragt er dich nach dem ausführen des befehls ob er dass teil als aktives zertifikat nehmen soll. Mit ja abnicken.
Wenn du das zertifikat auf deinem client installierst drauf achten dass du es nicht automatisch, sondern manuell in den vertrauenswürdigen stammzertifikats anbieter-speicher lädst.
New-ExchangeCertificate: Exchange 2010 SP1 Help
hiermit kannste des via exchange shell erstellen.
Wie du siehst ist autodiscover auch mit enthalten.
Normalerweise fragt er dich nach dem ausführen des befehls ob er dass teil als aktives zertifikat nehmen soll. Mit ja abnicken.
Wenn du das zertifikat auf deinem client installierst drauf achten dass du es nicht automatisch, sondern manuell in den vertrauenswürdigen stammzertifikats anbieter-speicher lädst.
New-ExchangeCertificate: Exchange 2010 SP1 Help
Rahanas
Enthusiast
erstklassig, ich werds gleich morgen ausprobieren!!! Vielen vielen Dank!! Kann ich dich nochmal anschreiben, falls es nicht funktionieren sollte?
Rahanas
Enthusiast
Ein- und Ausgang funktioniert erstklassig (zumindest bislang).
Alles klar, besten Dank!
Rahanas
Enthusiast
mein Leidensweg ist noch nicht beendet...
Ich gebe hier mal fiktive Namen für die von mir verwendeten Domains an:
Meine DynDns Domain, welche auf die jeweilige Dynamische IP zeigt: hwlxx.dnydns.org
Meine gemietete Domain bei Host Europe: PrivateMail.de
Was habe ich bislang bei Host Europe Konfiguriert:
Ich habe den mx-record meiner he-domain auf: hwlxx.dnydns.org umgelegt. Der Reiter "Externer MX" habe ich ausgelassen, damit mir ein Mailkonto für den Ausgang des Servers erhalten bleibt. Funktioniert bislang einwandfrei.
Ich habe einen CNAME: OWA.PrivateMail.de mit dem Ziel: hwlxx.dyndns.org, sowie einen CNAME: autodiscover.PrivateMail.de mit dem Ziel hwlxx.dnydns.org angelegt.
Anschließend habe ich das obige Skript in die folgende version überführt:
New-ExchangeCertificate -FriendlyName "SelfSigned Cert" -SubjectName "cn=owa.PrivateMail.de" -
DomainName owa,owa.PrivateMail.de,autodiscover.PrivateMail.de -Services "SMTP, IMAP, POP, IIS, Federation"
-PrivateKeyExportable $True
Beim Anlegen eines externen Outlook Kontos tritt dann folgender fehler auf:
was genau mache ich da falsch?
Ich gebe hier mal fiktive Namen für die von mir verwendeten Domains an:
Meine DynDns Domain, welche auf die jeweilige Dynamische IP zeigt: hwlxx.dnydns.org
Meine gemietete Domain bei Host Europe: PrivateMail.de
Was habe ich bislang bei Host Europe Konfiguriert:
Ich habe den mx-record meiner he-domain auf: hwlxx.dnydns.org umgelegt. Der Reiter "Externer MX" habe ich ausgelassen, damit mir ein Mailkonto für den Ausgang des Servers erhalten bleibt. Funktioniert bislang einwandfrei.
Ich habe einen CNAME: OWA.PrivateMail.de mit dem Ziel: hwlxx.dyndns.org, sowie einen CNAME: autodiscover.PrivateMail.de mit dem Ziel hwlxx.dnydns.org angelegt.
Anschließend habe ich das obige Skript in die folgende version überführt:
New-ExchangeCertificate -FriendlyName "SelfSigned Cert" -SubjectName "cn=owa.PrivateMail.de" -
DomainName owa,owa.PrivateMail.de,autodiscover.PrivateMail.de -Services "SMTP, IMAP, POP, IIS, Federation"
-PrivateKeyExportable $True
Beim Anlegen eines externen Outlook Kontos tritt dann folgender fehler auf:
was genau mache ich da falsch?
Zuletzt bearbeitet:
Sumatrabarbe
Enthusiast
Naja steht doch in der Fehlermeldung... Dein PC vertraut der CA nicht... importier dir das Zertifikat und trag es als vertrauenswürdig ein.
Rahanas
Enthusiast
hab ich getan, ist unter vetrauenswürdige stammzertanbieter eingetragen
Plattenputzer
Neuling
Grundlegendes zu SSL für Outlook Anywhere: Hilfe zu Exchange 2010 SP1
scheinbar benötigst du ein ssl zertifikat von einer "echten" CA.
was sagt denn der ie wenn du auf "owa.PrivateMail.de" gehst?
du müsstest dein privates ca zertifikat zu den "vetrauenswürdige stammzertanbietern" hinzufügen, dann sollte es eigentlich funktionieren.
da ich keine keine ahnung habe ob man die exchange ca exportieren kann, musst du wohl ne eigene ca erstellen. <-- musst du mal testen
scheinbar benötigst du ein ssl zertifikat von einer "echten" CA.
was sagt denn der ie wenn du auf "owa.PrivateMail.de" gehst?
du müsstest dein privates ca zertifikat zu den "vetrauenswürdige stammzertanbietern" hinzufügen, dann sollte es eigentlich funktionieren.
da ich keine keine ahnung habe ob man die exchange ca exportieren kann, musst du wohl ne eigene ca erstellen. <-- musst du mal testen
Wie ich oben und der Kollege schon gesagt haben muss das Zertifikat "Vertrauenswürdige Stammzertifizierungsstellen" speichern.
Das sollte auch gehen wenn du den IE mit Admin rechten startest und auf https://yourserver.com/owa/ gehst.
Da bringt er dann einen Zertifikatfehler, dann das Zertifikat über den IE, manuell unter "Vertrauenswürdige Stammzertifizierungsstellen" speichern.
Plattenputzer
Neuling
das alleine reicht nicht.
er braucht auch noch das dazugehörige "stammzertifikat" = ca zertifikat
also wie gesagt, entweder du exportiert das ca zertifikat von deinem exchange server.
oder du erstellst ein neues ca zertifikat und mit der neuen ca erstellst du die owa + autodiscover "client zertifikate".
diese kannst du dann auf deinem rechner importieren.
z.b. mit xca lässt sich das ganze recht einfach machen:
XCA - X Certificate and key management
Rahanas
Enthusiast
vielen dank schonmal für eure unterstützung. Ich werde das ganze hoffentlich am sonntag testen können.
Stimmt denn mein Skript für die oben aufgeführte Konfiguration? Muss das Skript nur die dyndns daomain enthalten oder meine gemietete domain?
Stimmt denn mein Skript für die oben aufgeführte Konfiguration? Muss das Skript nur die dyndns daomain enthalten oder meine gemietete domain?
Rahanas
Enthusiast
nein, die adressen sind schon auf die gekaufte, wenn du das meinst
Vorgeschaltener Mailrelay, DNS Hosting, Backup MX könnte alles über einen vServer gelöst werden...
Auch kann damit mit der richtigen Konfiguration sogar die dynamische IP Adresse versteckt werden... Auch ist eine dynamische IP Adresse hinter der richtigen Konfiguration in Verbindung mit einem vServer kein Problem
Habe einen ganz ähnlichen Aufbau bei mir zuhause, wie das was hier geplant wird. Möchte hier jedoch nicht den ganzen Aufbau aufzeigen, da dies zu komplex wäre.
Bei Interesse kannst der Thread startet mir mal eine PM mit den Koordniaten (MSN oder sonst was machen) dann kann ich noch einige eventuell für dich Interessante Infos zukommen lassen.
Gruss Mete
Zuletzt bearbeitet:
Plattenputzer
Neuling
so in der art hätte ich es auch gemacht.
vserver (oder auch ein echter) mit einem mail proxy (z.b. postfix) und einem proxy (squid, apache oder lighty mit mod_proxy) für webmail und externen zugriff per active sync und mapi.
das ganze wäre dann per vpn (z.b. openvpn) mit deinem exchange zuhause verbunden.
vorteile für mich wären, dass der exchange nicht direkt aus dem internet erreichbar ist.
und falls mal dein netzwerk oder der server zuhause nicht funktionieren sollten (warum auch immer), cached der mail proxy alles und keine mails gehen verloren.
ssl zertifikate werden nur im der webserver bzw proxy konf auf dem vserver installiert. intern/übers vpn können die dienste ruhig private zertifikate verwenden.
vserver (oder auch ein echter) mit einem mail proxy (z.b. postfix) und einem proxy (squid, apache oder lighty mit mod_proxy) für webmail und externen zugriff per active sync und mapi.
das ganze wäre dann per vpn (z.b. openvpn) mit deinem exchange zuhause verbunden.
vorteile für mich wären, dass der exchange nicht direkt aus dem internet erreichbar ist.
und falls mal dein netzwerk oder der server zuhause nicht funktionieren sollten (warum auch immer), cached der mail proxy alles und keine mails gehen verloren.
ssl zertifikate werden nur im der webserver bzw proxy konf auf dem vserver installiert. intern/übers vpn können die dienste ruhig private zertifikate verwenden.
Platja d Aro
Neuling
- Mitglied seit
- 10.06.2004
- Beiträge
- 146
Falls hier jemand einen Windows Home Server einsetzt bekommt er ein SSL Zertifikat von godaddy mit dem Namen XXX.homeserver.com funktioniert einwandfrei in Verbindung mit Exchange OWA sowie ActiveSync und ist kostenlos wenn man von der Lizenz für den WHS mal absieht.
Rahanas
Enthusiast
alles klar, werd ich noch machen. aktuell ist die zeit sehr knapp, da ich an einer studienarbeit schreibe, aber anschließend wirds dokumentiert
btw: das problem mit dem zertifikat besteht immer noch...
btw: das problem mit dem zertifikat besteht immer noch...
Plattenputzer
Neuling
sieht so aus
Rahanas
Enthusiast
soo, heute möchte ich nun endlich meinen server 100%tig zum laufen überreden. Das Zertifikat der Zertifizierungsstelle hatte ich schon installiert. Ich glaube ich mache schlicht etwas falsch beim zertifikat-erstellen. Kann mir jemand bei der genauen Syntax des Erstellungsskripts helfen? Ich werde jetzt mal einige Versuche starten und hoffe, dass der Server heute abend auch extern von Outlook erreichbar sein wird
---------- Beitrag hinzugefügt um 14:51 ---------- Vorheriger Beitrag war um 13:59 ----------
also, ich habe nun diese anleitung verwendet, was bislang keinerlei erfolge einbrachte. Ich möchte nochmal um eure mithilfe bitten, da mir dieses thema aktuell zu komplex erscheint, als dass ich es überblicken kann. Mein aktuelle konfiguration sieht wie folgt aus:
Ich habe eine DynDNS alias, nennen wir ihn im Beispiel mail.dyndns.org. Dieser zeigt auf die ip meines routers, als beispiel 111.111.111.111.
Ich habe eine gekaufte Domain, als beispiel "Deni.de" bei hosteurope. Dort habe ich einen CNAME eingerichtet (owa.deni.de) eingerichtet, welcher auf meinen DynDNS alias incl owa erweiterung zeigt (gebe ich im browser "https://owa.deni.de" ein, werde ich auf "https://mail.dyndns.org/owa weitergeleitet).
Nun habe ich mein Zertifikat laut der Anleitung erstellt, als Adresse habe ich owa.deni.de eingetragen. Ist das korrekt für diesen Anwendungsfall? Was trage ich korrekterweise bei Autodiscover ein? Tut mir wirklich leid, dass ich so wenig ahnung davon habe, aber nach zig stunden des vergeblichen einlesens habe ich einfach sehr wenig nerv mich noch viel weiter mit dem thema zu beschäftigen....
---------- Beitrag hinzugefügt um 14:51 ---------- Vorheriger Beitrag war um 13:59 ----------
also, ich habe nun diese anleitung verwendet, was bislang keinerlei erfolge einbrachte. Ich möchte nochmal um eure mithilfe bitten, da mir dieses thema aktuell zu komplex erscheint, als dass ich es überblicken kann. Mein aktuelle konfiguration sieht wie folgt aus:
Ich habe eine DynDNS alias, nennen wir ihn im Beispiel mail.dyndns.org. Dieser zeigt auf die ip meines routers, als beispiel 111.111.111.111.
Ich habe eine gekaufte Domain, als beispiel "Deni.de" bei hosteurope. Dort habe ich einen CNAME eingerichtet (owa.deni.de) eingerichtet, welcher auf meinen DynDNS alias incl owa erweiterung zeigt (gebe ich im browser "https://owa.deni.de" ein, werde ich auf "https://mail.dyndns.org/owa weitergeleitet).
Nun habe ich mein Zertifikat laut der Anleitung erstellt, als Adresse habe ich owa.deni.de eingetragen. Ist das korrekt für diesen Anwendungsfall? Was trage ich korrekterweise bei Autodiscover ein? Tut mir wirklich leid, dass ich so wenig ahnung davon habe, aber nach zig stunden des vergeblichen einlesens habe ich einfach sehr wenig nerv mich noch viel weiter mit dem thema zu beschäftigen....
Sumatrabarbe
Enthusiast
das signierte Cert hast du im Ex2010 importiert? das Cert muss auch bei hosteurope hinterlegt sein... so das wenn du https://owa.deni.de ansurfst keine zertifikatswarnung kommt... ich bin mir auch nicht sicher ob das mit der weiterleitung auf die dyndns adresse so ohne weiteres klappt... was auf jeden fall funktioniert ist, wenn du einen rproxy hast der auf owa.deni.de läuft... dort das cert rein und deine dnydns adresse hinterlegen, fertig...
Zuletzt bearbeitet:
Ne das muss nicht auf Hosteurope... Da man nicht die Webdienste von dehnen nutzt in dem Fall, sondern einzig und allein den DNS Record. Was nur ein dummes weiterleiten auf ne IP bzw. in dem Fall auf nen A Record bei DynDNS ist.
Das Zertifikat für den Webdienst muss auf dem IIS des Exchanges hinterlegt sein und das CA Zertifikat (also von der Zertifizierungsstelle, wo das eigentliche Zertifikat ausgestellt wurde) muss auf dem Client als vertrauenswürdig hinterlegt sein...
Autodiscover ist wohl primär hier interessant, um quasi automatisch dem Client das Postfach finden zu lassen. Je nachdem was man will, kann/muss hier auch der externe FQDN eingetragen sein. Wenn die Clients direkt von extern drauf zugreifen sollen. Ist dies nicht der Fall, so reicht der interne FQDN fürs Autodiscover...
PS: diese ganze Zertifikatssache ist äußerst komplex und nicht mal ebenso so fix in ein paar Zeilen erklärt
Es gibt verschiedene Wege nach Rom und es gibt für verschiedene Szenarien verschiedene Möglichkeiten. Interessant ist dabei zu wissen, was überhaupt benötigt wird. Wenn es primär um OWA geht, reicht wohl ein Zertifikat auf dem IIS. Gehts dazu noch um Outlook Anyware oder auch um ActiveSync so muss es schon etwas mehr sein
Übrigens es bietet sich an, beim nutzen von Exchange lokal in einer Domäne (also keine Cloudlösung) lokal in der Domäne ne CA zu installieren. Man achte hierbei auf ne Enterprise Windows Server Version als Basis. In dieser CA kann man dann die nötigen Zertifikate ausstellen und in der Enterprise Version auch die Gültigkeitsdauer der Zertifikate einstellen.
Dieser Assistent in Exchange 2010 bzw. die Möglichkeiten in der ExchangeShell geben nur lokal ausgestellte Zertifikate mit begrenzter Dauer von 1-2 Jahren aus und lassen sich recht umständlich händeln, da man eben für diese PKI noch das Zertifikat erst auf den Clients vertrauen muss... (was man aber auch via GPOs einrichten kann)
Sumatrabarbe
Enthusiast
Ich glaube er bekommt das so trotzdem nicht an's rennen, weil der CNAME im Zertifikat nicht gleich dem CNAME des Exchange ist. Kann mich aber auch irren... wie fdsonne schon sagte, sehr komplexes Thema...
er geht nach aufgerufener URL... Zur Not halt einfach die DnyDNS, die Hosteurope sowie die interne Domain in das Zertifikat hinterlegen, bzw. einfach drei Zertifikate machen und jeweils eintüten... Wobei den DynDNS Namen kann man weglassen. Man ruft ja nur die Hosteurope Domain auf, und diese muss dem IIS schmecken.
Rahanas
Enthusiast
Danke für die Hilfestellungen! Ich glaube ich "opfere" diese Woche nochmal einige Stündchen...
Wenn man kein POP3 nutzen will (was dazu noch nichtmal empfohlen ist) muss es was alternatives sein, bzw. in dem Fall sogar die eigentlich saubere Lösung mit dem MX Eintrag... Macht sich bei dynamischen IPs aber bisschen schlecht
Ähnliche Themen
[Kaufberatung]
Jetzt wird’s ernst - NAS/Server neuaufbau 2024
