ruediger010
Goto Top

Suche vernünftiges Lehrbuch für Zertifikate

Guten Morgen allerseits,

kann mir jemand ein gutes Lehrbuch oder eine Schritt-für-Schritt-Anleitung empfehlen, welche die ganze Zertifikatsthematik mit Hintergrundinfos vernünftig erklärt?

Bei einer Testumgebung habe ich einen 2008 R2 mit Exchange 2010 und das neue Office 2016 läßt sich nur mit vernünftig konfiguriertem Autodiscover mit dem Exchange verbinden.
Ich habe ein Zertifikat ausgestellt und eingebunden und nun folgende Probleme:

Die interne Domain lautet test.local
Es gibt auch eine externe Domain test.de welche sich im Zertifikat wiederfindet (mit Popcon werden Mails direkt auf den Exchange geladen und verteilt, Benutzer schreiben Mails unter test.de)
Und es gibt für das Ansprechen von außen noch ein test.dyndns.org

Alle 3 Domains finden sich im Zertifikat wieder.
Auf dem Server ist eine Zertifizierungsstelle installiert.
Diese ist weder von außen (https://test.dyndns.com/certserv) erreichbar.
Noch von innen (https://servername/certserv)
Es kommt jedes Mal die Fehlermeldung, dass das Verzeichnis verschoben wurde.

Möchte nun ein Benutzer Outlook starten, kommt jedes Mal ein Zertifikatsfehler und Outlook startet nicht. Autodiscover erkennt den Benutzer auch nicht, obwohl sich der Computer in der Domäne befindet.

Da ich hier gravierende Wissenslücken habe, meine Frage zu guter Literatur.

Ciao und vielen Dank schon mal im Vorfeld
Rüdiger

Content-Key: 291833

Url: https://administrator.de/contentid/291833

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: 114757
114757 29.12.2015 aktualisiert um 10:27:47 Uhr
Goto Top
Moin,
Es kommt jedes Mal die Fehlermeldung, dass das Verzeichnis verschoben wurde.
Für mich eindeutiges Zeichen das die CRL (Certficate Revocation List) der CA nicht abgerufen werden kann, und deswegen meckern die Clients, weil sie die hinterlegte URL für die CRL-Liste nicht kontaktieren können. Diese CRL enthält die Thumbprints von allen von der CA zurückgerufenen Zertifikaten und ist eine einfache Textdatei.
Die CRL deiner CA musst du für alle Clients von überall abrufbar auf einen Webserver legen und deine URL für die CRL in den Einstellungen der CA angeben und dann das CA-Zertifikat und das Server-Zertifikat neu erstellen.

Gruß jodel32
Mitglied: Ruediger010
Ruediger010 29.12.2015 um 10:50:47 Uhr
Goto Top
Guten Morgen und herzlichen Dank für die Info.

Irgendwie weis ich jetzt nicht so recht, wo ich hingreifen muß.
Wenn ich beim IIS auf Bindungen der Default Website gehe, kann ich die neue Zertifizierungsstelle (die neu installierte des eigenen Servers) auswählen.
Wähle ich die aus, meint er, er kann die Datei nicht mehr finden.
Wo hinterlege ich denn die URL?

Beim Installieren der Zertifizierungsdienste:
Welche sind denn notwendig, um zB mit Outlook von einem anderen Standort aus zuzugreifen?

Ciao, Rüdiger
Mitglied: 114757
114757 29.12.2015 aktualisiert um 11:07:40 Uhr
Goto Top
Wo hinterlege ich denn die URL?
In den Einstellungen der CA nicht im IIS, siehe auch Link unten.
http://www.msxfaq.de/signcrypt/crl05.jpg
Beim Installieren der Zertifizierungsdienste:
Welche sind denn notwendig, um zB mit Outlook von einem anderen Standort aus zuzugreifen?
Die CRL muss nur auf einem beliebigen Webserver abrufbar sein, und der Client der CA vertrauen (CA-Cert in die vertrauenswürdigen Stamm-Zertifizierungsstellen auf dem Client importieren), hier steht alles was du dazu wissen musst:
http://www.msxfaq.de/signcrypt/crl.htm
Mitglied: Ruediger010
Ruediger010 29.12.2015 aktualisiert um 11:17:51 Uhr
Goto Top
Entschuldige bitte, ich habe meine Frage falsch gestellt.
Welche URL muss hinzugefügt werden?
Die lokale? also test.local?
Die öffentliche? also test.dyndns.org?
Oder die der eMailadresse? test.de?
Muss der Servername in der URL mit angegeben werden? also https://servername.test.local?
Ich glaube hier liegt mein Fehler begraben.
Ich habe alle hinzugefügt.
Beim Deinstallieren der Zertifizierungsstelle meint er, er könne die Infos des Zertifikats-Registrierungs-Webdienstes nicht entfernen und ich müsse diesen Eintrag von Hand mit Certutil -config rauswerfen.
Über die Powershell geht das aber irgendwie nicht.

Welchen Modus soll ich beim installieren verwenden? Benutzername und Passwort? Windowsauthentifizierung?

Ciao, Rüdiger
Mitglied: 122990
Lösung 122990 29.12.2015, aktualisiert am 03.01.2016 um 21:58:53 Uhr
Goto Top
Moin,
oh je oh je, wenn ich das lese beschäftige doch erst mal mit den Grundlagen zu einer CA, sonst wird das nichts.
http://openbook.rheinwerk-verlag.de/windows_server_2008/windows_server_ ...

Gruß grexit
Mitglied: Ruediger010
Ruediger010 29.12.2015 um 11:30:19 Uhr
Goto Top
Hi Grexit,

vielen Dank für den Link, so etwas habe ich ja gesucht face-smile
Mir fehlts völlig an den Grundlagen dazu und dann an der Handhabungsweise innerhalb einer Umgebung.
Damit ich nicht alles online lesen muss bzw. auch weitere Hintergrundinfos erhalte:
Gibts empfohlene Literatur zu diesem Thema?
Von Markt und Technik oder Galileo Computing gabs früher sehr gute Bücher für die Serververwaltung, die ich besser gegliedert fand als die von MS Press.
Leider habe ich nix entsprechendes gefunden.

Ciao, Rüdiger
Mitglied: Dani
Lösung Dani 29.12.2015, aktualisiert am 03.01.2016 um 21:59:01 Uhr
Goto Top
Moin,
Leider habe ich nix entsprechendes gefunden.
Es gibt noch Windows Server 2008 - PKI- und Zertifikat-Sicherheit. Viel hat sich nicht geändert und die Grundlagen schon gar nicht. face-smile


Gruß,
Dani
Mitglied: Ruediger010
Ruediger010 29.12.2015 um 13:39:30 Uhr
Goto Top
Hi Dani,

wie sieht das dann mit neueren Serverbetriebssystemen aus?
2008 R2 habe ich momentan in der Testumgebung, weil ich ihn noch besser zu administrieren finde als 2012 mit seinen vielen Powershell-Befehlen.
Ich denke mal, das Ganze ist bestimmt auch für neuere Server anwendbar?

Ciao, Rüdiger
Mitglied: 122990
122990 29.12.2015 aktualisiert um 13:43:10 Uhr
Goto Top
Zitat von @Ruediger010:
Ich denke mal, das Ganze ist bestimmt auch für neuere Server anwendbar?
Wie @Dani schon sagt an den Grundlagen hat sich nichts verändert. Hier und da ein Dialog minimal anders, aber ansonsten weitestgehend übertragbar.
Mitglied: Dani
Dani 29.12.2015 um 13:58:52 Uhr
Goto Top
2008 R2 habe ich momentan in der Testumgebung, weil ich ihn noch besser zu administrieren finde als 2012 mit seinen vielen Powershell-Befehlen.
Verabschiede dich davon... mit 2016 wird das Ganze nochmal extremer. Es ist schlicht einfach nicht mehr möglich, alle Powershell-Befehle in eine GUI übersichtlich und strukturiert darzustellen.

Ich denke mal, das Ganze ist bestimmt auch für neuere Server anwendbar?
Wenn du die Basic verstehst, ist das völlig egal... Änderungen kannst du grundsätzlich im Technet nachlesen.


Gruß,
Dani
Mitglied: Ruediger010
Ruediger010 29.12.2015 um 23:34:34 Uhr
Goto Top
Guten Abend allerseits,

ich habe heute den ganzen Tag mit der Lektüre von Rheinwerk verbracht und ausprobiert.

Zuerst einmal habe ich folgendes getan:
Deinstallieren und Neuinstallieren der Zertifizierungsstelle mit den Komponenten:
Zertifizierungsstelle
Zertifizierungsstelle-Webregistrierung
Onlineresponder

Der IIS war bereits installiert, diesen habe ich nicht neu installiert.
Die Bindungen verweisen auf das neue Zertifikat.

Nach der Anleitung von Rheinwerk habe ich eine Unternehmenszertifizierungsstelle als Stammzertifizierungsstelle konfiguriert.

Das eigene Zertifikat test-ca habe ich der vertrauenswürdigen Stammzertifizierungsstelle hinzugefügt.

1. Problem im Servermanager: Unternehmens-PKI: Hier sagt er, AIA-Speicherort und Sperrlistenfehler -> Download nicht möglich.
Unter windows/system32/certsrv/certenroll sind aber beide Dateien vorhanden.

2. Problem: Der BPA zeigt an, dass die automatische Benutzer- und Computerregistrierung nicht aktiviert wäre. Dies habe ich aber in der Gruppenrichtlinienverwaltung / Default Domain Controllers Policy vorgenommen

3. Problem: Lokal auf dem Server mit dem IE rufe ich die Zertifizierungsstelle auf (https://server-pdc/certsrv)
Hier erhalte ich immer einen Zertifikatsfehler.
Warum? Ich habe das Zertifikat test-ca doch in der vertrauenswürdigen Stammzertifizierungsstelle installiert? Die Meldung besagt, dass das Zertifikat für eine andere Adresse ausgestellt wurde.

4.Problem: Von extern komme ich nicht auf die Zertifizierungsstelle.
Dies müsste eigentlich doch passieren unter https://testserver.dyndns.org/certsrv
Hier sagt er, Datei oder Verzeichnis wurde nicht gefunden.

5.Problem: Auf meinem Win 8 System habe ich das Zertifikat der Zertifizierungsstelle in den vertrauenswürdigen Stammzertifizierungsstellen installiert.
Dieses Zertifikat berechtigt normal für alle Dienste.
Wenn ich eine RDP-Verbindung mit dem Server aufbaue, muss ich trotzdem überprüfen.
Meldung: Angeforderter Remotecomputer: testserver.dyndns.org
Zertifikat des Remotecomputers: testserver.domain.local

6.Problem: Auf dem Exchange Server habe ich ein neues Zertifikat erstellt.
Dieses finde ich bei den Zertifikaten unter eigene Zertifikate aber nicht.
Ich habe im Exchange Server einige Zertifikatssignieranforderungen.
Diese kann ich aber nicht abschließen, weil er sagt, das Zertifikat mit dem Fingerabdruck wäre bereits installiert?

7. Versuche ich via OWA auf den Exchange zu kommen, schlägt er mir nur ein abgelaufenes Zertifikat vor.

Fazit: Die Rheinwerk-Dokumentation hat mir zwar ein wenig die Hintergründe vermittelt, so ganz erschließt sich mir aber die Handhabung im tatsächlichen Betrieb nicht wirklich.

Dabei wären vor allem folgende Fragen von Interesse:
Kann ich und ist es sinnvoll ein Hauptzertifikat für alle Anwendungsbereiche zu erstellen?
Oder sollte für jedes Anwendungsgebiet ein eigenes Zertifikat erstellt werden (zB Remotedesktop-Dienste)?
Muss ich für interne Domains und extern erreichbare Domains jeweils eigene Zertitikate erstellen?
Oder wie sage ich dem, das das Zertifikat für testserver.domain.local genauso gilt wie für testserver.dyndns.org?
Dieser Server ist ja auch gleichzeitig Webserver. Die CRL ist ja auch vorhanden. Trotzdem findet er sie nicht. Habe ich noch irgendwo etwas vergessen, ist noch zusätzlich irgendwo etwas einzustellen, damit die crl und crt gefunden werden?


Ciao und schonmal vielen Dank
Rüdiger
Mitglied: Ruediger010
Ruediger010 30.12.2015 aktualisiert um 08:15:22 Uhr
Goto Top
Guten Morgen allerseits,

also Punkt 1 hat sich erledigt.
Nach Neustart und über Nacht findet er den AIA-Speicherort und hat keine Sperrlistenfehler mehr.

Beim Owa-Zugriff haben ich festgestellt, dass er mit FF nicht möchte, mit IE gehts aber trotz Zertifikatsfehler

Ciao, Rüdiger
Mitglied: 122990
Lösung 122990 30.12.2015, aktualisiert am 03.01.2016 um 21:59:34 Uhr
Goto Top
Zitat von @Ruediger010:
Der IIS war bereits installiert, diesen habe ich nicht neu installiert.
Die Bindungen verweisen auf das neue Zertifikat.
Welches ? Ich hoffe nicht auf das der CA ....
Für den IIS fordert man ein extra Zertifikat bei der CA an.
Das eigene Zertifikat test-ca habe ich der vertrauenswürdigen Stammzertifizierungsstelle hinzugefügt.
Das ist Blödsinn, denn die CA vertraut sich automatisch selbst und erledigt das bei der Installation schon. Das gilt nur für die Clients!! Und denen kann man das Cert via GPO pushen.

1. Problem im Servermanager: Unternehmens-PKI: Hier sagt er, AIA-Speicherort und Sperrlistenfehler -> Download nicht möglich.
Die Sperristen müssen immer mit normalem http abrufbar sein, der IIS muss also normalen http Zugriff gestatten. Zusätzliche Hinweise s. unten.

2. Problem: Der BPA zeigt an, dass die automatische Benutzer- und Computerregistrierung nicht aktiviert wäre. Dies habe ich aber in der Gruppenrichtlinienverwaltung / Default Domain Controllers Policy vorgenommen
OK, also kein Problem...
3. Problem: Lokal auf dem Server mit dem IE rufe ich die Zertifizierungsstelle auf (https://server-pdc/certsrv)
Hier erhalte ich immer einen Zertifikatsfehler.
Warum?
Weil du für den IIS noch kein Server-Zertifikat angefordert hast, welches diesen Namen enthält!
Da komme ich wieder zu den Zertifikatsgrundlagen und der Bedeutung des Common-Name und den Subject Alternative Names eines Zertifikats die du dir unbedingt mal ansehen solltest.
Ich habe das Zertifikat test-ca doch in der vertrauenswürdigen Stammzertifizierungsstelle installiert?
Falsch, s.o. Das hat in diesem Fall nichts damit zu tun.

Die Meldung besagt, dass das Zertifikat für eine andere Adresse ausgestellt wurde.
Eben, fordere im IIS ein Serverzertifikat bei der CA mit richtigen Common-Name des Servers an.

4.Problem: Von extern komme ich nicht auf die Zertifizierungsstelle.
Dies müsste eigentlich doch passieren unter https://testserver.dyndns.org/certsrv
Hier sagt er, Datei oder Verzeichnis wurde nicht gefunden.
Fehlende Portweiterleitung am Router, oder SperrlistenURLs von extern nicht erreichbar.
Außerdem würde mich der Teufel reiten eine CA direkt ins Web zu hängen!! Sowas macht man nur mit besonderste abgesicherten Webservern in einer DMZ!

5.Problem: Auf meinem Win 8 System habe ich das Zertifikat der Zertifizierungsstelle in den vertrauenswürdigen Stammzertifizierungsstellen installiert.
Ich hoffe in den Computer- und nicht den User-Store. Außerdem wäre das überflüssig wenn du wie ich oben geschrieben habe das CA Cert wie empfohlen per GPO auf die Clients gepusht hättest.

Dieses Zertifikat berechtigt normal für alle Dienste.
Wenn ich eine RDP-Verbindung mit dem Server aufbaue, muss ich trotzdem überprüfen.
Meldung: Angeforderter Remotecomputer: testserver.dyndns.org
Zertifikat des Remotecomputers: testserver.domain.local
RDP ist nochmal ein ganz anderes Kaliber s. dazu folgenden Link
http://www.rdsgurus.com/ssl-certificates/windows-2012-r2-how-to-create- ...

6.Problem: Auf dem Exchange Server habe ich ein neues Zertifikat erstellt.
Wie ?
Ein CSR erstellt und das bei der CA eingereicht ?
Dieses finde ich bei den Zertifikaten unter eigene Zertifikate aber nicht.
Ich habe im Exchange Server einige Zertifikatssignieranforderungen.
Tja diese musst du ja auch erst bei der CA einreichen...
Diese kann ich aber nicht abschließen, weil er sagt, das Zertifikat mit dem Fingerabdruck wäre bereits installiert?
Dann solltest du erst mal alle anderen Zertifikate deinstallieren. Powershell ist wie immer dein Freund.

7. Versuche ich via OWA auf den Exchange zu kommen, schlägt er mir nur ein abgelaufenes Zertifikat vor.
Eben ein veraltetes, zu Exchange-Zertifikaten und deren Installation findest du im Web Haufenweise Anleitungen.
Fazit: Die Rheinwerk-Dokumentation hat mir zwar ein wenig die Hintergründe vermittelt, so ganz erschließt sich mir aber die Handhabung im tatsächlichen Betrieb nicht wirklich.
Da ist halt jeder anderst gestrickt.
Dabei wären vor allem folgende Fragen von Interesse:
Kann ich und ist es sinnvoll ein Hauptzertifikat für alle Anwendungsbereiche zu erstellen?
Oder sollte für jedes Anwendungsgebiet ein eigenes Zertifikat erstellt werden (zB Remotedesktop-Dienste)?
Kommt auf deine Server-Struktur an.
Man kann das mit einem Wildcard-Zertifikat alles abfackeln, würde ich aber persönlich nicht machen wollen.
Muss ich für interne Domains und extern erreichbare Domains jeweils eigene Zertitikate erstellen?
Nein, das regelt man über SAN (Subject Alternative Names) im Zertifikat.
Dieser Server ist ja auch gleichzeitig Webserver. Die CRL ist ja auch vorhanden. Trotzdem findet er sie nicht. Habe ich noch irgendwo etwas vergessen, ist noch zusätzlich irgendwo etwas einzustellen, damit die crl und crt gefunden werden?
Wie oben geschrieben die CRL kann nur via simplen http abgerufen werden.
Und selbstverständlich muss die URL extern via DNS auflösbar sein d.h. eine der CRL-URLs die du hinzufügst muss eine extern erreichbare Adresse sein!! Ist ja auch logisch, denn von außen auf testdomain.intern zuzugreifen kann ja nur fehlschlagen.
Wo du die CRL-URLs findest, hat dir @114757 in einem weiter oben zu findenden Posting schon geschrieben.
Ebenso findest du die Sperrlisten URLs im Zertifikat der CA wieder. Ist dort keine URL mit dabei die von extern erreichbar und auflösbar ist kann der Abruf dieser auch nicht klappen und dun musst sie nachtragen, und das CA-Cert neu erzellen.So einfach ist das.
Und Portweiterleitung am Router natürlich nicht vergessen (aber nur für einen Test, später sollte das ein extra System in einer DMZ erledigen, denn eine CA direkt ins Web zu stellen, ist der Obergau!)
Mitglied: Dani
Lösung Dani 30.12.2015, aktualisiert am 03.01.2016 um 22:00:09 Uhr
Goto Top
Moin,
1. Problem im Servermanager: Unternehmens-PKI: Hier sagt er, AIA-Speicherort und Sperrlistenfehler -> Download nicht möglich.
Auf welche Adresse verweisen diese und sind diese über die URL abrufbar?

2. Problem: Der BPA zeigt an, dass die automatische Benutzer- und Computerregistrierung nicht aktiviert wäre. Dies habe ich aber in der Gruppenrichtlinienverwaltung / Default Domain Controllers Policy vorgenommen
So was wird eigentlich mit einer zusätzlich Gruppenrichtlinie konfiguriert. Die Default Richtlinien werden nur angelangt, wenn es unabdingbar ist. Und die Default Domain Controllers Policy wird nur auf DCs angewendet und nicht auf die Client... das aber nur am Rande!

Außerdem würde mich der Teufel reiten eine CA direkt ins Web zu hängen!! Sowas macht man nur mit besonderste abgesicherten Webservern in einer DMZ!
Oder über einen ReverseProxy welcher ebenfalls in der DMZ steht und nur Anfragen an eine bestimmte URL zulässt.

Auf meinem Win 8 System habe ich das Zertifikat der Zertifizierungsstelle in den vertrauenswürdigen Stammzertifizierungsstellen installiert.
Wenn diese Rechner in der Domäne sind und automatisch Zertifikate an Clients verteilt werden, passiert dies vollautomatisch. Somit ist klar, dass deine Konfiguration von Problem 2 nicht funktioniert.

Fazit: Die Rheinwerk-Dokumentation hat mir zwar ein wenig die Hintergründe vermittelt, so ganz erschließt sich mir aber die Handhabung im tatsächlichen Betrieb nicht wirklich.
Was hast du erwartet... das soll ein Einstieg darstellen und nicht mehr. Hintergründe und Wissen kannst du im TechNet Seite an Seite nachlesen bis es dir zum Hals rauskommt.

Kann ich und ist es sinnvoll ein Hauptzertifikat für alle Anwendungsbereiche zu erstellen?
Oder sollte für jedes Anwendungsgebiet ein eigenes Zertifikat erstellt werden (zB Remotedesktop-Dienste)?
Je nach Zertifikatstype ist das möglich. Wenn du für den Computer ein Zertifikat ausgestellt hast, musst dieses auch den Diensten (Remote Desktop) zuweisen. Das macht Windows nicht von alleine.


Gruß,
Dani
Mitglied: Ruediger010
Ruediger010 30.12.2015 um 13:45:15 Uhr
Goto Top
Zitat von @122990:

Zitat von @Ruediger010:
Der IIS war bereits installiert, diesen habe ich nicht neu installiert.
Die Bindungen verweisen auf das neue Zertifikat.
Welches ? Ich hoffe nicht auf das der CA ....
Für den IIS fordert man ein extra Zertifikat bei der CA an.

Dies habe ich im IIS Manager unter Serverzertifikat / Selbstsigniertes Zertifikat erstellen getan.
Stimmt dies so?

Das eigene Zertifikat test-ca habe ich der vertrauenswürdigen Stammzertifizierungsstelle hinzugefügt.
Das ist Blödsinn, denn die CA vertraut sich automatisch selbst und erledigt das bei der Installation schon. Das gilt nur für die Clients!! Und denen kann man das Cert via GPO pushen.

Ich arbeite momentan via Notebook / Internet über RDP auf dem virtuellen Testserver, der an einem anderen Standort steht.
Das Notebook ist somit momentan nicht mit der Domäne verbunden, ein pushen via GPO also nicht möglich.


1. Problem im Servermanager: Unternehmens-PKI: Hier sagt er, AIA-Speicherort und Sperrlistenfehler -> Download nicht möglich.
Die Sperristen müssen immer mit normalem http abrufbar sein, der IIS muss also normalen http Zugriff gestatten. Zusätzliche Hinweise s. unten.

http-Zugriff ist gestattet.
Die Bindung von http verweist auf testserver.dyndns.org
Ich hoffe dies passt so?

3. Problem: Lokal auf dem Server mit dem IE rufe ich die Zertifizierungsstelle auf (https://server-pdc/certsrv)
Hier erhalte ich immer einen Zertifikatsfehler.
Warum?
Weil du für den IIS noch kein Server-Zertifikat angefordert hast, welches diesen Namen enthält!
Da komme ich wieder zu den Zertifikatsgrundlagen und der Bedeutung des Common-Name und den Subject Alternative Names eines Zertifikats die du dir unbedingt mal ansehen solltest.

Ich bin schon im Internet am Suchen nach Dokumentationen zu diesem Bereich.

Die Meldung besagt, dass das Zertifikat für eine andere Adresse ausgestellt wurde.
Eben, fordere im IIS ein Serverzertifikat bei der CA mit richtigen Common-Name des Servers an.

Wie wäre der denn? Ich habe den Servernamen (Server-PDC), die lokale Domäne (domain.local) und die Erreichbarkeit nach außen (wenn ich testdomain.dyndns.org eingebe, komme ich eigentlich auf server-pdc.testdomain.dyndns.org)


4.Problem: Von extern komme ich nicht auf die Zertifizierungsstelle.
Dies müsste eigentlich doch passieren unter https://testserver.dyndns.org/certsrv
Hier sagt er, Datei oder Verzeichnis wurde nicht gefunden.
Fehlende Portweiterleitung am Router, oder SperrlistenURLs von extern nicht erreichbar.
Außerdem würde mich der Teufel reiten eine CA direkt ins Web zu hängen!! Sowas macht man nur mit besonderste abgesicherten Webservern in einer DMZ!

Port 443 ist am Router freigegeben.
Das komisch ist: Nach einem Serverneustart sind die Sperrlisten erreichbar.
Läuft er eine Zeit lang. erhalte ich im Servermanager bei den Zertifikatsrollen die Meldung, dass die Listen nicht mehr erreichbar sind.
Beim System handelt es sich um ein reines Testsystem. Ich will mich immer wieder mit dem ganzen Thema beschäftigen, habe sonst aber keine Zeit dazu.
Momentan habe ich Weihnachtsurlaub und kann mich endlich mal ein bisschen weiterbilden.


5.Problem: Auf meinem Win 8 System habe ich das Zertifikat der Zertifizierungsstelle in den vertrauenswürdigen Stammzertifizierungsstellen installiert.
Ich hoffe in den Computer- und nicht den User-Store. Außerdem wäre das überflüssig wenn du wie ich oben geschrieben habe das CA Cert wie empfohlen per GPO auf die Clients gepusht hättest.

siehe oben. Ich hänge nicht an der Domäne.
Und ich habs in beide Stores installiert face-smile

Dieses Zertifikat berechtigt normal für alle Dienste.
Wenn ich eine RDP-Verbindung mit dem Server aufbaue, muss ich trotzdem überprüfen.
Meldung: Angeforderter Remotecomputer: testserver.dyndns.org
Zertifikat des Remotecomputers: testserver.domain.local
RDP ist nochmal ein ganz anderes Kaliber s. dazu folgenden Link
http://www.rdsgurus.com/ssl-certificates/windows-2012-r2-how-to-create- ...

Den Punkt werde ich mir mal in Ruhe durchlesen.
Ich habe momentan ein bisschen die Vermutung, dass mein System mittlerweile durchs viele rumspielen schon verkonfiguriert ist.
Vielleicht sollte ich wirklich mal einen 2012 installieren und damit testen.

6.Problem: Auf dem Exchange Server habe ich ein neues Zertifikat erstellt.
Wie ?
Ein CSR erstellt und das bei der CA eingereicht ?
Dieses finde ich bei den Zertifikaten unter eigene Zertifikate aber nicht.
Ich habe im Exchange Server einige Zertifikatssignieranforderungen.
Tja diese musst du ja auch erst bei der CA einreichen...
Diese kann ich aber nicht abschließen, weil er sagt, das Zertifikat mit dem Fingerabdruck wäre bereits installiert?
Dann solltest du erst mal alle anderen Zertifikate deinstallieren. Powershell ist wie immer dein Freund.

Mach ich. Liegt wohl an dem vielen Installieren und Deinstallieren der Stammzertifikatsstelle face-smile

7. Versuche ich via OWA auf den Exchange zu kommen, schlägt er mir nur ein abgelaufenes Zertifikat vor.
Eben ein veraltetes, zu Exchange-Zertifikaten und deren Installation findest du im Web Haufenweise Anleitungen.

Kann ich und ist es sinnvoll ein Hauptzertifikat für alle Anwendungsbereiche zu erstellen?
Oder sollte für jedes Anwendungsgebiet ein eigenes Zertifikat erstellt werden (zB Remotedesktop-Dienste)?
Kommt auf deine Server-Struktur an.
Man kann das mit einem Wildcard-Zertifikat alles abfackeln, würde ich aber persönlich nicht machen wollen.

Momentan nur ein Testserver, der alles kann.
Exchange, Webserver, Domain Controller.

Wo du die CRL-URLs findest habe ich die in einem weiter oben zu findenden Posting schon geschrieben.

Ebenso findest du die Sperrlisten URLs im Zertifikat der CA wieder. Ist dort keine URL mit dabei die von extern erreichbar und auflösbar ist kann der Abruf dieser auch nicht klappen und dun musst sie nachtragen, und das CA-Cert neu erzellen.So einfach ist das.
Und Portweiterleitung am Router natürlich nicht vergessen (aber nur für einen Test, später sollte das ein extra System in einer DMZ erledigen, denn eine CA direkt ins Web zu stellen, ist der Obergau!)

Puh, das mit dem Zertifikat der CA und Nachtragen bzw. Neuausstellen eines Zertifikats mit den Weburls erschließt sich für mich immer noch nicht so recht.
Du meinst jetzt bei der CA den Sperrlisten-Verteilerpunkt oder gibts da noch eine andere Stelle?

Von der Theorie ist mir das Ganze ja schon klar, wie es aber wo und an welcher Stelle zu handeln ist bei der tatsächlichen Installation - das fehlt mir komplett.
Gibts dazu irgendwo Literatur?
Nach der Dokumentation von Rheinwerk bin ich ja vorgegangen aber das öffnet eher mehr Fragen als es Antworten liefert face-smile

Ciao, Rüdiger
Mitglied: 122990
Lösung 122990 30.12.2015, aktualisiert am 03.01.2016 um 22:00:30 Uhr
Goto Top
Zitat von @Ruediger010:
Dies habe ich im IIS Manager unter Serverzertifikat / Selbstsigniertes Zertifikat erstellen getan.
Stimmt dies so?
Falsch! "Domänenzertifikat" anfordern. Ein selbstsigniertes Zertifikat hat nicht die CA als Ursprung sondern sich selbst, und das wollen wir ja nicht
Man kann auch manuell ein Webserver-Zertifkat mit mehreren SANs erstellen, und dann einbinden:
http://www.carbonwind.net/blog/post/Quick-Dirty-Trick-e28093-Enroll-a-w ...
https://technet.microsoft.com/de-de/library/ff625722%28v=ws.10%29.aspx#B ...

http-Zugriff ist gestattet.
Die Bindung von http verweist auf testserver.dyndns.org
Ich hoffe dies passt so?
Hostheader muss nicht eingetragen werden. Kommt nur bei Verwendung von mehreren IIS-Sites zum Einsatz.
Eben, fordere im IIS ein Serverzertifikat bei der CA mit richtigen Common-Name des Servers an.

Wie wäre der denn?
Na so wie du ihn normalweise im Netz ansprichst. FQDN verwenden!

siehe oben. Ich hänge nicht an der Domäne.
Und ich habs in beide Stores installiert face-smile
Der Computer-Store reicht völlig aus.

Ich habe momentan ein bisschen die Vermutung, dass mein System mittlerweile durchs viele rumspielen schon verkonfiguriert ist.
Vielleicht sollte ich wirklich mal einen 2012 installieren und damit testen.
Tu das.

Puh, das mit dem Zertifikat der CA und Nachtragen bzw. Neuausstellen eines Zertifikats mit den Weburls erschließt sich für mich immer noch nicht so recht.
Du meinst jetzt bei der CA den Sperrlisten-Verteilerpunkt oder gibts da noch eine andere Stelle?
Dort meine ich das, dort trägst du zusätzlich eine extern erreichbare http-URL ein damit der Client die CRL unter dieser URL abrufen kann.
http://xyz.dyndns.org/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
Und das Häkchen zur Inkludierung ins Zertifikat nicht vergessen.
In CDP-Erweiterung des ausgestellten Zertifikats einbeziehen.

Man kann natürlich auch ein benutzerdefiniertes Zertifikatstemplate erstellen in der keine CRLs eingetragen sind oder alle Zerrlistenpunkte rausnehmen, das bleibt jedem überlassen ist aber nicht zu Empfehlen wenn der Client nicht prüfen kann welche Zertifikate revoked wurden.

Hier heißt es erst mal Schritt für Schritt sich in die Materie einzulesen. Doku dazu gibt es genug im Web, man muss sich halt nur die Zeit nehmen.

Über Hilfe gegen Cash ließe sich auch reden.

Gruß grexit
Mitglied: Ruediger010
Ruediger010 30.12.2015 um 21:07:28 Uhr
Goto Top
Zitat von @122990:

Falsch! "Domänenzertifikat" anfordern. Ein selbstsigniertes Zertifikat hat nicht die CA als Ursprung sondern sich selbst, und das wollen wir ja nicht

Siehst du, das sind die Hintergründe und systemspezifischen Dinge, an denen es mir fehlt.
Zertifikat ist im IIS erstellt und hat nun auch die entsprechenden öffentlichen Verweise.
Wie gehts weiter? Das nun in der Stammzertifizierungsstelle importieren?
Oder wird das automatisch signiert und ich muss nichts mehr damit tun?

Puh, das mit dem Zertifikat der CA und Nachtragen bzw. Neuausstellen eines Zertifikats mit den Weburls erschließt sich für mich immer noch nicht so recht.
Du meinst jetzt bei der CA den Sperrlisten-Verteilerpunkt oder gibts da noch eine andere Stelle?
Dort meine ich das, dort trägst du zusätzlich eine extern erreichbare http-URL ein damit der Client die CRL unter dieser URL abrufen kann.
> http://xyz.dyndns.org/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
> 
Und das Häkchen zur Inkludierung ins Zertifikat nicht vergessen.
In CDP-Erweiterung des ausgestellten Zertifikats einbeziehen.

OK, an der Stelle hab ichs auch gemacht.
Nicht nur bei den Sperrlisten sondern auch beim Zugriff auf Stellenimformation selbst.
Trotzdem sagt er bei der Unternehmens-PKI dass er weder die internen noch die externen downloaden kann. Erst stehts ewig auf "verifizieren", dann auf Fehler - Download nicht möglich.

Ausgestellte Zertifikate habe ich mittlerweile 5.
Zertifizierungsstellenaustausch
Benutzer
Domaincontroller
2x Webserver, die beide aber dieselben Verzeichnisse haben.

Man kann natürlich auch ein benutzerdefiniertes Zertifikatstemplate erstellen in der keine CRLs eingetragen sind oder alle Zerrlistenpunkte rausnehmen, das bleibt jedem überlassen ist aber nicht zu Empfehlen wenn der Client nicht prüfen kann welche Zertifikate revoked wurden.

Hier heißt es erst mal Schritt für Schritt sich in die Materie einzulesen. Doku dazu gibt es genug im Web, man muss sich halt nur die Zeit nehmen.

Die Sache, wenn man keine Ahnung hat, ist eben die: Man weis eigentlich nicht, was man fragen soll.
So wie jetzt ergibt sich das erst so nach und nach wenn man etwas probiert und konfiguriert hat.

Über Hilfe gegen Cash ließe sich auch reden.

Gruß grexit

Sollte sich das in Form quasi eines Kurses / Schritt-für-Schritt-Anleitung, dass ich auch was bei lerne und die Zusammenhänge begreife, gestalten wäre das sicher kein Problem.
Immerhin sage ich meinem Chef seit 2 Jahren, dass man ohne das Thema nicht mehr herum kommt.
Das letzte Mal, als Exchange Zertifikate abliefen, hat das ein Bekannter von ihm erneuert. Outlook Anywhere zB hat aber nie funktioniert.
Nun ist es so, dass er Office 2016 in Einsatz nehmen will/schon hat und da gehts nicht mehr ohne vernünftig konfiguriertes Autodiscover und ohne Zertifikate.
Also gibts nur 2 Möglichkeiten: Ich nehme mir die Zeit und lerne den Krams durch Einlesen in das Thema oder ich muss irgendwo einen Kurs dafür mitmachen, der ihn auch was kostet.
Ich mache den ganzen Krams eigentlich nur aus privatem Interesse nebenher und nur für unseren kleinen Firmenserver, ansonsten mache ich eigentlich was ganz anderes.

LG, Rüdiger
Mitglied: Ruediger010
Ruediger010 31.12.2015 um 08:47:01 Uhr
Goto Top
Guten Morgen,

ich habe gestern noch etwas rumgetestet und dabei folgendes festgestellt:
Beim Ort der Sperrlisten:
Mal findet er sie, mal nicht ?!?
Gestern abend war folgender Stand:
Gebe ich ein: http://testserver.domain.local (den FQDN), kann er die Sperrlisten nicht finden.
Gebe ich http://testserver.dyndns.org ein, findet er sie auch nicht.
Gebe ich nur http://testserver (natürlich mit den entsprechenden Dateierweiterungen wie CaName etc.) ein, findet er sie.

Heute morgen habe ich einen anderen Stand.
AIA-Speicherort1: Findet er unter dem FQDN
AIA-Speicherort2: Findet er nicht unter testserver.dyndns.org
AIA-Speicherort3: Nur unter dem Servernamen: findet er nicht

Sperrlisten-Verteilerpunkt1: FQDN: findet er
Punkt 2: testserver.dyndns.org: Findet er nicht
Punkt3: nur Servername: Findet er wiederum.

OCSP-Speicherorte stehen 2 drin, einmal der FQDN und einmal nur der Servername - die findet er beide nicht.

Muss er auf jeden Speicherort zugreifen können oder würde einer reichen?
Bringt es Nachteile, wenn er nicht auf jeden zugreifen kann?

Mit Deinen Tipps habe ich nun zumindest schonmal Outlook Anywhere von meinem Notebook zum Testsystem zum laufen bekommen. Ich habe 2 Exchange Zertifikate erstellt: Eins für internes Netzwerk, eines für außerhalb.
Wahnsinn. Das ging bisher nie.

Ciao, Rüdiger
Mitglied: 122990
Lösung 122990 31.12.2015, aktualisiert am 03.01.2016 um 22:00:51 Uhr
Goto Top
Zitat von @Ruediger010:
ich habe gestern noch etwas rumgetestet
Die Zeit hättest du vielleicht besser erst mal in Lesen und recherchieren investiert, anstatt hier mal was verstellt und da mal was verstellt ohne in Hintergründe zu kennen. Quellen gibt es genug im Netz und das vor allem bei MS.
Kein Buch kann dir jede noch so kleine Einstellung erläutern, das wäre ein Wälzer mit 100000 Seiten... Wie Dani schon sagt das Technet liefert dir auf alle Fragen die entsprechenden Antworten.
und dabei folgendes festgestellt:
Beim Ort der Sperrlisten:
Mal findet er sie, mal nicht ?!?
Gestern abend war folgender Stand:
Gebe ich ein: http://testserver.domain.local (den FQDN), kann er die Sperrlisten nicht finden.
Gebe ich http://testserver.dyndns.org ein, findet er sie auch nicht.
Gebe ich nur http://testserver (natürlich mit den entsprechenden Dateierweiterungen wie CaName etc.) ein, findet er sie.
Hier fehlt mal wieder die Info von wo und wie du versuchst sie zu erreichen!
Heute morgen habe ich einen anderen Stand.
AIA-Speicherort1: Findet er unter dem FQDN
AIA-Speicherort2: Findet er nicht unter testserver.dyndns.org
AIA-Speicherort3: Nur unter dem Servernamen: findet er nicht

Sperrlisten-Verteilerpunkt1: FQDN: findet er
Punkt 2: testserver.dyndns.org: Findet er nicht
Punkt3: nur Servername: Findet er wiederum.

OCSP-Speicherorte stehen 2 drin, einmal der FQDN und einmal nur der Servername - die findet er beide nicht.

Muss er auf jeden Speicherort zugreifen können oder würde einer reichen?
Für den Client reicht eine einzige erreichbare URL, die welche er nicht erreichen kann ignoriert er.
Aber grundsätzlich stellt man keine extern erreichbaren Zertifikate mit ldap Sperrlisten-URLs etc. aus

Bringt es Nachteile, wenn er nicht auf jeden zugreifen kann?
Nein, er muss nur die CRL herunterladen können von wo ist egal. Wenn man aber Sperrlisten mit ins Zertifikat einbindet muss mindestens eine davon erreichbar sein, denn sonst kann ein Betriebssystem den Zugriff auf die Seite mit diesem Zertifikat blockieren, wenn entsprechende CRL-Verifikationseinstellungen gesetzt sind.

Und noch als wichtige Info: Die Sperrlisten URLs landen nur in nach dem setzen der Einstellung generierten Zertifikaten.
Schau dir einfach mal die Eigenschaften eines Zertifikates genauer an, dann siehst du das.

Mit Deinen Tipps habe ich nun zumindest schonmal Outlook Anywhere von meinem Notebook zum Testsystem zum laufen bekommen. Ich habe 2 Exchange Zertifikate erstellt: Eins für internes Netzwerk, eines für außerhalb.

??? Ein CAS kann nur ein Zertifikat und hier trägt man die Domains als SANs ein nicht anders ...
Einfach endlich mal lesen
http://exchangeserverpro.com/exchange-server-2013-ssl-certificates/
http://exchangeserverpro.com/avoiding-exchange-2013-server-names-ssl-ce ...

BTW. bist du nicht gezwungen gleich eine Microsoft PKI zu nutzen.
Das geht ohne viel Aufwand auch hervorragend mit einen Tool Namens
XCA
mit dem man sich seine Zertifikate komfortabel zusammenklingen kann, und das portabel ohne jegliche Installation.

Na dann noch viel Erfolg beim rumbasteln.

i'm out'a here
Gruß und guten Rutsch
grexit
Mitglied: Ruediger010
Ruediger010 01.01.2016 um 10:45:36 Uhr
Goto Top
Guten Morgen und Alles Gute für 2016 an alle.

@122990: SAN-Zertifikat habe ich nun eingerichtet.

Erst hatte ich das Ausstellen eines Zertifikats darüber probiert (hier stand auch, dann man ein weiteres Zertifikat für die öffentliche Adresse einrichten soll).
Exchange Serverzertifikat erstellen
Dies hat aber kein SAN Zertifikat erstellt.

Nun habe ich dazu eine gute Anleitung gefunden:
SAN-Zertifikat für Exchange 2010

Was das Lesen und recherchieren betrifft, ist es schwer, Antworten zu finden, wenn man nicht weis, nach was genau man suchen muss bzw. wie man fragen muss.
Viele weitere Fragen haben sich ja erst ergeben, als wir hier darüber geschrieben haben und Du mir Tipps und Hinweise zur Handhabung gegeben hast.
Auch finde ich es nicht schlimm, auf einem Testsystem sich mit den verschiedenen Mitteln und Möglichkeiten vertraut zu machen.
Es gibt ja mehrere Möglichkeiten, Zertifikate zu beantragen oder auszustellen.
Einmal in der Zertifizierungsstelle selbst, dann über den Servermanager bei den Rollen und einmal in der Exchange Server Verwaltungskonsole.
Die unterschiedlichen Vorgehensweisen einmal auszuprobieren und sich mit der Handhabung vertraut zu machen ist doch nichts schlechtes?

Die grundsätzliche Problematik ist ja:
  • Server 2008 R2 mit Exchange 2010 ohne feste IP, wird über DynDNS angesprochen
  • Ein Mailkonto info@domain.de für alle Benutzer für eingehende und ausgehende Mails
  • Abrufen von Mails via PopCon von einem Pop3 Server mit entsprechender Weiterverteilung auf die Exchange Postfächer
  • Exchange Server Zertifikat abgelaufen
  • Arbeitsstationen werden umgestellt auf Windows 10 und Office 2016
  • Probleme beim Verbindungsaufbau von Outlook 2016 mit Exchange 2010, da hier nur noch Autodiscover funktioniert
  • Einsatz eines Handys mit Exchange Active Sync
  • Outlook Anywhere um mit einem Notebook unterwegs mit Internetverbindung auf den Exchange Server zugreifen zu können (OWA ist nicht so komfortabel)

Dazu habe ich als Testumgebung ein Abbild unseres Servers erstellt und diesen virtualisiert.
Hat sich zum testen ja wunderbar geeignet.

Alle Probleme bis auf eines konnten gelöst werden.

Das nun noch bestehende Problem ist das Autodiscover für die Anbindung der internen Stationen mit Outlook 2016 an Exchange.

Hier ist die Schwierigkeit, dass die Benutzer eine Mailadresse haben, die nicht benutzer@domain.local lautet sondern benutzer@domain.de

Möchte ich nun einen Benutzer mit dem Exchange verbinden, bleibt ewig das Fenster, dass er versucht den Exchange zu kontaktieren aber das wars auch schon.
Bei Office 2013 war es einfacher durch die manuelle Konfigurationsmöglichkeit.
Hier habe ich den Exchange Server und den internen Benutzernamen angegeben und hatte eine Verbindung zum Postfach und die Station musste nichtmal in der Domäne eingegliedert sein.
Das funktioniert aber bei Outlook 2016 nicht mehr.
Autodiscover ist im neuen SAN Zertifikat konfiguriert und die Bindung im IIS verweist auch auf das neue Exchange Zertifikat.
Hat jemand hierzu noch eine Idee?

Ciao und vielen Dank
Rüdiger
Mitglied: 122990
Lösung 122990 01.01.2016, aktualisiert am 03.01.2016 um 22:02:41 Uhr
Goto Top
Wie immer dein Freund ob du alles richtig eingerichtet hast:
https://testconnectivity.microsoft.com/
Hier ist die Schwierigkeit, dass die Benutzer eine Mailadresse haben, die nicht benutzer@domain.local lautet sondern benutzer@domain.de
Auch kein Problem mit zusätzlicher Accepted Domain und Adressbookpolicy. zusätzlich kann man den Usern intern auf ein anderes UPN-Suffix zuweisen. Zusätzliche UPN-Suffixe lassen sich in der MMC ActiveDirectory Sites & Services hinzufügen, damit kann man dann beim ersten Verbinden die zusätzliche Credential-Abfrage verhindern.
Mitglied: Ruediger010
Ruediger010 02.01.2016 aktualisiert um 12:26:35 Uhr
Goto Top
Hi und guten Morgen,

das Tool gefällt mir sehr gut.
Nur habe ich dann doch anscheinend Probleme.

Das Tool sagt folgendes:
Beim Test der Outlook-Autoermittlung für einen Benutzer:
Kann er erfolgreich testen, aber nur wenn er an Strato durchreicht.

Für die interne Domain kann er nicht.
DNS-Eintrag für domain.de findet er
Port ist auch geöffnet
Bei der Gültigkeitsprüfung kann er kein Remote SSL Zertifikat abrufen.
Klar, der Eintrag im Zertifikat lautet ja auch autodiscover.domain.de und wenn er nur domain.de abrufen möchte, findet er keinen Eintrag dazu.
Oder muss hier noch ein zusätzliches Zertifikat eingerichtet werden?

Für autodiscover.domain.de sagt er, den Host kann er nicht im DNS auflösen

Beim Test der http-Umleitungsmethode meint er auch, er kann den DNS Namen nicht auflösen.

Als UPN Suffix habe ich die externe Domain mit als vertrauenswürdig hinzugefügt.
Der Benutzer kann sich auch als domain.de anmelden.
Hilft aber im Endeffekt nix, weil er dann wieder zu den Strato Autodiscover Infos durchreicht.
Wenn ich beim Benutzer benutzer@domain.local hinterlege, wie es ja sowieso Standard war, richtet ers richtig ein, stürzt dann aber ab und bleibt ewig darin hängen, dass er keine Verbindung zum Exchange Server bekommt.

Auch beim Exchange Active Sync spinnt er rum (obwohl dies mit Handy eigentlich 1a funktioniert).
Namen, Port und Zertifikatsgültigkeit sind OK
Fehler bringt er bei "Die IIS-Konfiguration wird im Hinblick auf die Clientzertifikatsauthentifizierung überprüft". Clientzertifikatsauthentifizierung erkannt. Clientzertifikate für Akzeptieren/Anfordern gefunden. Legen Sie in der IIS-Konfiguration fest, dass Clientzertifikate ignoriert werden, wenn Sie diesen Authentifizierungstyp nicht verwenden.
Hier verstehe ich nicht, was falsch ist?
Ist doch OK, wenn er Zertifikate findet? Oder nicht?

Bei der Autoermittlungsprüfung für Active Sync meckert er auch wieder das Remote Zertifikat an, bei den Details meint er: Unbekannter Fehler bei der Überprüfung des SSL-Zertifikats
Einen CName Autoermittlungseintrag kann er nicht finden

Beim Test der Exchange Webdienste mit Autoermittlung meint er:
Keine Einstellungen für EXPR oder EXCH in der Antwort der AutoErmittlung gefunden.

Für was eine Adressbook-Policy? Ich dachte diese ist dafür da, wenn ich 2 unterschiedliche Domains getrennt an einem Exchange Server verwalten möchte, ohne das die eine die Daten der anderen sehen darf?

Wie gesagt ein MX Record soll bei Strato nicht erstellt werden, da Strato dann alle Mails direkt an den Exchange weiterleitet und sie nicht mehr stratointern speichert, um ggf. auch über andere Quellen abzurufen.

Was gibts nun noch für Möglichkeiten?
Das Exchange Zertifikat nochmal neu einstellen und als Domain nicht nur autodiscover.domain.de hinterlegen sondern domain.de selbst?

Was muss im DNS Server noch hinterlegt werden und wo und wie?

Bei anderen Tests sagt er, er kann keine vollständige Zertifikatskette finden.

Ciao und LG,
Rüdiger
Mitglied: 122990
Lösung 122990 02.01.2016, aktualisiert am 03.01.2016 um 22:03:38 Uhr
Goto Top
Zitat von @Ruediger010:
das Tool gefällt mir sehr gut.
Nur habe ich dann doch anscheinend Probleme.
Wie immer ...
Das Tool sagt folgendes:
Beim Test der Outlook-Autoermittlung für einen Benutzer:
Kann er erfolgreich testen, aber nur wenn er an Strato durchreicht.
??
Für die interne Domain kann er nicht.
Logisch alles was intern ist ist ja nicht für extern.
DNS-Eintrag für domain.de findet er
Port ist auch geöffnet
OK
Bei der Gültigkeitsprüfung kann er kein Remote SSL Zertifikat abrufen.
Klar, der Eintrag im Zertifikat lautet ja auch autodiscover.domain.de und wenn er nur domain.de abrufen möchte, findet er keinen Eintrag dazu.
externe Subdomain mit A-Record autodiscover.domain.de fehlt bei Strato.
Oder muss hier noch ein zusätzliches Zertifikat eingerichtet werden?
Nope. autodiscover Subdomain mit ins Zertifikat packen.

Für autodiscover.domain.de sagt er, den Host kann er nicht im DNS auflösen
wie gesagt den hast du vergessen bei Strato als Subdomain einzurichten.
Beim Test der http-Umleitungsmethode meint er auch, er kann den DNS Namen nicht auflösen.
Die Umleitungsmethode probiert er nur wenn alle anderen Versuche die autodiscover.xml zu erreichen fehlschlagen und wenn die Umleitung nicht eingerichtet schlägt das eben fehl, logisch. Les doch bitte erst mal die Grundlagen zum Autodiscover durch dann versteht sich das von selbst!
http://www.msxfaq.de/e2007/autodiscover.htm
Als UPN Suffix habe ich die externe Domain mit als vertrauenswürdig hinzugefügt.
Der Benutzer kann sich auch als domain.de anmelden.
Hilft aber im Endeffekt nix, weil er dann wieder zu den Strato Autodiscover Infos durchreicht.
Das ist auch nur als Erleichterung für den User bei der Einrichtung des Outlook gedacht, so dass er nicht DOMAIN\User oder user@domain.local benutzen muss.
Wenn ich beim Benutzer benutzer@domain.local hinterlege, wie es ja sowieso Standard war, richtet ers richtig ein, stürzt dann aber ab und bleibt ewig darin hängen, dass er keine Verbindung zum Exchange Server bekommt.
Erst mal alles andere richtig einrichten, du versuchst es hier einfach mit einem Durcheinander was nie zum Erfolg führen kann.
Auch beim Exchange Active Sync spinnt er rum (obwohl dies mit Handy eigentlich 1a funktioniert).
Wie oben bereits geschrieben stimmen 100% deine URLs intern nicht.
Diese sollte man alle korrekt konfigurieren, sonst kann das nie klappen!
Powershell: Konfigurieren der internen und externen URLs von Exchange Server 2013, 2016

Fehler bringt er bei "Die IIS-Konfiguration wird im Hinblick auf die Clientzertifikatsauthentifizierung überprüft". Clientzertifikatsauthentifizierung erkannt. Clientzertifikate für Akzeptieren/Anfordern gefunden. Legen Sie in der IIS-Konfiguration fest, dass Clientzertifikate ignoriert werden, wenn Sie diesen Authentifizierungstyp nicht verwenden.
Hier verstehe ich nicht, was falsch ist?
Tja das ist nur die SSL-Einstellung im IIS das er Client-Zertifikate annimmt, ist nicht so wichtig aber da hast du sicher auch einfach mal wieder rumgespielt. Einfach Einstellung in der SSL-Section im IIS zurücksetzen.

Bei der Autoermittlungsprüfung für Active Sync meckert er auch wieder das Remote Zertifikat an, bei den Details meint er: Unbekannter Fehler bei der Überprüfung des SSL-Zertifikats
Einen CName Autoermittlungseintrag kann er nicht finden

Beim Test der Exchange Webdienste mit Autoermittlung meint er:
Keine Einstellungen für EXPR oder EXCH in der Antwort der AutoErmittlung gefunden.

Für was eine Adressbook-Policy? Ich dachte diese ist dafür da, wenn ich 2 unterschiedliche Domains getrennt an einem Exchange Server verwalten möchte, ohne das die eine die Daten der anderen sehen darf?
Alles folge einer komplett falschen Config, sorry.
Wie gesagt ein MX Record soll bei Strato nicht erstellt werden, da Strato dann alle Mails direkt an den Exchange weiterleitet und sie nicht mehr stratointern speichert, um ggf. auch über andere Quellen abzurufen.
Muss auch nicht wenn die Mailserver dir keine Mails direkt zustellen sollen. Deine genutzte Sub-Domain zum Zugriff über OWA/Outlook etc. muss bei Strato nur via CNAME-Eintrag auf deine dyndns-Adresse verweisen.
Was gibts nun noch für Möglichkeiten?
Weiterbildung.
Das Exchange Zertifikat nochmal neu einstellen und als Domain nicht nur autodiscover.domain.de hinterlegen sondern domain.de selbst?
Haben wir oben schon alles erörtert.
Was muss im DNS Server noch hinterlegt werden und wo und wie?
s. oben.
Bei anderen Tests sagt er, er kann keine vollständige Zertifikatskette finden.
Logisch wenn man selbstsignierte Zertifikate nutzt, diesen Fehler kannst du gepflegt ignorieren wenn du das CA-Cert bei den Clients implantierst.

Gruß grexit
Mitglied: Ruediger010
Ruediger010 02.01.2016 um 17:44:56 Uhr
Goto Top
So, Problem gelöst.
Es war nicht der A-Record, der will immer eine IP-Adresse haben und da der Server ja keine feste IP hat....
Es war der SRV-Record, der bei Strato fehlte.
Nun verweist autodiscover korrekt auf den internen Server zurück.

Häkchen im IIS von Clientzertifikaten zulassen auf ignorieren, seitdem geht alles
Juhu. Hätte nicht gedacht, das es funktioniert.

Nun muss ich nochmal alles in eine produktive Umgebung bekommen und hoffen, dass ich alles noch richtig hinbekomme face-smile

Nach 5 Tagen rumbastelei hab ich erstmal die Nase voll

Als nächstes schaue ich mir die Grundlagen von Zertifikaten und Zertifikatsspeichern an und mache mich mit der Powershell vertraut, dann kommt ein Testsystem aus 2012 Server und Exchange 2016 dran.

Ganz lieben Dank für Deine tolle Hilfe.
Wenn ich mich irgendwie erkenntlich zeigen kann?
Wo kommst Du eigentlich her?

LG, Rüdiger
Mitglied: 122990
122990 02.01.2016 aktualisiert um 18:36:32 Uhr
Goto Top
Zitat von @Ruediger010:

So, Problem gelöst.
Es war nicht der A-Record, der will immer eine IP-Adresse haben und da der Server ja keine feste IP hat....
Es war der SRV-Record, der bei Strato fehlte.
Der ist kein muss sondern eine mögliche Option welche Outlook bei seinem Autodiscover-Prozess durchläuft wenn es keine andere Option mehr hat den Server herauszufinden. Steht ja auch oben im letzten Link zum Autodiscover-Prozess.
Diesen kannst du dir übrigens auch detailliert anzeigen lassen indem du mit STRG + RECHTSKLICK auf das Outlook-Icon in der Statusleiste klickst, und dann einen Autodiscover-Test durchführen lässt.
Der Autodiscover-A-Record wird an zweiter Stelle nach der eigentlichen Domain überprüft, ist dieser auch nicht vorhanden geht es weiter zur nächsten Option. Bedenke auch das manche Smartphone-Clients keine _SRV Record Überprüfung machen und dadurch eventuell keinen Kontakt bekommen wenn die anderen Verfahren nicht greifen.
Wenn ich mich irgendwie erkenntlich zeigen kann?
Nee ist schon gut so, dafür ist ein Forum ja da.
Wo kommst Du eigentlich her?
Ich bin momentan auf MAUI (HAWAII) stationiert face-smile leider nur noch 3 Monate, dann ist meine Arbeit hier getan und es geht weiter, wohin ist noch nicht sicher.

Jetzt erst mal ne Runde mit dem Surfboard in den Pazifik hüpfen, bevor's wieder zur Arbeit geht face-big-smile Ist hier zwar das reinste Paradies aber bei Arbeitstagen die durchschnittlich 18-19 Stunden dauern auch kein Pappenstiel.

Gruß grexit