Windows Server 2008 R2 Exchange Server lizenzieren für Autodiscover

[Michi777]

Liebe Community!

wegen mehrerer Fälle, welche leider nur mit einer externen Serverzertifizierung korrekt funktionieren, ist es nur für mich erstmals der Fall dass ich den Server dafür zertifizieren muss.

Folgende Fälle:
Clients zeigen Fehlermeldung bzgl. Zertifikat an - gelöst in dem Autodiscover auf nicht vergebene IP geleitet wird
Terminplanungassistent zeigt keine Kalendereinträge an - ungelöst da Autodiscover dafür zertifizert sein muss (in OWA funktioniert es - da Meldung bei Login bestätigtwerden kann).
Outlook 2016 kann nicht eingerichtet werden - ungelöst, da auf Autodiscoverfunktion um Serverdaten zu finden besteht

Weil das Lizenzieren trotz Anleitungen ziemlich verwirrend ist wollte ich gerne wissen welche Zertifizierung ich benötige und wo ich diese am Besten beziehe?
...eine gemeinsame Einspielung des Zertifikats über eine kurze Fernwartung sollte im Preis inkludiert sein oder nur gering verrechnet werden, denn jemand Erfahrener hat das sicher schnell erledigt und ich notiere es mir für mein Zukunftswissen.

Vielen Dank im Voraus!

 

[En3rg1eR1egel]

du brauchst ein uc zertifikat für mehrere namen gleichzeitig.

owa.firma.de
oder webmail.firma.de
oder
oder
jenachdem wie der spaß konfiguriert ist

desweiteren muss das ganze auch autodiscover.firma.de
oder
oder
jenachdem wie der spaß konfiguriert ist

den request kannst du einfach mit dem tool erstellen:


dort einfach alles ausfüllen was benötigt ist:


und irgendwann bist du dann fertig:


mit dem request kannst du dann ein ssl zertifikat ordern:
zb:
https://www.psw-group.de/shop/order/step/certificate-signing-request
https://www.thawte.de/ssl/
https://www.geotrust.com/de/ssl/ssl-certificates-san-uc/
https://ssl.comodo.com/unified-communications-uc-ssl-certificates.php
oder
oder
oder
gibt zu viele anbieter...

das gilt natürlich nur, wenn der exchange sauber konfiguriert ist, owa und auch autodiscover intern , sowie extern erreichbar sind, etc.pp

 

[jan4321]

Am billigsten und einfachsten ist es immer noch, eine eigene Windows Certificate Authority zu betreiben und das root Zertifikat per Grouppollicy auszurollen. Ich sehe einfach nicht den Sinn, so viel geld auf Public trusted Certs zu schmeißen, wenn das eh eigentlich nur für Domain Clients wichtig ist und jeder Windows Standard server eine CA installieren kann.

 

[En3rg1eR1egel]

es ist weder billiger noch einfacher.
und "so viel geld" für nen cert ?
alleine dein stundenlohn für die einrichtung +gpo +tests +rollout + wartung übersteigt die kosten ja schon um ein vielfaches.
und mal ehrlich 200 öcken für nen cert bei ner firma die nen exchange + cals betreibt, das sind peanuts.

außerdem jammert dir dann nicht der appleheini aus dem management was vor, warum er 1x mehr auf irgendwas klicken muss.

 

[Michi777]

Danke für die Beiträge - werde es bald versuchen.

 

[m000x]

Lizenzieren, zertifizieren? Was denn nun?

Und du willst nicht ernsthaft iwelche fremden Leute hier aus dem Forum auf deinem Produktivserver "rumfuhrwerken" lassen?!

Außerdem ist das ganze nun wirklich keine Raketenwissenschaft....!

 

[Frightener]

Am billigsten und einfachsten ist es immer noch, eine eigene Windows Certificate Authority zu betreiben und das root Zertifikat per Grouppollicy auszurollen.

Auch wenn es nicht notwendig ist, das CA Zertifikat per GPO auszurollen (die werden automatisch verteilt), bedeutet eine eigene CA einen deutlich höheren Aufwand. Hinter einer CA muß ein Sicherheitskonzept stehen, da reicht es nicht, einfach mal einen Assistenten durchzuklicken.

 

[crashbandicot]

Naja, solange es sich nur um eine interne CA handelt, kann man das Thema "Sicherheit" weitestgehend unbeachtet lassen.

 

[Frightener]

Ui, da merkt man, daß Du Dich noch nicht mit CAs beschäftigt hast. Weißt Du, was man mit einem falsch ausgestellten Codesigning Zertifikat anstellen kann?

 

[crashbandicot]

Natürlich weiß ich das. Ich sehe nur kein Missbrauchspotential wenn es, wie schon gesagt, eine interne CA ist.

 

[Frightener]

Offensichtlich nicht Oder ist das in Deinen Augen kein Mißbrauch, wenn man nur das eigene Unternehmen lahmlegt?

 

[crashbandicot]

Offensichtlich schon. Oder anders gefragt: wie willst du das Code Signing Template nutzen wenn es gar nicht freigeschaltet ist?

 

[Frightener]

Standardmäßig haben die Enterprise/Domain Admins die entsprechenden Rechte auf die Templates. Diese Rechte sollte aber nur die Sicherheitsabteilung des Unternehmens, die auch die Templates ausgearbeitet haben, und nicht die Betreiber des Servers haben. Bei uns hat die Ausarbeitung des Konzepts zusammen mit zwei Microsoft Engineers ca. 3 Wochen gedauert - und das beinhaltet nur 4 Zertifikatsvorlagen. Die Prozesse zum Revoken von Zertifikaten sind hier noch nicht berücksichtigt.

Ich war anfangs auch so blauäugig und habe das Thema aus der Adminsicht betrachtet - eben das, was man auf den mehr oder weniger sinnfreien Standardtrainings lernt.

 

[crashbandicot]

Hey, ich habe nie davon gesprochen dass absolute Daus an das Thema CA rangehen sollen. Dennoch bleibe ich bei der Meinung, dass eine interne CA wenig Sicherheitsrisiken darstellt, wenn sie von einem Admin aufgesetzt wird der weiß was eine CA ist und sich der Mächtigkeit dieses Instruments bewusst ist.

 

[Frightener]

Ich denke, wenn Michi sich so gut damit auskennen würde, hätte er nicht in einem Forum um Hilfe gebeten
Aus reiner Kostensicht ist eine Windowslizenz für eine CA auch meist nicht umsonst. Aber das muß er selbst entscheiden...