Re: DNS und Zertifikatsprobleme bei dummer Domänenbezeichnung

Tech Tip: Click here to run a free scan for Windows Errors and optimize PC performance

From: "Frank Carius \(MVP\)" <frank@xxxxxxxxxxxxxxxxxx>
Date: Thu, 15 May 2008 23:22:03 +0200

"Frank Hartmann" <fh(at)bcs-mail.de.nospam> schrieb im Newsbeitrag news:C92A3A95-4900-4D1D-8623-F2FDA4525930@xxxxxxxxxxxxxxxx

So hab ich das bei anderen Kunden laufen. Aber hier müssen mehrere Konten
unterschiedlicher Domänen über das gleiche BlackBerry laufen und bei den
anderen sind wir nun mal an die Möglichkeiten gebunden, die der entsprechende
Provider bietet, und das ist nun mal die POP Lösung. Aber warum auch nicht?
SSL POP ist doch ok, oder was gäbe es dagegen zu sagen?

POP mit SSL ist "sicher". aber es ist ein Stück weit immer ein Runterladen. es gibt halt keine serverseitigen Ordner mit Abgleich etc. d.h. wenn der User noch ein anderes Endgerät hat dann hat er doppelte Arbeit.

Ich vertrete die Ansicht: "Ein user ein Postfach". Alles andere kann man als Weiterleitung in das Postfach regeln.

nur wenn du mehrere Namen/IP_Adresen/Server nutzenwillst, dann musst du
mehrere Zertifikate nutzen

Das korrespondiert irgendwie nicht mit den Infos, die ich überall sonst
finde, z.B. bei msxfaq.de und auch hier in den Newsgroups.

Ein Zertifkat ist auf einen Namen ausgestellt
SAN-Zertifikate haben optional mehrere Namen

das ist der trick, um eben doch mit einer IP-Adresse mehrere Namen zu betreiben

Wenn ich bei 1&1 den MX Record auf die IP des Kunden umstelle, sieht der
Eintrag ja nachher so aus:
mail A 123.123.123.123
firma.de MX 10 mail.firma.de
Reicht das, um den Server über https://mail.firma.de/exchange zu erreichen?

Ja wenn hinter der IP Adresse dann auch der Webserver mit dem zertiifkat antwortet
und das Zertifikat auf "mail.firma.de" ausgestellt ist oder auf *.firma.de oder den Namen als teil des SAn zertiifkats hat.

Ich würde meinen IIS auf dem Exchange Server nicht per NAT direkt erreichbar

Bevor man sowas öffentlich schreibt, sollte man sich vielleicht vorher
informieren, z.B. hier https://www.watchguard.com/products/core-e.asp

Wenn du schreibst, dass du den Exchange per NAT veröffentlichst, dann ist das die klassische "Kleine router Funktion" und ich würde das nicht machen

Nichts gegen den ISA Server, aber was der kann, kann die Watchguard schon
lange, und neben IPsec und PPTP selbstverständlich auch SSL terminieren.

Das ist doch suber, wenn das so ist. Aber dann ist das keine "NAT-Veröffentlichung" sondern eben eine HTTP-Veröfentlichung oder ein HTTP reverse Proxy.

Stufe 0 ist wirklich den IIS direkt am Internet zu betreiben oder "nur" per NAT zu veröffentlichen. Der schutz besteht maximal in Portfiltern, damit nur der IIS erreichbar ist aber keine Preauthentication und keine URL-Filterung oder Contentfilternug

Stufe 1 ist dann eine "Webveröffentlichung", d.h. ein System davor nimmt die HTTP-Anfragen an, terminiert SSL und kann also auch "reinschauen". das muss kein ISA sein ,das kann auch ein Apache oder Squid sein (Musterkonfig ist auch auf der MSXFAQ)

Stufe 2 ist dann, dass dieses vorgelagerte System gleich die Anmeldung abfragt, d.h. damit kommt der Zugriff erst dann auf Exchange, wenn der user schon bekannt ist.

Deine Beschreibung hat mich auf Stufe0 tippen lassen.

Für alle vom IIS bzw Exchange benutzen Dienste bietet sie Proxys, die nicht
nur die Konformität des Inhalts prüfen, sondern auch Intrusion Prevention,
AntiVirus und Spam Filter bieten.

Machen und "richtig" beschreiben :-) Es ist ja nur gut gemeint, dass ich vor Port/NAT veröffentlichungen warne.

--
Frank Carius MS Exchange MVP
Exchange FAQ auf http://www.msxfaq.de
Support siehe http://www.netatwork.de/msxfaq.htm
Bitte "Realnamen" verwenden oder müssen Sie sich verstecken ?
Dringendes Problem: eine Telefonnummer kann ich anrufen,wenn Zeit ist
:-) --

.

Follow-Ups:
- Re: DNS und Zertifikatsprobleme bei dummer Domänenbezeichnung
  - From: Frank Hartmann

References:
- DNS und Zertifikatsprobleme bei dummer Domänenbezeichnung
  - From: Frank Hartmann
- Re: DNS und Zertifikatsprobleme bei dummer Domänenbezeichnung
  - From: Frank Carius \(MVP\)
- Re: DNS und Zertifikatsprobleme bei dummer Domänenbezeichnung
  - From: Frank Hartmann

Prev by Date: Re: The following message had an error and synchronization of it was skipped (0x80004005):
Next by Date: Re: Eingehende und Ausgehende E-Mails in bestimmten Ordner kopieren
Previous by thread: Re: DNS und Zertifikatsprobleme bei dummer Domänenbezeichnung
Next by thread: Re: DNS und Zertifikatsprobleme bei dummer Domänenbezeichnung
Index(es):
- Date
- Thread

Relevant Pages

Re: Outlook 2003 - RPC over HTTP
... have you applied SP1 for Exchange 2003? ... configure the RPC Proxy server to use the specified default ports for RPC ... >> I need a SSL certificate and we plan to use our own CA to issue the ... >> certificates and therefore, I have installed certificate services on the ...
(microsoft.public.outlook.general)
Re: Exchange Server ActiveSync HTTP_403
... PPC did not support SSL or use different kinds of SSL which is not the ... "With Exchange ... |>> Microsoft CSS Online Newsgroup Support ... Microsoft CSS Online Newsgroup Support ...
(microsoft.public.windows.server.sbs)
RE: ActiveSync & SSL
... 817379 Exchange ActiveSync and Outlook Mobile Access errors occur when SSL ... Microsoft CSS Online Newsgroup Support ...
(microsoft.public.windows.server.sbs)
RE: ActiveSync & SSL
... Yes, you are right, you can enable SSL for Exchange ActiveSync through IIS ... At PPC side, if you are using the PPC 2002, you can refer to the below KB ... You also can export it from Internet Explorer by double click the SSL ... Microsoft CSS Online Newsgroup Support ...
(microsoft.public.windows.server.sbs)
Re: Exchange verschlüsselt OMA funktioniert nicht mehr?
... > Ich möchte meinen Exchange Usern nur eine verschlüsselten Zugang gewähren. ... > Wie kann ich OMA aktivieren, dass OMA via SSL funktioniert? ... Right-click Exchange, and then click Properties. ...
(microsoft.public.de.exchange)