Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[Exchange2010] Certificaten en (interne) domainnames

Pagina: 1
Acties:

vrijdag 9 augustus 2013 10:38

Acties:
  • WPN
  • Registratie: Augustus 2003
  • Laatst online: 25-11 00:34

WPN

Topicstarter
Dit jaar moet ik het certificaat voor mijn Exchange 2010 server vervangen.
Nu is het niet meer mogelijk om interne domainnames te gebruiken in certificaten die tot na 2015 geldig zijn.
Dus dit jaar zou ik nog voor 1 jaar kunnen verlengen MET intern domainname voor mn server.

ik heb de vraag bij xolphin gesteld over het gebruik van interne namen en dit was het antwoord:
Dat klopt, interne domeinen opnemen in een multidomein certificaat is uiterlijk tot 1 november 2015 toegestaan. Als u in december wilt verlengen kunt u hierdoor een certificaat voor maximaal 1 jaar aanvragen, inclusief interne domeinen.
Het advies is dan ook uw interne domeinen te vervangen voor externe domeinen, zie ook : https://www.sslcertificat...oegestaan_na_oktober_2015
Ik wil zelf eerst nog voor 1 jaar verlengen zodat ik ruim de tijd heb om een plan de campagne te maken.
Dit jaar heb ik weinig tijd over door lopende projecten om flinke aanpassingen te doen binnen mn netwerk.

Wij maken gebruik van activesync, webmail, outlook intern, en outlook op laptops kunnen mail ophalen via https (zelfde url als webmail) als ze niet met een vpn verbonden zijn.


Hoe hebben jullie dit aangepakt, of hoe gaan jullie dit aanpakken?

Intern een nieuwe forward zone maken met extern domainname en daar alle gebruikte subdomains van het externe domain in plaatsen?
Outlook profile herconfiguren dat het verwijst naar de externe naam?

[ Voor 3% gewijzigd door WPN op 09-08-2013 10:39 ]

Als ik denk zoals ik dacht, dan doe ik zoals ik deed, als ik doe zoals ik deed, dan denk ik zoals ik dacht! Cogito Ergo Sum

vrijdag 9 augustus 2013 10:57

Acties:
  • skai21
  • Registratie: April 2011
  • Nu online

skai21

Ik denk dat je moet zorgen dat je dat je eerst een minst tijdrovende oplossing moet zoeken en daarna wel het probleem moet uit sluiten.

Wat bedoel ik te zeggen, wat je zou kunnen doen is een forward zone aanmaken voor de al geconfigureerde bestaande clients. En wanneer je een nieuwe pc installeerd of toevallig in de mail instellingen zit. deze meteen in beginnen te stellen op het externe domain. hierdoor lost het probleem zich uiteindelijk vanzelf op.

Ik weet niet hoe veel clients je hebt, maar in mijn situatie was het vaak niet de moeite om alle pc's opnieuw te configureren. (alhoewel dit ook via een script + GPO kan)
http://social.technet.mic...profiles-via-group-policy

16 x JaSolar 335Wp | 5430Wp | GOODWE 4K-DT

vrijdag 9 augustus 2013 15:03

Acties:
  • Ethirty
  • Registratie: September 2007
  • Nu online

Ethirty

Who...me?

WPN schreef op vrijdag 09 augustus 2013 @ 10:38:
Dit jaar moet ik het certificaat voor mijn Exchange 2010 server vervangen.
Nu is het niet meer mogelijk om interne domainnames te gebruiken in certificaten die tot na 2015 geldig zijn.
Dus dit jaar zou ik nog voor 1 jaar kunnen verlengen MET intern domainname voor mn server.

ik heb de vraag bij xolphin gesteld over het gebruik van interne namen en dit was het antwoord:

[...]


Ik wil zelf eerst nog voor 1 jaar verlengen zodat ik ruim de tijd heb om een plan de campagne te maken.
Dit jaar heb ik weinig tijd over door lopende projecten om flinke aanpassingen te doen binnen mn netwerk.

Wij maken gebruik van activesync, webmail, outlook intern, en outlook op laptops kunnen mail ophalen via https (zelfde url als webmail) als ze niet met een vpn verbonden zijn.


Hoe hebben jullie dit aangepakt, of hoe gaan jullie dit aanpakken?

Intern een nieuwe forward zone maken met extern domainname en daar alle gebruikte subdomains van het externe domain in plaatsen?
Outlook profile herconfiguren dat het verwijst naar de externe naam?
Zie voor een versimpelde uitleg een andere SSL aanbieder: link

Het is nog geen kwartier werk. Wij doen het gelijk voor alle servers waar we het certificaat vernieuwen. Ben je er vast vanaf :)

#team_UTC+1

An investment in knowledge always pays the best interest - Benjamin Franklin
You can call me McOverloper  Mini '12 i7/16/256  Air '13 i5/8/256  iPad mini 5 64GB  iPhone SE 128GB

dinsdag 13 augustus 2013 13:45

Acties:
  • _Hades_
  • Registratie: Juli 2000
  • Laatst online: 20:45

_Hades_

Inderdaad, alle webservices intern en extern naar de externe naam laten verwijzen en in de interne dns deze naam aanmaken. Volgens mij heeft het geen gevolgen voor de functionaliteit. Ik snap ook nooit helemaal waarom microsoft het dat hele internalurl en externalurl verhaal is gekomen. Volgens mij is het een moeilijke oplossing voor een makkelijk 'probleem'. :)

woensdag 14 augustus 2013 00:48

Acties:
  • Wim-Bart
  • Registratie: Mei 2004
  • Laatst online: 10-01-2021

Wim-Bart

Zie signature voor een baan.

Ja, gewoon een splitdns aanmaken met de interne naam gelijk aan de externe. Heeft ook andere voordelen, zeker in combinatie met autodiscover.externenaam.tld.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

woensdag 14 augustus 2013 07:48

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 28-11 20:09

Equator

Crew Council

#whisky #barista

_Hades_ schreef op dinsdag 13 augustus 2013 @ 13:45:
Inderdaad, alle webservices intern en extern naar de externe naam laten verwijzen en in de interne dns deze naam aanmaken. Volgens mij heeft het geen gevolgen voor de functionaliteit. Ik snap ook nooit helemaal waarom microsoft het dat hele internalurl en externalurl verhaal is gekomen. Volgens mij is het een moeilijke oplossing voor een makkelijk 'probleem'. :)
Dat heeft te maken met het dubbele beheer van je DNS omgeving. Namen die vanaf extern resolved moeten kunnen worden, moeten dat ook vanaf intern kunnen. Interne namen (zoals de DNS registratie van je interne file, print en applicatieservers wil jij niet extern kunnen resolven (ook al resolved dat naar een intern IP).

Aangezien je een DNS forward lookup zone niet kan splitsen heb je dus twee DNS zones nodig op verschillende servers en dus dubbel beheer. Als je alleen een twee of drietal webservices en een mail service aan de buitenkant hebt draaien zal dat beheer wel meevallen, en maakt het niet veel uit.

Echter: met de veranderingen in connectiviteit en het aangepaste beleid van certificaat leveranciers is het nut van een dergelijke oplossing groter dan het nadeel van het dubbele beheer.

Overigens - niet de meest mooie methode - maar je kan intern ook gebruik maken van de externe certificaten zonder dat je intern gebruik maakt van de externe tld.

dinsdag 20 augustus 2013 13:11

Acties:
  • WallieBTY
  • Registratie: September 2003
  • Laatst online: 25-11 13:36

WallieBTY

Dit is opzich makkelijk te ondervangen.

Wat je doet is alle adressen voor webmail, activesync etc instellen als externe adressen. Zodoende hoeft in het certificaat dat je gebruikt maximaal 2 adressen te staan, dus kan je uit met een SAN certificaat.

In het certificaat komen dan de volgende adressen: autodiscover.domein.nl en bijv mail.domein.nl.

Binnen Exchange 2010 moet je de urls aanpassen en dat gaat als volgt.
http://technet.microsoft.com/en-us/library/dd876959(v=exchg.141).aspx

Wat je dan wel moet doen is DNS zones aanmaken voor de gebruikte domein namen. Neem daarin enkel een A record op met het adres van de Exchange server.

Edit; vergeten te melden; je hoeft geen aanpassing op de clients te doen. Dmv autodiscover pakken die alles automatisch op.

[ Voor 7% gewijzigd door WallieBTY op 20-08-2013 13:54 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq