Was das Backup wert war, erweist sich, sobald man es versucht ganz oder teilweise wiederherzustellen. Spätestens dann macht sich die Wahl des richtigen Tools ... (mehr)

Exchange-Zertifikat ändern

Exchange Server 2010 setzt konsequenter als die Vorgänger auf SSL-gesicherte Verbindungen und Verschlüsselung. Aus diesem Grund benötigt jeder Exchange-Server ein eigenes Server-Zertifikat. Während der Installation stellt sich jeder Exchange-Server ein selbst signiertes Zertifikat aus und verwendet es zur Verschlüsselung. Das Problem dabei ist, dass kein Client dieser Zertifizierungsstelle vertraut, was in Zertifikatsfehlermeldungen resultiert. Eine Lösung für das Problem ist, entweder auf eine interne Zertifizierungsstelle auf Basis der Active-Directory-Zertifikatsdienste zu setzen oder ein Zertifikat eines Drittherstellers zu erwerben.

Internen Zertifizierungsstellen vertrauen Clients, die Mitglied der gleichen Active-Directory-Gesamtstruktur sind, automatisch. Bei Zertifizierungsstellen von Drittherstellern müssen Sie das Zertifikat der Zertifizierungsstelle manuell in die vertrauenswürdigen Stammzertifizierungsstellen integrieren, sofern diese noch nicht bekannt ist.

Neu in Exchange Server 2010 ist die Möglichkeit, Serverzertifikate direkt in der Exchange-Verwaltungskonsole zu verwalten. Sie benötigen dazu nicht mehr unbedingt die Exchange-Verwaltungsshell. Klicken Sie in der Verwaltungskonsole dazu auf »Serverkonfiguration« und dann auf den Server, dessen Zertifikat Sie verwalten wollen. Auf der rechten Seite sehen Sie dann die beiden Menüpunkte »Neues Exchange-Zertifikat« und »Exchange-Zertifikat importieren« . Die beiden Menüpunkte finden Sie auch im Kontextmenü zu dem Server. Die einzelnen Zertifikate sehen Sie im unteren Bereich der Konsole.

Um ein neues Zertifikat zu installieren, verwenden Sie »Neues Exchange-Zertifikat« . (Abbildung 4) Der Assistent erstellt eine Zertifikatanforderung, die Sie dann entweder über die Active-Directory-Zertifikatdienste eingeben oder über das Webfrontend des Drittherstellers. Im ersten Schritt des Assistenten geben Sie den Namen ein, mit dem das Zertifikat in der Konsole angezeigt werden soll. Auf der nächsten Seite legen Sie fest, dass Sie auch untergeordnete Domänen mit dem gleichen Zertifikat anbinden wollen. Sehr wichtig ist, dass Sie den Namen, mit dem der Server aus dem Internet erreichbar ist, als allgemeinen Namen hinterlegen. Sonst erhalten Clients, die aus dem Internet auf den Server zugreifen, eine Fehlermeldung, da der Name des Zertifikats nicht mit der URL für den Zugriff übereinstimmt.

Abbildung 4: Ausstellen eines Zertifikats für den Exchange-Server.

Arbeiten Sie mit den Active-Directory-Zertifikatdiensten, können Sie die Anfrage des Zertifikats über die Adresse »http://Servername/certsrv« erreichen. Achten Sie aber beim Installieren der Serverrolle für die Zertifikatdienste darauf, dass Sie auch die Webschnittstelle mit installieren. Wählen Sie anschließend auf der Webseite für die Zertifizierungsstelle die Option »Ein Zertifikat anfordern« und wählen Sie dann die erweiterte Anforderung aus. Als Nächstes wählen Sie »Reichen Sie eine Zertifikatanforderung ein« , die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet. Im nächsten Fenster kopieren Sie ins Feld »Gespeicherte Anforderung« den kompletten Text der Req-Datei, die Sie im Vorfeld erstellt haben. Laden Sie das Zertifikat als Cer-Datei herunter. Anschließend wechseln Sie in die Exchange-Verwaltungskonsole und klicken Sie auf »Serverkonfiguration« . Wählen Sie dort den Exchange-Server aus, für den Sie die Anfrage erstellt haben und klicken Sie im unteren Bereich des Fensters mit der rechten Maustaste auf das Zertifikat. Wählen Sie aus dem Kontextmenü die Option »Anstehende Anforderung abschließen« . Wählen Sie die Cer-Datei aus und schließen Sie den Vorgang ab.

Sind die Zertifikate installiert, müssen Sie noch die einzelnen Exchange-Dienste damit verbinden. Auch das geht über das Kontextmenü. Wählen Sie dazu für das Zertifikat die Option »Dem Zertifikat Dienste zuordnen« . Dieser Befehl erscheint aber nur, dann wenn das Zertifikat keinen Fehler anzeigt. Auf der nächsten Seite des Assistenten wählen Sie zunächst über »Hinzufügen« den Server aus, auf dem Sie die Dienste dem neuen Zertifikat zuweisen wollen. Anschließend wählen Sie die entsprechenden Dienste aus.

Echte E-Mails

Der Empfang und Versand von E-Mails setzt sich in Exchange Server 2010 aus verschiedenen Komponenten zusammen. Bei dieser Konfiguration spielen die folgenden sechs Bereiche eine Rolle, die angepasst werden müssen:

  • E-Mail-Empfang: Exchange nimmt zunächst nur E-Mails an Domänen an, die auf der Registerkarte »Akzeptierte Domänen« über »Organisationskonfiguration/Hub-Transport« hinterlegt sind.
  • Damit ein Exchange-Server E-Mails entgegennehmen kann, muss ein Empfangsconnector erstellt und so konfiguriert sein, dass er E-Mails vom Sender akzeptiert. Empfangsconnectoren finden sich über »Serverkonfigurationen/Hub-Transport/Servername« .
  • Damit E-Mails zugestellt werden können, muss die E-Mail-Adresse in der Mail in der Organisation vorhanden sein. Welche E-Mail-Adressen der Server an die Anwender verteilt, sehen Sie auf der Registerkarte »E-Mail-Adressenrichtlinien« über »Organisationskonfiguration/Hub-Transport« .
  • Postfächer für Anwender erstellen Sie über das Kontextmenü der Empfänger über »Empfängerkonfiguration« .
  • Damit Exchange E-Mails versenden kann, muss mindestens ein Sendeconnector erstellt sein. Diese Konfiguration finden Sie unter »Organisationskonfiguration/Hub-Transport« auf der Registerkarte »Sendeconnectors« .
  • Sendeconnectoren verschicken E-Mails auf Basis der Remote-Domänen, die Sie auf der Registerkarte »Remotedomänen« über »Organisationskonfiguration/Hub-Transport« konfigurieren. Standardmäßig ist bereits der Platzhalter »*« angelegt. (ofr)

Infos

  1. Problem mit Clientzertifikat für SSL-Authentifizierung: http://support.microsoft.com/kb/972251
  2. 2007 Office System-Konverter: Microsoft Filter Pack: http://www.microsoft.com/downloads/details.aspx?FamilyId=60C92A37-719C-4077-B5C6-CAC34F4227CC&displaylang=de
  3. Exchange Team Blog: http://msexchangeteam.com

Der Autor

Thomas Joos ist freiberuflicher IT-Consultant und seit über 20 Jahren in der IT tätig. Neben seinen Projekten schreibt er praxisnahe Fachbücher und Fachartikel rund um Windows und andere Microsoft-Themen. Online trifft man ihn unter http://thomasjoos.spaces.live.com.

comments powered by Disqus
Mehr zum Thema

Änderungen in Exchange Server 2013

Mit Exchange Server 2013 [1] hat Microsoft die neueste Version seiner Groupware-Lösung fertiggestellt. Dieser Artikel stellt die Neuerungen des Servers vor und berichtet, welche Funktionen weggefallen sind.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2020