Fehler Hostname WIRD NICHT ÜBERPRÜFT - Testzertifikate TLS Exchange 2016 cu21

Question 1

Nach vielen Tests verstehe ich einige der Fehlermeldungen inCheckTls. Es ist das Zertifikat, das vom Exchange-Empfangsconnector verwendet wird. Ich teste erneut inCheckTlsund hat den gesamten Test ohne Fehler bestanden.

Danke für den Tipp @Lutz Willek, ich werde weiter üben.

Ich teile meine Lösung mit Ihnen und hoffe, dass sie anderen mit diesem Problem hilft.

Ich weiß nicht, ob es ein gutes Verfahren ist, die Lösung, die ich verwende Verwenden Sie die folgendenMicrosoft-Dokumentationals Referenz.

Überprüfen Sie, ob das Let’s Encrypt-Zertifikat erstellt und die Dienste aktiviert wurden

    Get-ExchangeCertificate | Format-List FriendlyName,Thumbprint,Issuer,Subject,CertificateDomains,Services

Identifizieren Sie den zuzuweisenden Empfangsanschluss. Ich habe mich mehr auf anonyme Benutzer konzentriert.

    Get-ReceiveConnector | where {$_.Bindings -like '*25' -AND $_.PermissionGroups -like '*AnonymousUsers*'} | Format-List Identity,Bindings,RemoteIPRanges,PermissionGroups

Nachdem ich den Connector identifiziert habe, weise ich das Zertifikat zu

    $cert = Get-ExchangeCertificate -Thumbprint xxxxxxxx

    $tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)"

    Set-ReceiveConnector "Server_Name\Default Frontend Server_Name" -TlsCertificateName $tlscertificatename

Überprüfen Sie, ob das Zertifikat dem Empfangsconnector zugewiesen wurde

    Get-ReceiveConnector -Identity "Server_Name\Default Frontend Server_Name" | Format-List Name,Fqdn,TlsCertificateName

Answer

Nach vielen Tests verstehe ich einige der Fehlermeldungen inCheckTls. Es ist das Zertifikat, das vom Exchange-Empfangsconnector verwendet wird. Ich teste erneut inCheckTlsund hat den gesamten Test ohne Fehler bestanden.

Danke für den Tipp @Lutz Willek, ich werde weiter üben.

Ich teile meine Lösung mit Ihnen und hoffe, dass sie anderen mit diesem Problem hilft.

Ich weiß nicht, ob es ein gutes Verfahren ist, die Lösung, die ich verwende Verwenden Sie die folgendenMicrosoft-Dokumentationals Referenz.

Überprüfen Sie, ob das Let’s Encrypt-Zertifikat erstellt und die Dienste aktiviert wurden

    Get-ExchangeCertificate | Format-List FriendlyName,Thumbprint,Issuer,Subject,CertificateDomains,Services

Identifizieren Sie den zuzuweisenden Empfangsanschluss. Ich habe mich mehr auf anonyme Benutzer konzentriert.

    Get-ReceiveConnector | where {$_.Bindings -like '*25' -AND $_.PermissionGroups -like '*AnonymousUsers*'} | Format-List Identity,Bindings,RemoteIPRanges,PermissionGroups

Nachdem ich den Connector identifiziert habe, weise ich das Zertifikat zu

    $cert = Get-ExchangeCertificate -Thumbprint xxxxxxxx

    $tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)"

    Set-ReceiveConnector "Server_Name\Default Frontend Server_Name" -TlsCertificateName $tlscertificatename

Überprüfen Sie, ob das Zertifikat dem Empfangsconnector zugewiesen wurde

    Get-ReceiveConnector -Identity "Server_Name\Default Frontend Server_Name" | Format-List Name,Fqdn,TlsCertificateName

Question 2

Das andereAntwortist 100% richtig.

Was passiert ist, ist, dass ein (interner) Server mit dem Hostnamen erstellt wurde mail.lan.contoso.com. Der Fehler besteht darin, dass das für diesen Host erstellte Zertifikat immer noch angezeigt wird, wenn der DNS-Name mail.contoso.comverwendet wird, um eine Verbindung zum Server herzustellen.

Also dubrauchenUm einen funktionsfähigen Dienst zu erstellen, müssen Sie folgende Schritte ausführen:

Entfernen Sie die geteilte DNS-Konfiguration für autodiscover.contoso.com, da in Ihrem internen Netzwerk keine spezielle Namensauflösung 192.168.1.4erforderlich ist. (Da die öffentliche Namensauflösung immer verwendet werden kann)
Konfigurieren Sie Ihre Clients für die Verbindung mit mail.contoso.com. (überprüfen Sie die AutoErmittlungseinstellungen)
Konfigurieren Sie Ihren Exchange-Server so, dass er das für erstellte Zertifikat verwendet mail.contoso.com. Aktuell mail.lan.contoso.comwird das Zertifikat für angezeigt.

Was dukönntetun, um die Zuverlässigkeit zu erhöhen und den Wartungsaufwand zu verringern: (Dadurch kann der Dienst vom Server getrennt werden)

Konfigurieren Sie serverseitig eine zweite interne IP-Adresse 192.168.1.5und richten Sie die interne Namensauflösung auf mail.contoso.comdiese IP-Adresse aus. (Ändern Sie mail.lan.contoso.comdiese nicht, da sie immer noch auf den Server selbst verweist.)
Konfigurieren Sie auf der Serverseite (Exchange) die Maildienste so, dass sie 192.168.1.5stattdessen auf dieser bestimmten IP lauschen 192.168.1.4.

Was Sie zumindesthalten, verwendet nichtDNS teilenüberhaupt:

Meiner Erfahrung nach entstehen bei einer nicht konsequenten Split-DNS-Umsetzung erhebliche Nachteile, zudem reicht die Netzwerkerfahrung eines durchschnittlichen Administrators leider nicht aus, um alle damit verbundenen Herausforderungen zu überblicken und zu bewältigen.
Ein weiterer wichtiger Grund ist ein vereinfachtes Netzwerkdesign, das (neben anderen Vorteilen) hilft, im Falle eines Vorfalls die Grundursache schneller zu isolieren.
Es gibt nicht viele echte Vorteile einer Split-DNS-Konfiguration, die nicht auch mit anderen Methoden effizienter erreicht werden können.

Answer

Das andereAntwortist 100% richtig.

Was passiert ist, ist, dass ein (interner) Server mit dem Hostnamen erstellt wurde mail.lan.contoso.com. Der Fehler besteht darin, dass das für diesen Host erstellte Zertifikat immer noch angezeigt wird, wenn der DNS-Name mail.contoso.comverwendet wird, um eine Verbindung zum Server herzustellen.

Also dubrauchenUm einen funktionsfähigen Dienst zu erstellen, müssen Sie folgende Schritte ausführen:

Entfernen Sie die geteilte DNS-Konfiguration für autodiscover.contoso.com, da in Ihrem internen Netzwerk keine spezielle Namensauflösung 192.168.1.4erforderlich ist. (Da die öffentliche Namensauflösung immer verwendet werden kann)
Konfigurieren Sie Ihre Clients für die Verbindung mit mail.contoso.com. (überprüfen Sie die AutoErmittlungseinstellungen)
Konfigurieren Sie Ihren Exchange-Server so, dass er das für erstellte Zertifikat verwendet mail.contoso.com. Aktuell mail.lan.contoso.comwird das Zertifikat für angezeigt.

Was dukönntetun, um die Zuverlässigkeit zu erhöhen und den Wartungsaufwand zu verringern: (Dadurch kann der Dienst vom Server getrennt werden)

Konfigurieren Sie serverseitig eine zweite interne IP-Adresse 192.168.1.5und richten Sie die interne Namensauflösung auf mail.contoso.comdiese IP-Adresse aus. (Ändern Sie mail.lan.contoso.comdiese nicht, da sie immer noch auf den Server selbst verweist.)
Konfigurieren Sie auf der Serverseite (Exchange) die Maildienste so, dass sie 192.168.1.5stattdessen auf dieser bestimmten IP lauschen 192.168.1.4.

Was Sie zumindesthalten, verwendet nichtDNS teilenüberhaupt:

Meiner Erfahrung nach entstehen bei einer nicht konsequenten Split-DNS-Umsetzung erhebliche Nachteile, zudem reicht die Netzwerkerfahrung eines durchschnittlichen Administrators leider nicht aus, um alle damit verbundenen Herausforderungen zu überblicken und zu bewältigen.
Ein weiterer wichtiger Grund ist ein vereinfachtes Netzwerkdesign, das (neben anderen Vorteilen) hilft, im Falle eines Vorfalls die Grundursache schneller zu isolieren.
Es gibt nicht viele echte Vorteile einer Split-DNS-Konfiguration, die nicht auch mit anderen Methoden effizienter erreicht werden können.

Aufnahmetyp	DNS-Name	Interne IP
A	mail.lan.contoso.com	192.168.1.4
A	DC01.lan.contoso.com	192.168.1.3

Aufnahmetyp	DNS-Name	Wert
A	mail.contoso.com	xxx.xxx.xxx.xxx
A	autodiscover.contoso.com	xxx.xxx.xxx.xxx
MX	@	mail.contoso.com

Fehler Hostname WIRD NICHT ÜBERPRÜFT - Testzertifikate TLS Exchange 2016 cu21

Privates AD DNS (lan.contoso.com)

Privates DNS (contoso.com) SPLIT

Öffentlicher DNS (contoso.com)

Antwort1

Antwort2

verwandte Informationen