[dernoname]

Hallo Leute,

vor 2 Jahren wurde von einem EDV Dienstleister ein neuer Exchange 2013 Server eingerichtet.
Heute kommt die Meldung (siehe Anlage) bei den Outlook 2010 Clients.

Nun die Frage:

- wie kann man mit geringem Aufwand und geringen Kosten das Zertifikat erneuern.

Ich bin leider kein Exchange Guru, betreue den Server ansonsten und lege neue Postfächer an.


Der externe Dienstleister will ca. 125 € für die Erneuerung haben.

Wie würdet ihr in so einem Fall vorgehen ?

Danke

[dale]

Wenn du gar kein Plan von Exchange hast, würd ich die 125€ bezahlen und DANACH mir ein neues Systemhaus suchen.

Oder trau dich selbst bei Google findest du genug Anleitungen

Dieser Beitrag wurde von dale bearbeitet: 07. August 2017 - 16:52

[DanielDuesentrieb]

Hallo,

eine Möglichkeit ist eine Zertifikatsstelle zu installieren, die das Zertifikat verlängert. Das ist aber auch nicht ohne. Wie viele Clients sind das denn?

Sonst selbst ein Zertifikat im IIS erstellen, dass wieder 1 Jahr läuft und das an allen Clients installieren, damit die das akzeptieren. Das ist aber je nach Anzahl der Clients viel Aufwand.

Sonst gibt es bestimmt hier ein paar Gurus , die das komfortabler realisieren können.

[Wiesel]

Ich gehöre zwar nicht zu den Gurus, aber ich frage trotzdem mal nach: Welche Anlage?

[dernoname]

Danke für den Input, wir reden über 12 Clients.

Die Variante "eine Möglichkeit ist eine Zertifikatsstelle zu installieren, die das Zertifikat verlängert. Das ist aber auch nicht ohne"

hatte ich auch schon rausgefunden, ist aber nicht ohne, da der Konfigurationsaufwand doch größer ist.




Die Lösung:
[i]Sonst selbst ein Zertifikat im IIS erstellen, dass wieder 1 Jahr läuft und das an allen Clients installieren, damit die das akzeptieren. Das ist aber je nach Anzahl der Clients viel Aufwand.

wäre doch praktikabel für meinen Einsatzzweck.

Bin ich richtig in der Annhame das es so wie dort beschrieben funktionieren sollte ?

http://mntechblog.de...ikat-erstellen/
https://www.hosteuro...ey-csr-windows/


Macht es Sinn sich ein externes Zertifikat zu erstellen oder reicht das interne aus ?
Hier habe ich leider keine Erfahrung.

[RalphS]

.... wartet denn niemand diese gottverdammte Installation?

Exchangezertifikate hängen hauptsächlich davon ab, wie die Chose ausgerollt ist und ob man nur INTERN oder auch EXTERN drauf zugreifen will oder soll oder muß.


"Intern" reicht es normalerweise aus, über die Exchange-Verwaltung unter "Zertifikate" ein neues zu installieren. Self-Signed reicht. Exchange macht alles für einen automatisch, angefangen von der Erstellung bis hin zur Zuweisung des neuen Zertifikates an die richtigen Stellen. (Wobei ich grad nicht 100%ig sicher bin, wie es mit der Verteilung in die "Vertrauenswürdigen Speicher" der Clients aussieht. Evtl selber nachprüfen und ggf. per GPO an die Clients zuweisen.)

Extern wird es schwieriger, besonders, wenn "Fremde" auch zugreifen sollen. Dann muß ein offiziell signiertes Zertifikat her, damit nicht jeder Zugriff als "Nicht vertrauenswürdig" bezeichnet wird und natürlich insbesondere, damit auch jeder Gegenüber weiß, daß ihr das tatsächlich seid und nicht irgendwer.

Kostenlos ginge... via Let's Encrypt oder so... aber das sollte nur der allerletzte Ausweg sein.

Ein ordentliches Zertifikat kostet Geld und das turnusgemäß (keine Einmalzahlung).


Selber eine PKI einrichten nur wegen Exchange... kann man machen, ist aber overkill.


TLDR: Die 125 Euronen fallen an für a) Browser aufmachen b) Exchange-Admin-Website aufrufen c) Paarmal klicken. Üblicherweise dauert das maximal 5 Minuten. Plus natürlich die Bereitstellung des Zugriffs selber.

Dieser Beitrag wurde von RalphS bearbeitet: 07. August 2017 - 18:56

[dernoname]

Danke für die Input,

ich hab das Zertifikat nun selbst erstellt und eben erfolgreich eingespielt. Hilfreich war diese Anweisung:


http://www.msblog.eu...ikat-erstellen/


Zum Glück war die Zertifizierungsstelle bereits auf dem Domänen Controller installiert, das hat die Arbeit vereinfacht. Sollte das bei jemanden fehlen, gibt es hier noch ein Tutorial dazu:

https://www.msblog.e...e-installieren/


Im Endeffekt hat es keine 10 Minuten gedauert bis alles eingerichtet war.

[DanielDuesentrieb]

Zitat

(Wobei ich grad nicht 100%ig sicher bin, wie es mit der Verteilung in die "Vertrauenswürdigen Speicher" der Clients aussieht. Evtl selber nachprüfen und ggf. per GPO an die Clients zuweisen.)

Ohne GPO wissen die Clients nichts davon und bringen entsprechende Fehlermeldungen.

Zitat

Zum Glück war die Zertifizierungsstelle bereits auf dem Domänen Controller installiert,

Das ist in der Tat Glück, dann ist das ja keine Arbeit.

Nur mal so am Rande: Auch die CUs sind nicht ganz unwichtig und zum Teil selbstverständliche Funktionen (Scan-to-E-Mail am Drucker) funktionieren erst nach den aktuellen CUs. Kein Scherz, selber erlebt. Und auch sicherheitsmäßig ist die Installation nicht verkehrt. Man muss es ja nicht direkt 4x im Jahr machen. Aber 1x im Jahr das aktuelle CU drauf ist empfehlenswert.

[RalphS]

Daniel: Soviel ist klar. Ich bezog mich darauf, nicht im Stübchen gehabt zu haben, ob Exchange diese Verteilung selbst mit in die Wege leitet oder nicht.

Na jedenfalls, wenn es jetzt funktioniert, dann ist es doch gut. Trotzdem würde ich dringend ans Herz legen wollen, daß wenn man Exchange ausgerollt hat, daß auch jemand im Haus ist, welcher das Ding auch administrieren kann.

Sonst ist man mit sowas wie Exchange Online besser beraten.

[dernoname]

Zitat (RalphS: 08. August 2017 - 11:24)

Na jedenfalls, wenn es jetzt funktioniert, dann ist es doch gut. Trotzdem würde ich dringend ans Herz legen wollen, daß wenn man Exchange ausgerollt hat, daß auch jemand im Haus ist, welcher das Ding auch administrieren kann.

Sonst ist man mit sowas wie Exchange Online besser beraten.

Ich oute mich mal als Exchange n00b. Ich hab wenig bis garkeine Ahnung - aber es läuft.
Es läuft seit 2 Jahren Störungsfrei. Bis auf ein paar kleine Änderungen im ECP mache ich nichts.
Da wir lediglich 12 Postfächer haben und dessen User anspruchslos sind (z.B. kein OWA, keine Verschlüsselung) ist auch kein Administrationsaufwand vorhanden.

Und in einem Kleinunternehmen in dem ich als One-Man-Show 5 Server, das komplette Netzwerk, Backup, Storage, Datev und noch viele andere Dinge betreue und zu tun habe, so bleibt halt das ein oder andere auf der (Wissens-)strecke.

Natürlich kann man viel mehr machen, vor allem wenn man Manpower hat was einen gewissen Schulungs-/Wissenstand hat.

Man sollte aber immer die Kirche im Dorf lassen und nicht mit Kanonen auf Spatz schiessen.

Wir können es uns leider nicht leisten, mehrer tausend Euros an Schulung auszugeben, erst recht nicht wenn alles läuft und vordergründig kein akuter Bedarf da ist.

Es wäre schön, wenn man für jedes Fachgebiet mindeste 2 Leute hat, vor allem weil ja mal einer im Urlaub ist. Aber in einem Unternehmen mit 40 Mitarbeiter kann man eben keine IT Abteilung mit 10 man unterbringen.

Selbst bei meinem alten Arbeitgeber (Versicherung mit 600 Innendienstmitarbeiter) hatten wir damals nur 7 Admins für die Netzwerkbetreuung inklusive aller Server.

[RalphS]

Und deswegen auch der Hinweis auf Exchange Online.

Sorry, falls Du das als Angriff verstanden haben solltest; so war das nicht angedacht gewesen. Kommunikation ist nur einfach kritisch: Jede Minute, wo man nicht erreichbar ist, kann ein Auftrag weg sein (brauch ich Dir sicher nicht zu sagen).

Wenn also eine Lösung da wäre, die "einfach funktioniert", dann wäre das zumindest imo die bessere Option.

Und in der Hoffnung, daß Du das jetzt nicht gegen Dich oder Euch auslegst: für das, was Du schreibst, klingt es zumindest so, als ob Exchange völlig überdimensioniert wäre. Und wenn Du nur alleine da bist, der da was tun kann: Einmal DATEV erwähnt und ich frag mich, wofür Du noch Zeit haben willst.
Daher: Ja, da müßte noch jemand her. Ja, mir ist klar, daß "einer reicht ja, der kann das ja alles gleich mit machen" üblich ist. Ja, mehr Manneln kosten Geld. Und ja, wenn der eine Mann (Du) ausfällt, dann gibt es womöglich ein geschäftskritisches Problem. (14d im Urlaub und nicht erreichbar und am Tag #1 geht der Server kaputt?... Und nun?) Ist Dir sicherlich ebenfalls nichts Unbekanntes und ich renne offene Türen bei Dir ein... der Punkt ist halt aber auch, wenn es Dir nicht erfolgreich gelingt, noch jemanden mit ins Boot zu bekommen, dann mußt Du Dir überlegen, solche Klopper wie Exchange in irgendeiner Form (administrativ) loszuwerden.

Denn allein dafür braucht man normalerweise schon mehr als einen Administrator, und da reden wir noch nicht von DATEV & Co.


Du hattest was anderes gemeint gehabt damit, aber Deinen Ausführungen zufolge schießt Du grad nicht mit Kanonen auf Spatzen, sondern mit einer Ameise auf fünf Elefanten... und irgendwas sagt mir, daß Du von "Auszeit" schon länger nix gehört hast. Daran muß sich was ändern. Und das sagt Dir ein Admin.