This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNS mittels PPTP-VPN (Exchange 2007)

Hallo Alle zusammen!

Ist es möglich DNS im Ziellauflwerk eines PPTP-VPNs auflösen zu lassen? - Bei SSL-VPN funktioniert dies hervorragend ohne das ich bewusst etwas eingestellt hätte.

Hintergründe:
Ein Windows Mobile 6.1 Handy soll auf einen Microsoft Exchange Server 2007 mittels https zugreifen können, der hinter einer Astaro ASG 7.3 liegt. Der FQDN des Netzwerks lautet ***.local und kann somit durch DNS-Server im Internet nicht aufgelöst werden. Der Exchange-Server verwendet allerdings ein Zertifikat das seinen FQDN bescheinigt, also "srv-***-002.***.local". Der Versuch mittels PPTP-VPN und IP Zugriff zu erhalten schlug fehl, weil das Zertifikat einen Namen und keine IP erwartet.

Das Windows Mobile 6.1. Handy kann grundsätzlich auch L2TP-VPN, aber ich weiss nicht DNS damit unterstützt wird und eine Einrichtung von L2TP over IPsec gelingt mir grundsätzlich noch nicht. Für eine Anleitung (How to) wäre ich sehr dankbar.

MfG, MR

This thread was automatically locked due to age.

0 The-real-BOFH over 15 years ago

Ich sehe da zwei Möglichkeiten:

In beiden Fällen kannst Du Dir das VPN sparen:

Installiere auf dem Exchange-Server ein sog. SAN - Zertifikat (Subject Alternativ Name), daß interne wie externe URL enthält. Lege im Exchange die externe URL fest.

Ad 1) Mach auf der Firewall ein Port-Forwarding von der externen Karte auf den Exchange-Server für Port 443. Trage die Externe Adresse des Exchange-Servers im DNS ein und lasse den Eintrag auf die externe IP der Firewall zeigen.

Ad 2) (Die bessere Alternative) Installiere einen ISA -Server 2006 und mach ein sog. Web Server Publishing (=Reverse Proxy-Funktion) für die die OWA-Adresse des Exchange-Servers zzgl. des virtuellen Verzeichnisses /activesyncserver. Dazu mußt Du das Exchange SSL--SAN-Zertifikat auf dem Exchange Server exportieren und auf dem ISA-Server importieren und außerdem die externe Adresse (URL) des Exchange-Servers in die HOSTS des ISA-Servers eintragen und auf die INTERNE Adresse des Exchange-Servers zeigen lassen. Trage die Externe Adresse des Exchange-Servers im DNS ein und lasse den Eintrag auf die externe IP des ISA Servers zeigen.

HTH,

BOFH
Cancel
Vote Up 0 Vote Down

Cancel
0 lucky_mr74 over 15 years ago in reply to The-real-BOFH

Vielen Dank für Deine Antwort!!!

Diese Variante ist genau nach meinem Geschmack:
Installiere auf dem Exchange-Server ein sog. SAN - Zertifikat (Subject Alternativ Name), daß interne wie externe URL enthält. Lege im Exchange die externe URL fest.

Hast du zufällig noch einen Tipp, wie man das SAN-Zertifikat erzeugt und wie man die externe URL im Exchange einstellt. Habe bereits danach gesucht, aber nichts passenden entdecken können.
Cancel
Vote Up 0 Vote Down

Cancel
0 The-real-BOFH over 15 years ago in reply to lucky_mr74

Hi!

Versuchs mal hier:

kb931351 How to add a Subject Alternative Name to a secure LDAP certificate

Oder so:

Wenn man eine eigene Zertifizierungsstelle betreibt und das Stammzertifikat dieser z.B.: über Gruppenrichtlinien auf alle Clients verteilt hat, dann kann man natürlich auch mit dieser CA ein SAN-Zertifikat anfordern. Dazu sind wenige Änderungen erforderlich. Zuerst muss man auf der Zertifizierungsstelle die SAN-Optionen freischalten

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc

Der Neustart der Zertifizierungsstelle ist erforderlich. Danach kann man auch SAN-Zertifikate über den Browser unter http://caserver/certsrv anfordern. Im Feld "Attributes" muss man einfach alle Namen in der folgenden Form addieren:

san[:D]ns=owa&owa.firma.de&activesync.firma.de&mobil.firma.de

Trag hier einfach entsprechend alle benutzen URLs ein.

Gruß,

BOFH
Cancel
Vote Up 0 Vote Down

Cancel