Exchange – Änderung der lokalen (internen) Domainnamen auf FQDN

Der folgende Leitfaden zeigt Ihnen, wie Sie die internen/lokalen Namen von Domains auf Ihrem Exchange Server auf vollständige Domains mit einer absoluten Adresse (FQDN) umbenennen können. Die angepassten Domains können Sie nachfolgend mit einem SSL-Zertifikat absichern.

Hinweis: Die Anleitung gilt nur für Exchange 2007, 2010 und 2013. Sie bezieht sich weder auf Windows Server 2012 noch auf Microsoft Small Business Financials (SBF). Die Änderung sollten nur erfahrene Administratoren vornehmen.

Warum kann für nicht vollständige Namen kein SSL-Zertifikat ausgestellt werden?

Seit 1.11.2015 ist es nicht möglich, in die Zertifikate nicht qualifizierte DNS-Namen einzupflegen – es handelt sich um Hostnames, eigene Domains oder reservierte (interne) IP-Adressen. Die Regel stammt von Baseline Requirements des CAB Forums, das Bedingungen für die Ausstellung von Zertifikaten schafft. Weitere Informationen finden Sie in dem Artikel Guidance on Internal Names.

Verwendung von internen Domains wie .local oder.corp war auf den Microsoft Exchange Servern ganz üblich. Diese Namen können jedoch nicht abgesichert werden, weil die Zertifizierungsstelle die DNS-Namen, die den FQDN-Voraussetzungen nicht entsprechen, in das Zertifikat nicht einfügen wird.

Wie kann man das Problem mit FQDN lösen?

Aus der Einführung geht hervor, dass das Zertifikat für die Adressen ohne FQDN nicht erworben werden kann und dass diese Domains auch als SANs nicht abgesichert werden können.

Die Lösung besteht in der „Umbenennung“ der unpassenden Domains wie .local auf vollständige Namen, also auf solche, die unter einer von den TLDs registriert sind (ihr Inhaber ist in der WhoIs-Datenbank der konkreten TLD zu finden).

Umbenennung der Domain

Zur Umbenennung der Domain, die von dem Exchange-Server verwendet wird, müssen in der Serverkonsole die unten stehenden Befehle aufgerufen werden. Aktivieren Sie Exchange Management Shell:

Warnung: Die folgenden Schritte sollten nur erfahrene Serververwalter einleiten. Falls Sie die Bedeutung der folgenden Kommandozeilen nicht kennen, ist es nicht ratsam, sie einzugeben. Für die eventuell verursachten Probleme auf dem Server tragen wir keine Verantwortung.

Die Adresse für den Dienst Autodiscover ändern Sie mit der Eingabe:

Set-ClientAccessServer -Identity Your_Server_Name -AutodiscoverServiceInternalUri https://mail.sslmarket.com/autodiscover/autodiscover.xml

Den Parameter InternalUrl für den Dienst EWS ändern Sie mit:

Set-WebServicesVirtualDirectory -Identity "Your_Server_NameEWS (Default Web Site)" -InternalUrl https://mail.sslmarket.com/ews/exchange.asmx

Falls Sie den Dienst Web-based Offline Address Book verwenden, ändern Sie das Attribut InternalUrl:

Set-OABVirtualDirectory -Identity "Your_Server_Nameoab (Default Web Site)" -InternalUrl https://mail.sslmarket.com/oab

Bei Unified Message Service ändern Sie das Attribut InternetUrl mit der Eingabe:

Set-UMVirtualDirectory -Identity “Your_Server_Nameunifiedmessaging (Default Web Site)” -InternalUrl https://mail.sslmarket.com/unifiedmessaging/service.asmx

Je nach Ihrer Konfiguration können noch folgende Befehle erforderlich sein:

Set-ActiveSyncVirtualDirectory -Identity "HostNameMicrosoft-Server-ActiveSync (Default Web Site)" -InternalUrl https://mail.sslmarket.com/Microsoft-Server-ActiveSync Set-OWAVirtualDirectory -Identity "HostNameowa (Default Web Site)" -InternalUrl https://mail.sslmarket.com/owa Set-ECPVirtualDirectory -Identity "HostNameecp (Default Web Site)" -InternalUrl https://mail.sslmarket.com/ecp Set-OutlookAnywhere -Identity "HostNameRpc (Default Web Site)" -InternalHostname mail.sslmarket.com -InternalClientsRequireSsl $true

Schließlich starten Sie AppPools neu

Nachdem die Änderungen abgeschlossen sind, starten Sie die AppPools neu. Diese Option finden Sie im IIS – bei Application Pools klicken Sie mit der rechten Maustaste an MSExchangeAutodiscoverAppPool und wählen Sie Recycle.