Seit dem SP1 unterstützt der ISA Server 2006 auch "subject alternate name" (SAN) Zertifikate. Dies macht das Veröffentlichen des Exchange 2007 Servers zum Internet wesentlich einfacher. Auf einigen Seiten ist erklärt, wie man ein SAN Zertifikat in der WEB Oberfläche der Windows 200x Zertifizierungsstelle beantragen kann. Ich meinen Tests wurde dies auch fehlerfrei ausgestellt und am Zertifikat waren keine Fehler zu erkennen. Jedoch hat der WEB-Listener des ISA Servers ein so ausgestelltes Zertifikat nicht als gültig akzeptiert. Eine Ursache habe ich nicht gefunden. Deshalb möchte ich kurz erklären wie man ein SAN Zertifikat für den ISA Server mit der Powershell des Exchange 2007 Server beantragen kann.

  1. Beantragen des Zertifikates

    New-ExchangeCertificate -generaterequest -subjectname "C=DE,DC=Kossert,O=kossert,CN=owa.kossert.com" -domainname owa.kossert.com,autodiscover.kossert.com –PrivateKeyExportable:$True –IncludeAutodiscover –IncludeAcceptedDomains -path c:\certrequest_4isa.txt

    Die Schalter "IncludeAutodiscover" und "IncludeAcceptedDomains" sind optional und sorgen dafür das alle akzeptierten E-Mails Domains in das Zertifikat aufgenommen werden.

  2. Eingabe des Inhaltes der c:\certrequest_4isa.txt Datei in das Webinterface der Zerfizierungsstelle. Das Template für die Zertifikatsausstellung ist "Webserver".
  3. Abspeichern des ausgestellten Zertifikates und Import in den Zertifikasspeicher des Exchange Servers.
  4. Export des Zertikates als *.PFX Datei. Hierbei muss der private Schlüssel mit exportiert werden.
  5. Kopieren der Datei auf den ISA Server und Import des Zertifikats in den Zertifkasspeicher des ISA Servers. Überprüfen das das Zertifikat auch vorhanden ist und nicht versehentlich in den Zertifikatspeicher des angemeldeten Benutzers importiert wurde.
  6. Auswahl des Zertifikats auf dem WEB Listener des ISA Servers.

Es gibt ein Update für den ISA Server 2006 welches die im ISA Server 2004 SP3 eingeführten Erweiterungen, auch im ISA Server 2006 nachrüstet.

The ISA Server 2006 Supportability Update package provides ISA Server 2006 with the functionality that was introduced in ISA Server 2004 Service Pack 3. This functionality includes the following:

  • Improvements to the ISA Server Management console. These improvements include a new Troubleshooting node.
  • Improved log viewing functionality.
  • Additional log filter functionality.
  • Diagnostic logging. Over 200 new diagnostic logging events are provided.
  • Integration with Microsoft ISA Server Best Practices Analyzer Tool.

http://support.microsoft.com/kb/939455/en-us

Dieses Problem tritt zunehmend auf und ist sehr vielschichtig. Es tritt in verschiedenen Ausprägungen auch mit dem ISA 2004 auf. Ursache ist eine Änderung im Bereich des Netzwerk Stacks im SP2 von Windows 2003. Es gibt mittlerweile auch einen KB Artikel der sich mit diesem Problem beschäftigt. http://support.microsoft.com/kb/936594 Die Lösung ist das Receive Side Scaling in den erweiterten Eigenschften des Netzwerkkarten Treibers auszuschalten. Dies muss auf dem internen Interface (Anmeldeprobleme) wie auch auf dem externen Interface (PPTP Einwahl) durchgeführt werden. Bestätigt ist das ganze bei HP z.B. DL 360G5 und Dell. Die Option dazu kann je nach Netzwerkkarten Treiber auch anders benannt sein.