Seit dem SP1 unterstützt der ISA Server 2006 auch "subject alternate name" (SAN) Zertifikate. Dies macht das Veröffentlichen des Exchange 2007 Servers zum Internet wesentlich einfacher. Auf einigen Seiten ist erklärt, wie man ein SAN Zertifikat in der WEB Oberfläche der Windows 200x Zertifizierungsstelle beantragen kann. Ich meinen Tests wurde dies auch fehlerfrei ausgestellt und am Zertifikat waren keine Fehler zu erkennen. Jedoch hat der WEB-Listener des ISA Servers ein so ausgestelltes Zertifikat nicht als gültig akzeptiert. Eine Ursache habe ich nicht gefunden. Deshalb möchte ich kurz erklären wie man ein SAN Zertifikat für den ISA Server mit der Powershell des Exchange 2007 Server beantragen kann.

  1. Beantragen des Zertifikates

    New-ExchangeCertificate -generaterequest -subjectname "C=DE,DC=Kossert,O=kossert,CN=owa.kossert.com" -domainname owa.kossert.com,autodiscover.kossert.com –PrivateKeyExportable:$True –IncludeAutodiscover –IncludeAcceptedDomains -path c:\certrequest_4isa.txt

    Die Schalter "IncludeAutodiscover" und "IncludeAcceptedDomains" sind optional und sorgen dafür das alle akzeptierten E-Mails Domains in das Zertifikat aufgenommen werden.

  2. Eingabe des Inhaltes der c:\certrequest_4isa.txt Datei in das Webinterface der Zerfizierungsstelle. Das Template für die Zertifikatsausstellung ist "Webserver".
  3. Abspeichern des ausgestellten Zertifikates und Import in den Zertifikasspeicher des Exchange Servers.
  4. Export des Zertikates als *.PFX Datei. Hierbei muss der private Schlüssel mit exportiert werden.
  5. Kopieren der Datei auf den ISA Server und Import des Zertifikats in den Zertifkasspeicher des ISA Servers. Überprüfen das das Zertifikat auch vorhanden ist und nicht versehentlich in den Zertifikatspeicher des angemeldeten Benutzers importiert wurde.
  6. Auswahl des Zertifikats auf dem WEB Listener des ISA Servers.

Beim Verschieben von Postfächern von Exchange 2003 auf Exchange 2007 kommt es gelegentlich vor, dass nach dem erfolgreichen Verschieben des Postfaches und dem Durchlauf des "Cleanup Agents" auf MXS 2003er Seite das Postfach mit einem roten X angezeigt wird. Das Postfach lässt sich auch nicht leeren, da die Meldung kommt, dass es bereits wieder mit einem anderen Benutzer verbunden wurde.

Dies läst sich mit den Anweisungen aus KB940012 oder mit dem darin beschriebenen Hotfix beseitigen.

Da man auf einem zu migrierenden Server ungerne noch einen Hotfix einspielt, hier der Auszug des KB Artikels zur Umgehung des Problem:

To work around this problem, use one of the following methods:

  • Move the mailbox back to original mailbox store.
    Note This operation will fail. However, the stub object will be deleted. (bevorzugte Lösung da sofort durchführbar)
  • Wait for maintenance to clean the stub.