Split DNS funktioniert nicht

[magicpeter 11]

Hi,

 

wir haben einen neuen Exchange 2013 Server aufgebaut und der läuft.

emails kommen rein und gehen raus.

 

 

Nach der Installation des Exchange 2013 Servers haben als nächsten Schritt ein Zertifikat beantragen. Das Zertifikat wurde von der internen CA ausgestellt. (ServerEXCA)

 

Hier steht alles genau beschrieben:

 

http://www.msblog.eu

 

Alle Outlooks können ohne Probleme und ohne Sicherheitswahrnung mit dem Exchange kommunizieren.

 

Wir haben dann ein Zertikat (remoteZert)für den externen Zugriff eingerichtet und das funktioniert auch.

https://remote.domain.de/owa ist verschlüsselt und alles läuft. So das auch Outlooks von externe sich mit dem Exchange verbinden können.

 

Im DNS Server wurden 2 zusätzliche Zonen unter forward-Lookupzone eingerichtet

 

remote.domaine.de

 

und 

 

mail.domain,de

 

Die haben jeweils einen A-Record auf die Interne-IP-Adresse des Exchange Servers bekommen. (192.168.8.102)

 

 

Nur Intern, wenn sich die Outlooks 2010 mit dem Exchange verbinden kommt die Fehlermeldung:

 

 

SERVEREX.domain.local

 

Sicherheitszertifikat stammt von einer vertrauenswürdigen Zertifizierungstelle.

 

Das Datum des Sicherheitszertifikats ist gültig.

 

x Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Name der WebSite überein.

 

 

Wenn ich jetzt in der Exchange Verwaltung unter Server / Zertifikate für das Interne Zertifikat (ServerEXCA) den Port IIS aktiviere funktioniert die Interne Verbindung mit den Outlooks wieder ohne Fehlermeldung.

 

Aber die externen Outlooks können sich jetzt nicht mehr Verbinden. Dafür muß ich wieder für das Zertifikat (remoteZert) für die Domain remote.domain.de anpassen und den Port IIS aktivieren.

 

Leider läßt sich nicht bei beiden Zertifikaten der Port IIS aktivieren.

 

 

Was kann ich da machen, damit das nicht mehr erscheint?

 

Wie kann ich das korrigieren?

 

Danke

[NorbertFe 2.041]

Wie lauten denn die internalURLs deines Exchange?

 

Bye

Norbert

 

PS: Dein Betreff ist falsch, da ich mal davon ausgehe, dass Split-DNS funktioniert. ;)

bearbeitet 11. September 2013 von NorbertFe

[magicpeter 11]

Hi Norbert,

 

das bekomme ich beim beim Outlook -EMail Autokonfigurationstest heraus:

 

<?xml version="1.0" encoding="utf-8"?>
<Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006">
  <Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
    <User>
      <DisplayName>Administrator</DisplayName>
      <LegacyDN>/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=administrator</LegacyDN>
      <AutoDiscoverSMTPAddress>administrator@test-europe.com</AutoDiscoverSMTPAddress>
      <DeploymentId>c9813941-f3f1-429e-a833-aee9a01747bd</DeploymentId>
    </User>
    <Account>
      <AccountType>email</AccountType>
      <Action>settings</Action>
      <MicrosoftOnline>False</MicrosoftOnline>
      <Protocol>
        <Type>EXCH</Type>
        <Server>127723e0-71ce-4bc5-87ec-f1c8192c12d8@test-europe.com</Server>
        <ServerDN>/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=127723e0-71ce-4bc5-87ec-f1c8192c12d8@test-europe.com</ServerDN>
        <ServerVersion>73C082C8</ServerVersion>
        <MdbDN>/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=127723e0-71ce-4bc5-87ec-f1c8192c12d8@test-europe.com/cn=Microsoft Private MDB</MdbDN>
        <PublicFolderServer>serverex.testeurope.local</PublicFolderServer>
        <AD>SERVERDC.testeurope.local</AD>
        <ASUrl>https://serverex.testeurope.local/EWS/Exchange.asmx</ASUrl>
        <EwsUrl>https://serverex.testeurope.local/EWS/Exchange.asmx</EwsUrl>
        <EmwsUrl>https://serverex.testeurope.local/EWS/Exchange.asmx</EmwsUrl>
        <EcpUrl>https://serverex.testeurope.local/ecp/</EcpUrl>
        <EcpUrl-um>?rfr=olk&p=customize/voicemail.aspx&exsvurl=1&realm=testeurope.local</EcpUrl-um>
        <EcpUrl-aggr>?rfr=olk&p=personalsettings/EmailSubscriptions.slab&exsvurl=1&realm=testeurope.local</EcpUrl-aggr>
        <EcpUrl-mt>PersonalSettings/DeliveryReport.aspx?rfr=olk&exsvurl=1&IsOWA=<IsOWA>&MsgID=<MsgID>&Mbx=<Mbx>&realm=testeurope.local</EcpUrl-mt>
        <EcpUrl-ret>?rfr=olk&p=organize/retentionpolicytags.slab&exsvurl=1&realm=testeurope.local</EcpUrl-ret>
        <EcpUrl-publish>customize/calendarpublishing.slab?rfr=olk&exsvurl=1&FldID=<FldID>&realm=testeurope.local</EcpUrl-publish>
        <EcpUrl-photo>PersonalSettings/EditAccount.aspx?rfr=olk&chgPhoto=1&exsvurl=1&realm=testeurope.local</EcpUrl-photo>
        <EcpUrl-extinstall>Extension/InstalledExtensions.slab?rfr=olk&exsvurl=1&realm=testeurope.local</EcpUrl-extinstall>
        <OOFUrl>https://serverex.testeurope.local/EWS/Exchange.asmx</OOFUrl>
        <UMUrl>https://serverex.testeurope.local/EWS/UM2007Legacy.asmx</UMUrl>
        <OABUrl>https://serverex.testeurope.local/OAB/03f250bb-9563-4f36-b0f7-92b4566188ed/</OABUrl>
        <ServerExclusiveConnect>off</ServerExclusiveConnect>
      </Protocol>
      <Protocol>
        <Type>EXPR</Type>
        <Server>serverex.testeurope.local</Server>
        <SSL>Off</SSL>
        <AuthPackage>Ntlm</AuthPackage>
        <ServerExclusiveConnect>on</ServerExclusiveConnect>
        <CertPrincipalName>None</CertPrincipalName>
        <GroupingInformation>Default-First-Site-Name</GroupingInformation>
      </Protocol>
      <Protocol>
        <Type>WEB</Type>
        <Internal>
          <OWAUrl AuthenticationMethod="Basic, Fba">https://serverex.testeurope.local/owa/</OWAUrl>
          <Protocol>
            <Type>EXCH</Type>
            <ASUrl>https://serverex.testeurope.local/EWS/Exchange.asmx</ASUrl>
          </Protocol>
        </Internal>
      </Protocol>
      <Protocol>
        <Type>EXHTTP</Type>
        <Server>serverex.testeurope.local</Server>
        <SSL>Off</SSL>
        <AuthPackage>Ntlm</AuthPackage>
        <ASUrl>https://serverex.testeurope.local/EWS/Exchange.asmx</ASUrl>
        <EwsUrl>https://serverex.testeurope.local/EWS/Exchange.asmx</EwsUrl>
        <EmwsUrl>https://serverex.testeurope.local/EWS/Exchange.asmx</EmwsUrl>
        <EcpUrl>https://serverex.testeurope.local/ecp/</EcpUrl>
        <EcpUrl-um>?rfr=olk&p=customize/voicemail.aspx&exsvurl=1&realm=testeurope.local</EcpUrl-um>
        <EcpUrl-aggr>?rfr=olk&p=personalsettings/EmailSubscriptions.slab&exsvurl=1&realm=testeurope.local</EcpUrl-aggr>
        <EcpUrl-mt>PersonalSettings/DeliveryReport.aspx?rfr=olk&exsvurl=1&IsOWA=<IsOWA>&MsgID=<MsgID>&Mbx=<Mbx>&realm=testeurope.local</EcpUrl-mt>
        <EcpUrl-ret>?rfr=olk&p=organize/retentionpolicytags.slab&exsvurl=1&realm=testeurope.local</EcpUrl-ret>
        <EcpUrl-publish>customize/calendarpublishing.slab?rfr=olk&exsvurl=1&FldID=<FldID>&realm=testeurope.local</EcpUrl-publish>
        <EcpUrl-photo>PersonalSettings/EditAccount.aspx?rfr=olk&chgPhoto=1&exsvurl=1&realm=testeurope.local</EcpUrl-photo>
        <EcpUrl-extinstall>Extension/InstalledExtensions.slab?rfr=olk&exsvurl=1&realm=testeurope.local</EcpUrl-extinstall>
        <OOFUrl>https://serverex.testeurope.local/EWS/Exchange.asmx</OOFUrl>
        <UMUrl>https://serverex.testeurope.local/EWS/UM2007Legacy.asmx</UMUrl>
        <OABUrl>https://serverex.testeurope.local/OAB/03f250bb-9563-4f36-b0f7-92b4566188ed/</OABUrl>
        <ServerExclusiveConnect>On</ServerExclusiveConnect>
        <CertPrincipalName>None</CertPrincipalName>
      </Protocol>
      <PublicFolderInformation>
        <SmtpAddress>EX2013@test-europe.com</SmtpAddress>
      </PublicFolderInformation>
    </Account>
  </Response>

 

Kannst du damit etwas anfangen?

 

Danke

Achja, das habe ich auch schon probiert.

 

Hat kurz einen Erfolg gebracht, dann kam aber wieder die Meldung mit dem Zertifikat.

 

Auf dem Server serverDC im DNS folgende Einträge setzen

Neue Zone

test-europe.com

und dann

Unter test-europe.com und testeurope.local Forward.lookupzone


Darauf rechts Klick weitere neue Einträge

SRV

Dienst: _autodiscover

Protokoll_ _tcp

Portnummer: 443

Host der diesen Dienst anbietet: serverex.testeurope.local  oder auch remote.test-europe.com  (Dieser Host muß in dem Zertifikat enthalten sein)



Auf dem Client ipconfig /flushdns

den DNS Cache löschen


Outlook auf dem Client starten

Dort dann auf dem Outlook Symbol in der Systemtray "E-Mail Autokonfiguration testen"

Dort kann man dann unter Protokolle die Angaben der Autoermittlung sehr gut erkennen auf welchen Hosts die autodiscovery-Datei liegt.
 

 

Hat leider nicht wirklich richtgi geholen.

[NorbertFe 2.041]

Na wenn testeurope.local angesprochen wird, aber nur test-europe.com im Zertifikat steht, ist doch eigentlich klar, warum es nen Fehler gibt, oder?

 

Bye

Norbert

[magicpeter 11]

Wie kann ich denn einstellen das nur oder als erstes test-europe.com angesprochen wird?

Damit der Fehler nicht mehr kommt.

 

Danke für die Info

[NorbertFe 2.041]

Indem du die internalURL der virtuellen Verzeichnisse an deinem Exchange korrekt konfigurierst.

 

bye

Norbert

[magicpeter 11]

Das ist aber mal eine Aussage und wie oder wo mache ich das?

 

Das hört sich nicht so einfach an...

 

Weist du wie?

 

und sagst du mir das auch?

 

Wäre echt nett...

[NorbertFe 2.041]

Google wieder kaputt auf deiner Seite? Gibt's inzwischen gefühlte 1000 Blogeinträge für sowas:

http://virtualbarrymartin.me/2009/12/29/how-to-setup-exchange-2010-to-use-a-single-certificate-for-internal-and-external-use/

 

bye

Norbert

[magicpeter 11]

Sorry, wir setzen einen Exchange 2013 ein und das läuft das SCript nicht.

 

Alle Virtuellen Verzeichnisse wurden unter der Exchange Verwaltungsoberfläsche gesetzt.

 

Und geprüft:

 

 

Get-AutodiscoverVirtualDirectory | ft Identity,InternalURL,ExternalUrl

Get-webservicesVirtualDirectory | ft Identity,InternalURL,ExternalUrl

Get-OabVirtualDirectory | ft Identity,InternalURL,ExternalUrl

Get-OwaVirtualDirectory | ft Identity,InternalURL,ExternalUrl

Get-EcpVirtualDirectory | ft Identity,InternalURL,ExternalUrl

Get-ActiveSyncVirtualDirectory | ft Identity,InternalURL,ExternalUrl

Alle da nur der Get-AutodiscoverVirtualDirectory | ft Identity,InternalURL,ExternalUrl bringt keine Verzeichnisse zurück.

 

Die Zertifizioerungsmeldung kommt aber immer noch beim Start von Outlook.

 

Wo Hakt es denn jetzt noch?

Hi Norbert,

 

nur noch mal zur Erinnerung.

 

<<<

Wenn ich jetzt in der Exchange Verwaltung unter Server / Zertifikate für das Interne Zertifikat (ServerEXCA) den Port IIS aktiviere funktioniert die Interne Verbindung mit den Outlooks wieder ohne Fehlermeldung.

 

Aber die externen Outlooks können sich jetzt nicht mehr Verbinden. Dafür muß ich wieder für das Zertifikat (remoteZert) für die Domain remote.domain.de anpassen und den Port IIS aktivieren.

 

Leider läßt sich nicht bei beiden Zertifikaten der Port IIS aktivieren.

<<<

 

Das wäre so einfach... (o; wenn es ginge...

[magicpeter 11]

Hallo,

 

Problem wurde gelöst....

 

Folgender Lösungsweg wurde beschritten.

 

Dies kann mit folgenden Konfigurationsschritten umgangen werden:

Die internen und externen URLs für die virtuellen Verzeichnisse auf dem Exchange Server müssen auf die externen URLs eingestellt werden:
 

Diese Einstellung muss für alle virtuellen Verzeichnisse gemacht werden. für die gelb markierten virtuellen Verzeichnisse in der folgenden Grafik kann dies über die Exchange Verwaltungswebsite gemacht werden:

 

 

 

Natürlich müssen wir nun auch noch dafür sorgen, dass interne Clients die "externe" URL auch auflösen können. Dazu werden auf dem internen DNS-Server eigene Zonen für diese URL erstellt:

 

 

 

 

Darin wir dann ein leerer A-Record mit der IP des Exchange Servers erstellt:

 

 

 

Dies reicht aber noch nicht, um die Zertifikatsfehlermeldungen beim öffnen des Outlooks los zu werden. Das Problem ist nun noch der Autodiscover Dienst.

Wenn man über die Exchange Verwaltungsseite das virtuelle Verzeichnis für Autodiscover öffnet, gibt es keine Möglichkeit interne oder externe URLs zu definieren. Dies muss über die Exchange Shell gesetzt werden. Schauen wir uns zuerst einmal an, was per Default als interne URL gesetzt ist. Dies können wir mit folgendem Befehl:

Get-ClientAccessServer | FL AutoDiscoverServiceInternalUri

Hier wird die interne URL zum Autodiscoverdienst ausgegeben. Diese muss nun auf die externe URL umgestellt werden:

Set-ClientAccessServer -Identity <Netbiosname des Exchange Servers> -AutoDiscoverServiceInternalUri "https://autodiscover.mydomain.com/autodiscover/autodiscover.xml

Aber auch jetzt gibt es noch Zertifikatsfehlermeldungen beim öffenen des Outlook. Dies liegt daran, dass im IIS noch nicht auf beiden Websites (Frontend - und Backendwebsite) das offizielle Zertifikat zugewiesen ist.

Als letzter Schritt muss also noch auf beiden Webs im ISS unter "Bindings" das offizielle Zertifikat zugewiesen werden.

 

Auf folgenden Seiten wurde die Informationen veröffentlicht:

 

http://it-blog.bru.ch/2013/02/exchange-2013-in-einer-local-domane.html

http://comegu.de/ssl-zertifikat-auf-windows-server-mit-iis7-einrichten-howto.html

 

So klappt es prima.

 

Wichtig nach den Änderugnen den Exchange Server einmal neustarten.

 

Dann klappt alles prima und keine Meldung erscheinen mehr beim Outlook start.

bearbeitet 13. September 2013 von magicpeter

[magicpeter 11]

Jetzt gibt es noch ein kleines Problem mit externen Outlooks.

 

Die vergessen die Proxy-Server Einstellungen.. nach dem 2ten mal Outlook starten.

 

 

Anschließend steht in dem https:// Feld nur der lokale Mailserver: serverex.domain.local

 

und die Häkchen beim

 

 

 

Häkchen vor "Nur SSL für Verbindung verwenden"

 

Und ein Häkchen vor dem Nächten Punkt "Verbindung mit Proxyserver herstellen,.."

 

In das nächste Feld Tragen Sie dann folgenden Wert ein.

 

msstd:remote.kundendomain.com

 

sind auch weg

 

Es funkltioniert beim ersten mal alles.

 

emails empfangen und versenden.

 

Warum beim 2ten mal nicht mehr?

 

Was läuft das falsch?

 

Wer schreibt die neuen Daten da rein? )o;

 

Danke für euere Hilfe.

bearbeitet 7. Oktober 2013 von magicpeter

[magicpeter 11]

Sorry, hat keiner eine Idee?

Schade...

[magicpeter 11]

Problem gelöst...

 

 

Exchange Verwaltungsconsole starten
Server / Server / Outlook Anywhere 
Dort den Externen Host der im Zertifikat steht für Intern und Extern eintragen.
remote.kundendomain.com

 

Exchange Verwaltungs Shell starten

 

get-OutlookProvider | fl

 

Set-OutlookProvider -Identity EXCH -CertPrincipalName msstd:remote.kundendomain.com

Set-OutlookProvider -Identity EXPR -CertPrincipalName msstd:remote.kundendomain.com

Set-OutlookProvider -Identity WEB -CertPrincipalName msstd:remote.kundendomain.com

Am PC vor dem Start von Outlook

ipconfig /flushdns

 

Dann gibt es auch keine Fehlermelungen und Anmeldeversuche mehr.

Alles läuft automatisch.

[magicpeter 11]

Moin noch ein kleiner Nachtrag:

 

Da ich ja, die internen und externen URLs für die virtuellen Verzeichnisse auf dem Exchange Server auf die externe URL eingestellt habe benötige ich jetzt doch nur noch ein Zertifikat für die externe URL und nicht mehr für die ganzen internen URLS oder?

 

Mein Internes Zertifikat läuft am 02.09.2015 ab. Dann brauche das doch nicht zu erneuern.

 

Da mein Zertifikat für die externe URL remote.kundendomain.com noch ein Jahr läuft.

 

Das sollte doch klappen oder?

[NorbertFe 2.041]

warte doch einfach bis zum 3.9. dann hast du eine Antwort auf deine Frage.