Assassin 13 Geschrieben 18. Mai 2016 Melden Teilen Geschrieben 18. Mai 2016 Servus, Vieleicht kann mir hier ja jemand helfen, bzw. eine Antwort geben, da ich zum Thema Split-DNS unterschiedliche Themen finden was die Einstellungen angehen. Nehmen wir als Beispiel einen Server 2008R2 mit dem DNS. SplitDNS sollte halt für einen Exchange Server 2013 eingerichtet werden, wo mehrere Outlook 2016 Clients dran hängen. es gibt da z.B. Variante1: https://www.psw-group.de/newsletter/domains-anleitung.pdf es wird nur eine neue Zone erstellt für mail.meinedomäne.de, der Autodiscover eintrag wird hier aber in der Lokalen domäne mit eingetragen unter _tcp variante2: http://www.msexchange.org/articles-tutorials/exchange-server-2010/management-administration/exchange-autodiscover-part2.html es wird eine neue Zone erstellt für meinedomäne.de, darin werden A-Records gemacht für mail und autodiscover variante3: http://colleago.com/renew-exchange-2010-ucc-ssl-certificate/#! das selbe wie bei varainte 2, nur das statt A-Records gleich CNAME einträge gemacht werden Variante4: es werden zwei zonen erstellt, jeweils für mail.meinedomäne.de und autodiscover.meinedomäne.de. darin ist jeweils die interne IP des Servers angegben (übergeordnete domäne) und variante5: es wird eine zone erstellt für mail.meinedomäne.de, darin wird ein SRV eintrag für _autodiscover für den dienst _tcp eingerichtet, der auf mail.meinedomäne.de zeigt Das sind die dinge, die ich so mitlerweile kennen gelernt habe...aber welcher dafon ist den nun der korrekte weg? ich denke mal variante 4, oder? Zitieren Link zu diesem Kommentar
Nobbyaushb 1.479 Geschrieben 18. Mai 2016 Melden Teilen Geschrieben 18. Mai 2016 Moin, Variante 1 nehme ich nicht, 2 und 3 unterscheiden sich nur durch den Typ, Effekt für die User ist der gleiche, allerdings musst du dann auch www. usw pflegen, wenn ihr weitere sub-Domains haben solltet, müssten die auch alle rein, deshalb nimmt man mittlerweile Variante 4 mit jeweils einer eigenen Zone für mail und autodiscover. Also ich nehme mittlerweile immer 4. ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 18. Mai 2016 Melden Teilen Geschrieben 18. Mai 2016 Kann ich nur zustimmen. Ausnahme, der Kunde hat bereits Split-DNS im Einsatz, dann gibt es ja die notwendigen Zonen bereits. C-names sind keine gute Idee, weil dort afair zumindest einmal eine Warnung im Outlook aufpoppt. Bye Norbert Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 18. Mai 2016 Melden Teilen Geschrieben 18. Mai 2016 Moin, es hängt vom Gesamtbild ab. Ich bevorzuge Variante 2 (Zone mit A-/Service-Records); ist aber mit etwas mehr Aufwand verbunden. CNames und Zonen als Ersatz für A-Records verwende ich selten. Wir haben Anwendungen, die bei der Namesauflösung explizit A- oder AAAA Records anfordern und die laufen bei CNames/Zonen gegen die Wand. Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 18. Mai 2016 Melden Teilen Geschrieben 18. Mai 2016 Ich nutzen fast ausnahmslos Variante 2. Bei kleinen Umgebungen sind es eine handvoll Einträge. Bei großen Umgebungen ist Split DNS fast immer vorhanden. Zitieren Link zu diesem Kommentar
Assassin 13 Geschrieben 18. Mai 2016 Autor Melden Teilen Geschrieben 18. Mai 2016 und das funktioniert reibunslos mit Outlook 2013/2016? Bei einem Kunden haben wir z.B. SBS2011 im einsatz, allerdings mit dem Pop3 Connector (vorerst bis der Kunde eine Statische IP Adresse hat) Split DNS eingerichtet wie in Variante4. Eigenes Exchange Zertifikat entsprechend erstellt. Beim Ersten Start finden die Outlook 2016 clients auch alle einstellungen brav, gibt auch keine Lizenzwarung oder dergleichen. Abruf geht, auch abwesenheitsassistent. Aber irgendwann mittem beim Arbeiten kommt auf einmal ein Zertifikatsfehler wo der untere Punkt nicht erfüllt wird (Name auf dem Sicherheitszertifikat ungültig). Oben steht "autodiscover.meinedomäne.de" also die externe Domäne. Diese ist doch eigentlich über das SplitDNS nach intern umgeleitet auf den Exchange...darum wundert es mich, warum irgendwann nach einigen Minuten im Outlook im lokalen Netzwerk auf einmal die meldung kommt. Was auch nicht geht im Outlook: Senden als z.B. Info (also ein anderer Benutzer). Das geht nur am anfang wenn ich den benutzer über das "von" feld auswähle. Auch ein paar minuten nachher geht es noch nachdem das Outlook profil neu eingerichtet wurde. Aber nach ein paar minuten geht dies nicht mehr durch die vorauswahl in dem "von" feld, ich müsste den eintrag erst wieder rauslöschen, und anschließend den Benutzer wieder neu auswählen. Mache ich den cache modus vom outlook aus, geht es immer. Verstehe ich absolut nicht warum es das so macht, dabei sind die profile und auch die autocompletecache dateien gelöscht...und trotzdem geht es nur für ein paar minuten Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 18. Mai 2016 Melden Teilen Geschrieben 18. Mai 2016 (bearbeitet) Welche Namen stehen im Zertifikat und welche Zonen hast du wie intern angelegt? Zusätzliche Fehlerquelle ist ein Proxy Server am Client. bearbeitet 18. Mai 2016 von NorbertFe Zitieren Link zu diesem Kommentar
Assassin 13 Geschrieben 18. Mai 2016 Autor Melden Teilen Geschrieben 18. Mai 2016 ersteinmal nur die wichtigsten:"mail.meinedomäne.de", "meinedomäne.de", "SRV01.meinedomäne.local",und "autodiscover.meinedomäne.de"...ich glaube es könnte damit zusammen hängen das ich "meinedomäne.local" vergessen habe, oder? -.- als Zonen habe ich: autodiscover.meinedomäne.de mail.meinedomäne.de (activesync,...) in den jeweiligen zonen einen A Record eintrag gemacht mit der internen Server ip (192.168.1.250), namen freigelassen sodass der übergeordnete name verwendet wird Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 18. Mai 2016 Melden Teilen Geschrieben 18. Mai 2016 Du benötigst genau zwei Namen... Autodiscover.deinedomain.tld und mail.deindomain.tld (wobei das genau die Namen oder Zonen sind, die du natürlich im Split-DNS konfiguriert hast). KEIN weiterer Namen wird im Zertifikat benötigt. Und schonmal gar keine internen Host oder Domain-Names. Zitieren Link zu diesem Kommentar
Assassin 13 Geschrieben 18. Mai 2016 Autor Melden Teilen Geschrieben 18. Mai 2016 (bearbeitet) Die Internen namen standen aber sogar ab werk im installierten Exchange Zertifikat mit drin beim SBS O_O auch wenn ich diesen Assistenten von der SBS konsole nutze und er mir nen neues Zertifikat baut, steht auch der Server selber mit seinem interen FQDN mit drin *kopfkratz* oder macht der SBS das weil er dieses zertifikat als "Hauptzertifikat" nimmt für die default website im IIS, damit es im Intranet wenn man auf diese Companyweb-Site zugreift es nicht auch noch zu einem Zertifikatfehler kommt? Aber stört es denn wenn da mehrere Namen zusätzlich mit drin stehen? Und dann noch eine frage - beim erstellen eines neuen Exchange-Zertifikats kann man ja auch ein Wildcard Zertifikat erstellen wenn ich das richtig mitbekommen habe, also z.B. "*.meinedomäne.de" aber dem traue ich nicht so recht...oder geht das genauso? *edit* Achso, wegen diesem Zertifikatsfehler der irgendwann mal erscheint...wenn man sich dieses Zertifikat anschaut, ist dies eins vom externen Domänenanbieter, wo die E-Mails liegen O_O also das Outlook versucht sozusagen ständig irgendwelche adressen über Autodiscover rauszufinden, und greift irgendwie doch noch nach extern, und kommt so an das nicht uns gehörende Zertifikat, sondern an das unseres E-Mail Anbieters, bzw. des WebDomain hosters... aber warum macht Outlook das? nslookup auf autodiscover.meinefirma.de auf den Clients führt auf die IP des lokalen Servers hier im LAN...echt unbegreiflich sowas...ich will das alte Outlook 2010 wieder haben :( bearbeitet 18. Mai 2016 von Assassin Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 18. Mai 2016 Melden Teilen Geschrieben 18. Mai 2016 Erstens schriebst du bis eben nichts vom SBS sondern von Exchange 2013 und zweitens ... mir doch egal. Trotzdem braucht man nur 2 Namen. ;) Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 18. Mai 2016 Melden Teilen Geschrieben 18. Mai 2016 Interne Namen werden auch seit geraumer Zeit von keiner CA mehr akzeptiert. Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 18. Mai 2016 Melden Teilen Geschrieben 18. Mai 2016 Naja von internen schon. ;) Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 18. Mai 2016 Melden Teilen Geschrieben 18. Mai 2016 Sowas will doch keiner... Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 18. Mai 2016 Melden Teilen Geschrieben 18. Mai 2016 Naja intern störts ja nicht unbedingt ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.