Jump to content

Split DNS - wie ist es denn nun richtig?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Servus,

 

Vieleicht kann mir hier ja jemand helfen, bzw. eine Antwort geben, da ich zum Thema Split-DNS unterschiedliche Themen finden was die Einstellungen angehen.

Nehmen wir als Beispiel einen Server 2008R2 mit dem DNS. SplitDNS sollte halt für einen Exchange Server 2013 eingerichtet werden, wo mehrere Outlook 2016 Clients dran hängen.

 

 

es gibt da z.B. Variante1: https://www.psw-group.de/newsletter/domains-anleitung.pdf

es wird nur eine neue Zone erstellt für mail.meinedomäne.de, der Autodiscover eintrag wird hier aber in der Lokalen domäne mit eingetragen unter _tcp

 

variante2: http://www.msexchange.org/articles-tutorials/exchange-server-2010/management-administration/exchange-autodiscover-part2.html

es wird eine neue Zone erstellt für meinedomäne.de, darin werden A-Records gemacht für mail und autodiscover

 

variante3: http://colleago.com/renew-exchange-2010-ucc-ssl-certificate/#!

das selbe wie bei varainte 2, nur das statt A-Records gleich CNAME einträge gemacht werden

 

Variante4: es werden zwei zonen erstellt, jeweils für mail.meinedomäne.de und autodiscover.meinedomäne.de. darin ist jeweils die interne IP des Servers angegben (übergeordnete domäne)

 

und variante5: es wird eine zone erstellt für mail.meinedomäne.de, darin wird ein SRV eintrag für _autodiscover für den dienst _tcp eingerichtet, der auf mail.meinedomäne.de zeigt

 

 

 

Das sind die dinge, die ich so mitlerweile kennen gelernt habe...aber welcher dafon ist den nun der korrekte weg? ich denke mal variante 4, oder?

 

 

 

Link zu diesem Kommentar

Moin,

 

Variante 1 nehme ich nicht, 2 und 3 unterscheiden sich nur durch den Typ, Effekt für die User ist der gleiche, allerdings musst du dann auch www. usw pflegen, wenn ihr weitere sub-Domains haben solltet, müssten die auch alle rein, deshalb nimmt man mittlerweile Variante 4 mit jeweils einer eigenen Zone für mail und autodiscover.

 

Also ich nehme mittlerweile immer 4.

 

;)

Link zu diesem Kommentar

Moin,

 

es hängt vom Gesamtbild ab.

Ich bevorzuge Variante 2 (Zone mit A-/Service-Records); ist aber mit etwas mehr Aufwand verbunden.

 

CNames und Zonen als Ersatz für A-Records verwende ich selten. Wir haben Anwendungen, die bei der Namesauflösung explizit A- oder AAAA Records anfordern und die laufen bei CNames/Zonen gegen die Wand.

Link zu diesem Kommentar

und das funktioniert reibunslos mit Outlook 2013/2016?

 

Bei einem Kunden haben wir z.B. SBS2011 im einsatz, allerdings mit dem Pop3 Connector (vorerst bis der Kunde eine Statische IP Adresse hat)

Split DNS eingerichtet wie in Variante4. Eigenes Exchange Zertifikat entsprechend erstellt. Beim Ersten Start finden die Outlook 2016 clients auch alle einstellungen brav, gibt auch keine Lizenzwarung oder dergleichen. Abruf geht, auch abwesenheitsassistent. Aber irgendwann mittem beim Arbeiten kommt auf einmal ein Zertifikatsfehler wo der untere Punkt nicht erfüllt wird (Name auf dem Sicherheitszertifikat ungültig). Oben steht "autodiscover.meinedomäne.de" also die externe Domäne. Diese ist doch eigentlich über das SplitDNS nach intern umgeleitet auf den Exchange...darum wundert es mich, warum irgendwann nach einigen Minuten im Outlook im lokalen Netzwerk auf einmal die meldung kommt.

Was auch nicht geht im Outlook: Senden als z.B. Info (also ein anderer Benutzer). Das geht nur am anfang wenn ich den benutzer über das "von" feld auswähle. Auch ein paar minuten nachher geht es noch nachdem das Outlook profil neu eingerichtet wurde. Aber nach ein paar minuten geht dies nicht mehr durch die vorauswahl in dem "von" feld, ich müsste den eintrag erst wieder rauslöschen, und anschließend den Benutzer wieder neu auswählen.

Mache ich den cache modus vom outlook aus, geht es immer.

 

 

Verstehe ich absolut nicht warum es das so macht, dabei sind die profile und auch die autocompletecache dateien gelöscht...und trotzdem geht es nur für ein paar minuten

Link zu diesem Kommentar

ersteinmal nur die wichtigsten:"mail.meinedomäne.de", "meinedomäne.de", "SRV01.meinedomäne.local",und "autodiscover.meinedomäne.de"...ich glaube es könnte damit zusammen hängen das ich "meinedomäne.local" vergessen habe, oder? -.-

 

 

als Zonen habe ich:

autodiscover.meinedomäne.de

mail.meinedomäne.de (activesync,...)

in den jeweiligen zonen einen A Record eintrag gemacht mit der internen Server ip (192.168.1.250), namen freigelassen sodass der übergeordnete name verwendet wird

Link zu diesem Kommentar

Die Internen namen standen aber sogar ab werk im installierten Exchange Zertifikat mit drin beim SBS O_O

auch wenn ich diesen Assistenten von der SBS konsole nutze und er mir nen neues Zertifikat baut, steht auch der Server selber mit seinem interen FQDN mit drin *kopfkratz*

 

oder macht der SBS das weil er dieses zertifikat als "Hauptzertifikat" nimmt für die default website im IIS, damit es im Intranet wenn man auf diese Companyweb-Site zugreift es nicht auch noch zu einem Zertifikatfehler kommt?

 

 

Aber stört es denn wenn da mehrere Namen zusätzlich mit drin stehen?

 

Und dann noch eine frage - beim erstellen eines neuen Exchange-Zertifikats kann man ja auch ein Wildcard Zertifikat erstellen wenn ich das richtig mitbekommen habe, also z.B. "*.meinedomäne.de"

aber dem traue ich nicht so recht...oder geht das genauso?

 

 

 

*edit*

Achso, wegen diesem Zertifikatsfehler der irgendwann mal erscheint...wenn man sich dieses Zertifikat anschaut, ist dies eins vom externen Domänenanbieter, wo die E-Mails liegen O_O

also das Outlook versucht sozusagen ständig irgendwelche adressen über Autodiscover rauszufinden, und greift irgendwie doch noch nach extern, und kommt so an das nicht uns gehörende Zertifikat, sondern an das unseres E-Mail Anbieters, bzw. des WebDomain hosters... aber warum macht Outlook das?

nslookup auf autodiscover.meinefirma.de auf den Clients führt auf die IP des lokalen Servers hier im LAN...echt unbegreiflich sowas...ich will das alte Outlook 2010 wieder haben :(

bearbeitet von Assassin
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...