Jump to content

Exchange Zugriff ohne interne FQDN


DIS
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Da interne Domains immer öfter nichtmehr in ein Zertifikat aufgenommen werden können habe ich an einem Exchange Server 2010 Split-DNS eingerichtet und:

- Alle Dienste (ECP, EAS, OABD, OWA, Autodiscover, WebServicesVirtualDirectory)

- Den Service Connection Point (SCP) im Active Directory

- Den RPCClientAccessServer Parameter der Datenbank

 

so umkonfiguriert, dass sowohl intern als auch extern nur mehr die von extern erreichbare Clientzugriffsdomäne mail.sss.at verwendet wird. Folglich muss der interne FQDN "Server01.sss.local" nichtmehr im Zertifikat stehen. Diese Konfiguration funktioniert mittlerweile auch und alle neu eingerichteten Clients werden per Autodiscover richtig konfiguriert und können auf ihre Exchangekonten zugreifen.

 

Mir ist allerdings aufgefallen, dass der Clientzugriff von Extern dadurch wesentlich langsamer geworden ist. Der Grund dafür ist, dass vorher die Verbindung über RPC/TCP aufgebaut wurde. Jetzt probiert Outlook beim Start immer zuerst RPC/TCP bekommt aber keine Verbindung und dann nach ca. 30 Sekunden wird RPC/HTTPS versucht, was auch funktioniert.

Wenn ich den Server jetzt in die DMZ stelle ist das Problem weg und der externe Zugriff funktioniert ohne Verzögerung und Wartezeiten wieder über RPC/TCP. In der Verbindungsübersicht tauchen immer die Ports 6010 sowie 10872 auf. Wenn der Server jedoch nicht in der DMZ steht und man Portweiterleitungen für die beiden Ports anlegt ist das Problem jedoch wieder da. Folglich müssen hier noch andere Ports im Spiel sein. Bei diversen Recherchen habe ich jedoch nichts gefunden und ich möchte den Server nicht unbedingt in der DMZ stehen haben.....

 

Vielleicht hat hier jemand eine Lösung - ansonsten muss ich mir mal eine Nacht mit Wireshark um die Ohren schlagen....

Link zu diesem Kommentar

Welche Exchange Version setzt du überhaupt ein? Ich vermute mal Exchange 2010? Du willst doch nicht ernsthalft deinen Exchange mit diesen Ports ins Internet hängen, oder? ;)

http://www.mcseboard.de/topic/208081-autodscover-über-http-redirect-und-zertifikate/#entry1310896


Da interne Domains immer öfter nichtmehr in ein Zertifikat aufgenommen werden können


Um genau zu sein, gar nicht mehr. Und das ist bekannt seit ca. 5 Jahren. ;)

https://www.digicert.com/internal-names.htm
https://cabforum.org/internal-names/ bearbeitet von NorbertFe
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...