DIS 10 Geschrieben 18. August 2016 Melden Teilen Geschrieben 18. August 2016 Da interne Domains immer öfter nichtmehr in ein Zertifikat aufgenommen werden können habe ich an einem Exchange Server 2010 Split-DNS eingerichtet und: - Alle Dienste (ECP, EAS, OABD, OWA, Autodiscover, WebServicesVirtualDirectory) - Den Service Connection Point (SCP) im Active Directory - Den RPCClientAccessServer Parameter der Datenbank so umkonfiguriert, dass sowohl intern als auch extern nur mehr die von extern erreichbare Clientzugriffsdomäne mail.sss.at verwendet wird. Folglich muss der interne FQDN "Server01.sss.local" nichtmehr im Zertifikat stehen. Diese Konfiguration funktioniert mittlerweile auch und alle neu eingerichteten Clients werden per Autodiscover richtig konfiguriert und können auf ihre Exchangekonten zugreifen. Mir ist allerdings aufgefallen, dass der Clientzugriff von Extern dadurch wesentlich langsamer geworden ist. Der Grund dafür ist, dass vorher die Verbindung über RPC/TCP aufgebaut wurde. Jetzt probiert Outlook beim Start immer zuerst RPC/TCP bekommt aber keine Verbindung und dann nach ca. 30 Sekunden wird RPC/HTTPS versucht, was auch funktioniert. Wenn ich den Server jetzt in die DMZ stelle ist das Problem weg und der externe Zugriff funktioniert ohne Verzögerung und Wartezeiten wieder über RPC/TCP. In der Verbindungsübersicht tauchen immer die Ports 6010 sowie 10872 auf. Wenn der Server jedoch nicht in der DMZ steht und man Portweiterleitungen für die beiden Ports anlegt ist das Problem jedoch wieder da. Folglich müssen hier noch andere Ports im Spiel sein. Bei diversen Recherchen habe ich jedoch nichts gefunden und ich möchte den Server nicht unbedingt in der DMZ stehen haben..... Vielleicht hat hier jemand eine Lösung - ansonsten muss ich mir mal eine Nacht mit Wireshark um die Ohren schlagen.... Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 18. August 2016 Melden Teilen Geschrieben 18. August 2016 (bearbeitet) Welche Exchange Version setzt du überhaupt ein? Ich vermute mal Exchange 2010? Du willst doch nicht ernsthalft deinen Exchange mit diesen Ports ins Internet hängen, oder? ;) http://www.mcseboard.de/topic/208081-autodscover-über-http-redirect-und-zertifikate/#entry1310896 Da interne Domains immer öfter nichtmehr in ein Zertifikat aufgenommen werden können Um genau zu sein, gar nicht mehr. Und das ist bekannt seit ca. 5 Jahren. ;)https://www.digicert.com/internal-names.htmhttps://cabforum.org/internal-names/ bearbeitet 18. August 2016 von NorbertFe Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.