jets187 0 Geschrieben 10. Juni 2020 Melden Teilen Geschrieben 10. Juni 2020 Hallo zusammen, wir haben vor einiger Zeit ein Trust zwischen 2 Forests erstellt, da die Firmen der Forests fusioniert. Unser Forest nenne ich hier mal Forest A und die Gegenseite Forest B. Der Trust funktioniert wunderbar. Forest A stellt für die User von Forest B einen Terminal Server (RDSH Server 2016) zur Verfügung, damit Applikationen die auf Seiten von Forest A zur Verfügung stehen, die User von Forest B nutzen können. Die User von Forest B melden sich mit Ihren Forest B Accounts am Terminal Server von Forest A an. Dazu habe ich entsprechende GPO's eingerichtet. Wie schon gesagt funktioniert die Anmeldung am RDSH Server einwandfrei. Nun zu meinem eigentlichen Problem. Beide Forests besitzen eine Exchange Umgebung mit jeweils einem Exchange Server. Forest A hat einen Exchange 2010 im Einsatz und Forest B einen Exchange 2016. Die User von Forest B haben natürlich Postfächer, die weiter genutzt werden sollen. Über Exchange OWA können die User ohne Probleme am RDSH Server Ihre Postfächer nutzen. Was nicht klappt ist die Postfach Einrochtung der User von Forest B. Wenn ich Outlook starte, dann erkennt Outlook Automatisch die Mail Adresse des Users von Forest B (Anzeige auf der Startseite des Assistenten). Wenn ich auf weiter klicke, dann erscheint aber plötzlich das Zertifikat unserers Exchange Servers (für die Serverauthentifizierung) statt des Exchange Server Zertifikats von Forest B. Das ist für mich ein Indiz, dass Autodiscover von Outlook nicht an den Exchange von Forest B geht sondern von Forest A. Ist es überhaupt möglich, die Exchange Postfächer des Forest B auf dem RDSH Server / Outlook von Forest A einzurichten. Zur Info: Für den Trust haben ich im DNS des Forst A und B jeweils ein Conditionel Forwarding eingerichtet, was auf die jeweiligen DNS Server zeigt. Liegt es am DNS, oder gibt es auch sowas wie ein Exchange Forest Trust? Danke Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 10. Juni 2020 Melden Teilen Geschrieben 10. Juni 2020 Ich glaube Frank hat deine Situation hier beschrieben: https://www.msxfaq.de/exchange/autodiscover/autodiscover_sonderfaelle.htm Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 10. Juni 2020 Melden Teilen Geschrieben 10. Juni 2020 Dann ist das kein von extern ausgestelltes Zertifikat - oder Split-DNS passt nicht. Müssten man aus beiden Umgebungen einmal sehen Wie groß sind die jeweils? Zitieren Link zu diesem Kommentar
jets187 0 Geschrieben 10. Juni 2020 Autor Melden Teilen Geschrieben 10. Juni 2020 (bearbeitet) vor 42 Minuten schrieb djmaker: Ich glaube Frank hat deine Situation hier beschrieben: https://www.msxfaq.de/exchange/autodiscover/autodiscover_sonderfaelle.htm Hi djmaker, sieht danach aus. Ich werde der sache mal nachgehen. vor 10 Minuten schrieb Nobbyaushb: Dann ist das kein von extern ausgestelltes Zertifikat - oder Split-DNS passt nicht. Müssten man aus beiden Umgebungen einmal sehen Wie groß sind die jeweils? Hi NobbyausHB, beide Umgebunden haben ca. 30 Posftfächer und kein DAG. Was meinst du mit Split Brain. In meinem DNS gibt es ein Conditional Forwarding was auf die DNS Server von Forest B zeigt und umgekehrt. Auf beiden Seiten gibt es keine Interne und externe Autodiscover URL Get-AutodiscoverVirtualDirectory | fl internalurl,externalurl zeigt keine URLs an. Get-ClientAccessServer | fl *InternalUri* zeigt auf die FQDN des jeweiligen Exchange Servers. Danke bearbeitet 10. Juni 2020 von jets187 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 10. Juni 2020 Melden Teilen Geschrieben 10. Juni 2020 (bearbeitet) vor 12 Minuten schrieb jets187: ...was meinst du mit Split Brain. Ich meine Split-DNS Du hast einen Eintrag im DNS für z.B. webmail.firma.com und einen weiteren Eintrag autodiscover.firma.com auf die IP des Exchange intern (die beiden Namen hast du mindestens im Zertifikat) Das bei beiden Forest Wenn die Exchange-Zertifikate von Extern ausgestellt sind, ist nun alles gut Wenn die intern von einer internen CA ausgestellt wurden, muss das Root-Cert der internen CA in dem jeweiligen anderen Forest importiert werden Sind die selbstsigniert (durch den Exchange) ist das gar nicht supportet bearbeitet 10. Juni 2020 von Nobbyaushb Zitieren Link zu diesem Kommentar
jets187 0 Geschrieben 10. Juni 2020 Autor Melden Teilen Geschrieben 10. Juni 2020 Sorry, habe mich mir Split DNS verlesen . Die Zertifikate auf meinem Exchange Server sind Self Signed. Im Forest B das gleiche. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 10. Juni 2020 Melden Teilen Geschrieben 10. Juni 2020 vor 30 Minuten schrieb jets187: Die Zertifikate auf meinem Exchange Server sind Self Signed. Selbst schuld. ;) 1 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 10. Juni 2020 Melden Teilen Geschrieben 10. Juni 2020 vor 53 Minuten schrieb jets187: Sorry, habe mich mir Split DNS verlesen . Die Zertifikate auf meinem Exchange Server sind Self Signed. Im Forest B das gleiche. Den Effekt siehst du gerade - und es gibt keine Ausreden, die kosten heute keine tausende mehr. Wenn die Einstellungen korrekt gesetzt sind und die Zertifikate zu den URL passen hat man keine Probleme Bei der Gelegenheit auch den UPN gleich der Mailadresse setzten... Zitieren Link zu diesem Kommentar
jets187 0 Geschrieben 10. Juni 2020 Autor Melden Teilen Geschrieben 10. Juni 2020 Hallo Norbert hallo Nobby, ok habe jetzt das Problem verstanden. Das heisst, dass es tatsächlich nur an den Self Signed Zertifikaten liegt und dadurch das Split DNS nicht zustande kommt. Ich glaube nicht, dass mein GF probleme damit hat, Zertifikate zu kaufen. Die kosten wirklich keine tausende mehr. 2 SAN Zertifikate für die entsprechenden Eschange Dienste und das war es (hoffe ich mal) Danke Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 10. Juni 2020 Melden Teilen Geschrieben 10. Juni 2020 Man kann das auch mit self signed hinbekommen, aber das is im allgemeinen mehr Arbeit als einfach passende Zertifikate zu beschaffen. Zitieren Link zu diesem Kommentar
Beste Lösung jets187 0 Geschrieben 10. Juni 2020 Autor Beste Lösung Melden Teilen Geschrieben 10. Juni 2020 (bearbeitet) Hallo zusammen. Ich habe das Problem gelöst. In Franks Artikel wird ja beschrieben, dass der SCP Eintrag der Target Domain, also in meinem Fall Forest B, in Forest A importiert werden muss. Habe das über den Exchange Server vom Forest B gemacht. $cred= Get-Credential Export-AutoDiscoverConfig -DomainController dc1.source.tld -TargetForestDomainController dc2.target.tld -TargetForestCredential $cred -MultipleExchangeDeployments $true -verbose Ich musste noch das Self Signed Zertifikat des Exchange von Forest B auf meinem RDSH Server in den Zertifikatsspeicher unter "Vertrauenswürdige Stammzertifizierungstellen" importieren. Jetzt klappt alles wie es soll. Danke nochmal an djmaker für den wertvollen Tipp. bearbeitet 10. Juni 2020 von jets187 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 10. Juni 2020 Melden Teilen Geschrieben 10. Juni 2020 (bearbeitet) vor 11 Minuten schrieb jets187: Hallo zusammen. Ich habe das Problem gelöst. In Franks Artikel wird ja beschrieben, dass der SCP Eintrag der Target Domain, also in meinem Fall Forest B, in Forest A importiert werden muss. Habe das über den Exchange Server vom Forest B gemacht. $cred= Get-Credential Export-AutoDiscoverConfig -DomainController dc1.source.tld -TargetForestDomainController dc2.target.tld -TargetForestCredential $cred -MultipleExchangeDeployments $true -verbose Ich musste noch das Self Signed Zertifikat des Exchange von Forest B auf meinem RDSH Server in den Zertifikatsspeicher unter "Vertrauenswürdige Stammzertifizierungstellen" importieren. Jetzt klappt alles wie es soll. Danke nochmal an djmaker für den wertvollen Tipp. Ist trotzdem gebastel und fällt dir irgendwann wieder auf die Füße Wie der andere Norbert schon geschrieben hat - man bekommt das hin, ist halt trotzdem gefrickel. Mit einem Externen Cert und allem nach Best Practice hat man halt weniger Probleme. Habt ihr keine mobilen Devices, die sich über die Zertifikate beschweren? Nun denn, wenn das für euch so OK ist... PS: die Antwort in dem Thread mit den RDS sollte wohl hier her, oder? Könnte man auch mit einem vernünftigen Zertikat das Problem beseitigen... bearbeitet 10. Juni 2020 von Nobbyaushb Zitieren Link zu diesem Kommentar
jets187 0 Geschrieben 10. Juni 2020 Autor Melden Teilen Geschrieben 10. Juni 2020 Hallo Nobby, ist wirklich nicht Best Practise und gefrickel. Sauberer ist es natürlich mit Zertifikaten die an keiner stelke angemeckert werden. Auch unsere Mobile Devices jammern die Zertifikate an. Ok ist es für mich definitiv nicht aber bis ich alles sauber konfiguriert habe und SSN Zertifikate bezogen habe, ist das meine Lösung. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 11. Juni 2020 Melden Teilen Geschrieben 11. Juni 2020 Nichts hält länger als deine Lösung/das Provisorium. ;) Zitieren Link zu diesem Kommentar
jets187 0 Geschrieben 11. Juni 2020 Autor Melden Teilen Geschrieben 11. Juni 2020 (bearbeitet) vor einer Stunde schrieb NorbertFe: Nichts hält länger als deine Lösung/das Provisorium. ;) Guten Morgen Norbert, leider ist es so. Wenn etwas mal läuft, dann lässt man es auch si laufen, auch wenn es ein Provisoriom ist bearbeitet 11. Juni 2020 von jets187 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.