Jump to content

Autodiscovery mit zwei Domänen mit Vertrauensstellung und gemeinsamen Exchange


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin liebes Forum,

ich bin hier aktuell dabei Altlasten unseres Vorgänger-Admins zu beheben.

Es handelt sich um zwei Unternehmen, welche jeweils eine eigene Domäne haben, die per Vertrauensstellung miteinander verbunden sind. Es sind .local Domänen.

Es gibt einen gemeinsamen Exchange, der steht in der Domäne der Firma AAA . Die Postfächer der Firma BBBB  sind als verknüpfte Postfächer angelegt.

Bisher war Autodiscovery bei Firma B folgendermaßen geregelt: Es gab im DNS der BBB.local eine Zone namens BBB.com (das ist auch die Mail- und Web-Domain). Dort gab es einen _autodiscovery SRV Eintrag mit Verweis auf exchange.local.AAA.com, welcher wiederum über eine Bedingte Weiterleitung (local.AAA.com) aufgelöst wurde. Damit die MA auch auf die eigene Website kommen wurde in der Zone BBB.com ein Hosteintrag namens WWW mit der entsprechenden IP erstellt. Das ist aber unglücklich, weil so nun andere Seiten unter der Domain nicht erreichbar sind, wie z.B. die karriere.BBB.com.

Da ich das nicht ständig pflegen will habe ich es folgendermaßen umgebaut:

In der BBB.local eine DNS Zone autodiscover.BBB.com angelegt mit Hosteintrag der auf die IP des Exchange verweist. Damit funktioniert Autodiscovery und Outlook, allerdings kommt jedes mal ein Zertifikatsfehler (jeweils nur 1x beim Verbinden & Outlook Start, aber trotzdem unglücklich), weil das Zertifikat des Exchange ja auf die AAA.com ausgestellt ist (also mail.AAA.com und exchange.local.AAA.com).

Ich bräuchte also sowas wie einen CNAME Aliaseintrag in der Zone autodiscover.BBB.com, welche in den zum Zertifikat passenden Namen übersetzt. Den kann ich aber nicht ohne Namen im root der Zone anlegen und wenn ich eine Zone mit BBB.com und autodiscover als CNAME anlege, habe ich ja wieder das Ausgangsproblem.

 

Versteht jemand dieses Gewurschtel? :D

Link zu diesem Kommentar

Moin,

wenn nur AD-Member und darauf nur Outlook-Clients zu versorgen sind, kannst Du den Autodiscover-SCP in den zweiten Forest schreiben lassen (Export-AutodiscoverConfig).

Wenn Du DNS zwingend brauchst --> siehe Norberts Vorschlag oder alternativ einen Alias (CNAME-Record). Den Alias könntest Du theoretisch sogar in der öffentlichen Zone von BBB setzen und bräuchtest zumindest dafür kein Split-DNS.

Link zu diesem Kommentar
vor 31 Minuten schrieb cj_berlin:

Eigentlich nicht, sonst würde O365 ja nicht funktionieren - oder? Das ist der Unterschied zwischen CNAME und A auf die IP des Exchange...

 

Ja der wichtige Teil ist (auch bei O365) eben HTTP Redirect. Ob das nu ein Alias oder CName ist, sollte weitestgehend egal sein.

vor 17 Minuten schrieb Spackenheimer:

Das war ja meine Idee. Der lässt sich in der Zone autodiscover.BBB.com aber nicht ganz oben anlegen ohne einen Namen anzugeben.

 

Das ist falsch. Du brauchst einen Host, der dir einen HTTP Redirect ermöglicht. Per DNS ist das nicht lösbar (maximal mit SCP wie oben schon geschrieben)

Link zu diesem Kommentar

Ok, da komme ich gerade nicht weiter.

Ich habe den redirect bei der Seite Autodiscover im IIS auf dem Exchange eingestellt, ändert aber nichts und führt im Gegenteil dazu, dass Autodiscover nicht mehr funzt und der Zertifikatsfehler kommt immer noch. Habe alle drei Namen die im Zertifikat stehen ausprobiert und auch mit den Haken beim Umleitungsverhalten gespielt.

image.png.0605a285ee4d3c27f9bf83fc31aa5edb.png

Link zu diesem Kommentar
vor 32 Minuten schrieb Spackenheimer:

Ich habe den redirect bei der Seite Autodiscover im IIS auf dem Exchange eingestellt, ändert aber nichts und führt im Gegenteil dazu, dass Autodiscover nicht mehr funzt und der Zertifikatsfehler kommt immer noch. Habe alle drei Namen die im Zertifikat stehen ausprobiert und auch mit den Haken beim Umleitungsverhalten gespielt.

Du sollst ja auch nicht irgendwo rumklicken, sondern du sollst einen NEUEN Host nehmen, der den http Redirect anbietet. In vielen Fällen gibts für sowas bspw. irgendwo einen ReverseProxy, der sowas auf einer eigenen IP anbieten kann.

 

Bye

Norbert

Link zu diesem Kommentar

Hi,

 

wäre es nicht am aller (, aller, aller) einfachsten, ein paar Mark in die Hand zu nehmen und ein neues Zertifikat auszustellen, welches "autodiscover.<zweite Domain>.<tld>" als SAN hat? Im "Worst Case" dann halt auch in gratis per Let's Encrypt.

 

Gruß

Jan

bearbeitet von testperson
Link zu diesem Kommentar
vor 11 Stunden schrieb testperson:

wäre es nicht am aller (, aller, aller) einfachsten, ein paar Mark in die Hand zu nehmen und ein neues Zertifikat auszustellen, welches "autodiscover.<zweite Domain>.<tld>" als SAN hat? Im "Worst Case" dann halt auch in gratis per Let's Encrypt.

 

In der Tat... Das war so einfach, dass ich nicht drauf gekommen bin. :dismayed::D

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...