Split-DNS einführen

[roccomarcy 20]

Hallo,

 

die Installation von einem neuen Exchange steht an. Jedoch möchte ich vorher noch Split-DNS einführen,

da aus der Vergangenheit heraus das Thema versäumt wurde. Aktuell ist der Exchange-Server mit der internen URL auf servername.domäne.tld konfiguriert statt auf mail.firma.de. Die externe URL ist allerdings bereits schon korrekt auf mail.firma.de konfiguriert.

 

Meine Herangehensweise wäre nun, dass ich folgende Tätigkeiten durchführe.

 

• Im DNS zwei Zonen für mail.firma.de und autodiscover.firma.de konfigurieren.
• Den Exchange-Server mit dem gültigen Zertifikat versorgen.
• Via PowerShell-Skript (Danke an FrankysWeb) die Adressen anpassen, Ausschnitt:
  [ ... ]
  Get-OwaVirtualDirectory -Server <Servername> | Set-OwaVirtualDirectory -InternalUrl 'https://mail.firma.de/owa' -ExternalUrl 'https://mail.firma.de/owa'
  [ ... ]

 

Ist die o.g. Herangehensweise in Ordnung oder habe ich einen Punkt vergessen? Outlook sollte das ja (eigentlich?) nicht interessieren
und sich die neue Adresse für die Verbindung ziehen, oder?

 

Kann ich im IIS/Exchange irgendwo konfigurieren, dass der http-Zugriff automatisch auf https umgeleitet wird? Nach aktuellem Stand wurde z.B. OWA auch über mail.firma.de aufgerufen und dort hat die Umleitung der Reverse-Proxy übernommen.

Gruß

[cj_berlin 1.313]

Moin,

die Vorgehensweise ist so in Ordnung. autodiscover.firma.de brauchst Du nur, wenn Du Clients hast, die nicht Mitglied der Domäne sind.

Outlook interessieren die Virtual Directories selbstverständlich auch, zumindest Autodiscover, EWS und MAPI.

HTTP zu HTTPS-Umleitung kannst Du im IIS einrichten, indem Du den Haken bei "Require SSL" in beiden Websites entfernst.

[roccomarcy 20]

Hallo,

 

danke für die Antwort - sollte natürlich auch für alle Verzeichnisse gelten,

ich wollte die eine Befehlszeile allerdings nur exemplarisch zur Darstellung herausziehen.

 

Den folgenden Haken wirklich entfernen ... ? Oder setzen?

 

[cj_berlin 1.313]

Wenn Du eine halbwegs aktuelle Exchange-Version installiert hast, sollte das Entfernen dieses Hakens - NICHT auf vDir-, sondern, wie von mir beschrieben, auf Website-Ebene - dazu führen, dass HTTP- zu HTTPS-Umleitung stattfindet.

 

Wenn Du den Haken setzt, fordert IIS SSL. Ein Versuch, HTTP zu verwenden, wird mit "Unauthorized" abgewiesen.

[roccomarcy 20]

Moin,

 

es ist noch Exchange 2010 mit dem letzten Update. Der soll ja nun ersetzt werden.

 

Nochmal zur o.g. Anfrage,

das kann ich ja theoretisch in einer arbeitsarmen Zeit ausführen? Die Anwender sollten davon ja idR nichts mitbekommen?

[cj_berlin 1.313]

vor 14 Minuten schrieb roccomarcy:

Nochmal zur o.g. Anfrage,

das kann ich ja theoretisch in einer arbeitsarmen Zeit ausführen? Die Anwender sollten davon ja idR nichts mitbekommen?

Was jetzt genau? Split-DNS und vDir-URLs umschreiben? Kannst Du machen, für die Migration brauchst Du es ja sowieso.

[roccomarcy 20]

Ja, genau. Ich meine die Anpassung der URLs und Einrichtung von Split-DNS.

Ob der Anwender die Änderung spürt oder ob es ohne große Einwirkung auf den Anwender übernommen wird.

[cj_berlin 1.313]

Eine Garantie wird Dir niemand geben, der Deine Umgebung nicht kennt. Aber wenn im Zertifikat sowohl der FQDN des Servers als auch der externe (und nun auch interne) Namespace als SANs hinterlegt sind, die CA-Kette vom IIS ausgeliefert wird und die Clients ihr vertrauen, sollte das nahtlos funktionieren.

vor 29 Minuten schrieb roccomarcy:

es ist noch Exchange 2010 mit dem letzten Update. Der soll ja nun ersetzt werden.

Da musste man IIRC noch basteln, damit die HTTP-Umleitung funktioniert. Aber auf dem Exchange 2016 kannst Du das machen, wenn er da ist.

[roccomarcy 20]

Hu, muss im Zertifikat auch der alte Servername, also servername.domäne.tld auftauchen?

Ich hab jetzt nur eins mit mail.firma.de inkl. autodiscover.firma.de und wollte die Adresse als externe und interne URL angeben.

[cj_berlin 1.313]

Outlook cacht die URLs eine ganze Weile. Das heißt, wenn Du die gesamte Umstellung jetzt machst, werden fast alle Clients noch auf die alte InternalURL zugreifen wollen, der dortige FQDN wird im Zertifikat aber nicht enthalten sein.

Du müsstest also im ersten Schritt Split-DNS und die URLs anpassen und erst ein paar Tage später das Zertifikat tauschen - und selbst dann wird es vermutlich noch ein paar Nachzügler geben, die versuchen werden, die alte URL zu erreichen, und eine Zertifikatsmeldung kriegen.

Aber wenn Du eh migrierst, musst Du das Zertifikat auf dem 2010 vielleicht auch gar nicht tauschen - musst halt fertig migrieren, bis es ausläuft.

[roccomarcy 20]

Ah Okay, Mist. :)
Habe jetzt die URLs und das Zertifikat getauscht. Scheint auch E-Mailtechnisch soweit zu laufen,

allerdings kann ich keine freigegebenen Kalender mehr aufrufen und Abwesenheitsnotizen hinterlegen.

 

Allerdings sind die korrekten URLs unter dem Punkt WebServicesVirtualDirectory konfiguriert.

[cj_berlin 1.313]

Gerade eben schrieb roccomarcy:

allerdings kann ich keine freigegebenen Kalender mehr aufrufen und Abwesenheitsnotizen hinterlegen
 

Das ist beides Autodiscover.

[roccomarcy 20]

Hmmm, laut Outlook aber 'erfolgreich'?

 

[Sunny61 806]

Gibt es einen Proxy der hier dazwischen funken kann?

[roccomarcy 20]

Intern nicht, nein.

Nur von außen, der Reverse-Proxy.

 

Mir ist aber grad glaube ein dummer Fehler aufgefallen,

wobei ich nicht weiß, ob der damit zu tun hat. Ich glaube, dass das Zertifikat ein Multidomain und kein SAN-Zertifikat ist.