Beste Lösung roccomarcy 20 Geschrieben 20. Oktober 2021 Beste Lösung Melden Teilen Geschrieben 20. Oktober 2021 Hallo, die Installation von einem neuen Exchange steht an. Jedoch möchte ich vorher noch Split-DNS einführen, da aus der Vergangenheit heraus das Thema versäumt wurde. Aktuell ist der Exchange-Server mit der internen URL auf servername.domäne.tld konfiguriert statt auf mail.firma.de. Die externe URL ist allerdings bereits schon korrekt auf mail.firma.de konfiguriert. Meine Herangehensweise wäre nun, dass ich folgende Tätigkeiten durchführe. Im DNS zwei Zonen für mail.firma.de und autodiscover.firma.de konfigurieren. Den Exchange-Server mit dem gültigen Zertifikat versorgen. Via PowerShell-Skript (Danke an FrankysWeb) die Adressen anpassen, Ausschnitt:[ ... ] Get-OwaVirtualDirectory -Server <Servername> | Set-OwaVirtualDirectory -InternalUrl 'https://mail.firma.de/owa' -ExternalUrl 'https://mail.firma.de/owa' [ ... ] Ist die o.g. Herangehensweise in Ordnung oder habe ich einen Punkt vergessen? Outlook sollte das ja (eigentlich?) nicht interessieren und sich die neue Adresse für die Verbindung ziehen, oder? Kann ich im IIS/Exchange irgendwo konfigurieren, dass der http-Zugriff automatisch auf https umgeleitet wird? Nach aktuellem Stand wurde z.B. OWA auch über mail.firma.de aufgerufen und dort hat die Umleitung der Reverse-Proxy übernommen. Gruß Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 20. Oktober 2021 Melden Teilen Geschrieben 20. Oktober 2021 Moin, die Vorgehensweise ist so in Ordnung. autodiscover.firma.de brauchst Du nur, wenn Du Clients hast, die nicht Mitglied der Domäne sind. Outlook interessieren die Virtual Directories selbstverständlich auch, zumindest Autodiscover, EWS und MAPI. HTTP zu HTTPS-Umleitung kannst Du im IIS einrichten, indem Du den Haken bei "Require SSL" in beiden Websites entfernst. 1 Zitieren Link zu diesem Kommentar
roccomarcy 20 Geschrieben 20. Oktober 2021 Autor Melden Teilen Geschrieben 20. Oktober 2021 Hallo, danke für die Antwort - sollte natürlich auch für alle Verzeichnisse gelten, ich wollte die eine Befehlszeile allerdings nur exemplarisch zur Darstellung herausziehen. Den folgenden Haken wirklich entfernen ... ? Oder setzen? Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 20. Oktober 2021 Melden Teilen Geschrieben 20. Oktober 2021 Wenn Du eine halbwegs aktuelle Exchange-Version installiert hast, sollte das Entfernen dieses Hakens - NICHT auf vDir-, sondern, wie von mir beschrieben, auf Website-Ebene - dazu führen, dass HTTP- zu HTTPS-Umleitung stattfindet. Wenn Du den Haken setzt, fordert IIS SSL. Ein Versuch, HTTP zu verwenden, wird mit "Unauthorized" abgewiesen. Zitieren Link zu diesem Kommentar
roccomarcy 20 Geschrieben 20. Oktober 2021 Autor Melden Teilen Geschrieben 20. Oktober 2021 Moin, es ist noch Exchange 2010 mit dem letzten Update. Der soll ja nun ersetzt werden. Nochmal zur o.g. Anfrage, das kann ich ja theoretisch in einer arbeitsarmen Zeit ausführen? Die Anwender sollten davon ja idR nichts mitbekommen? Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 20. Oktober 2021 Melden Teilen Geschrieben 20. Oktober 2021 vor 14 Minuten schrieb roccomarcy: Nochmal zur o.g. Anfrage, das kann ich ja theoretisch in einer arbeitsarmen Zeit ausführen? Die Anwender sollten davon ja idR nichts mitbekommen? Was jetzt genau? Split-DNS und vDir-URLs umschreiben? Kannst Du machen, für die Migration brauchst Du es ja sowieso. Zitieren Link zu diesem Kommentar
roccomarcy 20 Geschrieben 20. Oktober 2021 Autor Melden Teilen Geschrieben 20. Oktober 2021 Ja, genau. Ich meine die Anpassung der URLs und Einrichtung von Split-DNS. Ob der Anwender die Änderung spürt oder ob es ohne große Einwirkung auf den Anwender übernommen wird. Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 20. Oktober 2021 Melden Teilen Geschrieben 20. Oktober 2021 Eine Garantie wird Dir niemand geben, der Deine Umgebung nicht kennt. Aber wenn im Zertifikat sowohl der FQDN des Servers als auch der externe (und nun auch interne) Namespace als SANs hinterlegt sind, die CA-Kette vom IIS ausgeliefert wird und die Clients ihr vertrauen, sollte das nahtlos funktionieren. vor 29 Minuten schrieb roccomarcy: es ist noch Exchange 2010 mit dem letzten Update. Der soll ja nun ersetzt werden. Da musste man IIRC noch basteln, damit die HTTP-Umleitung funktioniert. Aber auf dem Exchange 2016 kannst Du das machen, wenn er da ist. Zitieren Link zu diesem Kommentar
roccomarcy 20 Geschrieben 20. Oktober 2021 Autor Melden Teilen Geschrieben 20. Oktober 2021 Hu, muss im Zertifikat auch der alte Servername, also servername.domäne.tld auftauchen? Ich hab jetzt nur eins mit mail.firma.de inkl. autodiscover.firma.de und wollte die Adresse als externe und interne URL angeben. Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 20. Oktober 2021 Melden Teilen Geschrieben 20. Oktober 2021 Outlook cacht die URLs eine ganze Weile. Das heißt, wenn Du die gesamte Umstellung jetzt machst, werden fast alle Clients noch auf die alte InternalURL zugreifen wollen, der dortige FQDN wird im Zertifikat aber nicht enthalten sein. Du müsstest also im ersten Schritt Split-DNS und die URLs anpassen und erst ein paar Tage später das Zertifikat tauschen - und selbst dann wird es vermutlich noch ein paar Nachzügler geben, die versuchen werden, die alte URL zu erreichen, und eine Zertifikatsmeldung kriegen. Aber wenn Du eh migrierst, musst Du das Zertifikat auf dem 2010 vielleicht auch gar nicht tauschen - musst halt fertig migrieren, bis es ausläuft. Zitieren Link zu diesem Kommentar
roccomarcy 20 Geschrieben 20. Oktober 2021 Autor Melden Teilen Geschrieben 20. Oktober 2021 Ah Okay, Mist. :) Habe jetzt die URLs und das Zertifikat getauscht. Scheint auch E-Mailtechnisch soweit zu laufen, allerdings kann ich keine freigegebenen Kalender mehr aufrufen und Abwesenheitsnotizen hinterlegen. Allerdings sind die korrekten URLs unter dem Punkt WebServicesVirtualDirectory konfiguriert. Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 20. Oktober 2021 Melden Teilen Geschrieben 20. Oktober 2021 Gerade eben schrieb roccomarcy: allerdings kann ich keine freigegebenen Kalender mehr aufrufen und Abwesenheitsnotizen hinterlegen Das ist beides Autodiscover. Zitieren Link zu diesem Kommentar
roccomarcy 20 Geschrieben 20. Oktober 2021 Autor Melden Teilen Geschrieben 20. Oktober 2021 Hmmm, laut Outlook aber 'erfolgreich'? Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 20. Oktober 2021 Melden Teilen Geschrieben 20. Oktober 2021 Gibt es einen Proxy der hier dazwischen funken kann? Zitieren Link zu diesem Kommentar
roccomarcy 20 Geschrieben 20. Oktober 2021 Autor Melden Teilen Geschrieben 20. Oktober 2021 Intern nicht, nein. Nur von außen, der Reverse-Proxy. Mir ist aber grad glaube ein dummer Fehler aufgefallen, wobei ich nicht weiß, ob der damit zu tun hat. Ich glaube, dass das Zertifikat ein Multidomain und kein SAN-Zertifikat ist. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.