Jump to content

Split-DNS einführen

roccomarcy

Von roccomarcy
in MS Exchange Forum

Direkt zur Lösung Gelöst von roccomarcy,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

roccomarcy Rising Star

roccomarcy   20

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Gibt es einen Unterschied?

Ich bin nur die Seite des Anbieters für unsere Zertifikate überflogen und da wurde zwischen Multidomain und SAN-Zertifikaten unterschieden.


Habe mir aber das Zertifikat noch einmal angeschaut, dort wird unter Alternativer Antragsstellername beide Adressen (mail. und autodiscover.) aufgelistet.

 

//Edit:
Brauche ich in dem Zertifikat eigtl. alle Namen der Domänen,

die verarbeitet werden? Wir haben ca. 10 unterschiedliche E-Maildomänen, die den einzelnen Anwendern als primäre SMTP-Adresse zugeordnet ist.

bearbeitet von roccomarcy
Link zu diesem Kommentar
cj_berlin Veteran

cj_berlin   1.315

Geschrieben
Geschrieben
vor einer Stunde schrieb roccomarcy:

Ich glaube, dass das Zertifikat ein Multidomain und kein SAN-Zertifikat ist.

Was wäre denn der Unterschied? Ein SSL-Zertifikat hat einen Namen im Subject und einen oder mehrere Namen im SAN. "Multidomain" ist ein Marketing-Begriff und bedeutet nur, dass die SANs aus unterschiedlichen DNS-Domains stammen können.

Die Frage ist: Stehen die beiden Namen, die Dein Server hat (mail.... und autodiscover...) im SAN? Falls ja, alles gut. Du kannst aber auch das Zertifikat zurücktauschen und das Vorherige verwenden.

Link zu diesem Kommentar
testperson Grand Master

testperson   1.677

Geschrieben
Geschrieben

Hi,

 

vor 1 Stunde schrieb roccomarcy:

Wir haben ca. 10 unterschiedliche E-Maildomänen, die den einzelnen Anwendern als primäre SMTP-Adresse zugeordnet ist.

 

kommt drauf an. ;) Bei Let's Encrypt würde ich die weiteren Domains einfach mit ins Zertifikat packen. Bei kostenpflichtigen Anbietern kann man sicherlich überlegen und das bspw. der http-Redirect lösen.

 

Gruß

Jan

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.034

Geschrieben
Geschrieben
vor 1 Stunde schrieb roccomarcy:

Gibt es einen Unterschied?

Weiß nicht, du meintest doch es gibt einen. ;)

vor 1 Stunde schrieb roccomarcy:

Brauche ich in dem Zertifikat eigtl. alle Namen der Domänen,

die verarbeitet werden? Wir haben ca. 10 unterschiedliche E-Maildomänen, die den einzelnen Anwendern als primäre SMTP-Adresse zugeordnet ist.

Dann brauchst du 11 Namen (10x autodiscover plus einmal generischer Name vermutlich in einer der zehn Domains) alternativ 2 Namen und 9x http Redirect.

Link zu diesem Kommentar
roccomarcy Rising Star

roccomarcy   20

Geschrieben
  • Autor
Geschrieben (bearbeitet)
vor 13 Minuten schrieb NorbertFe:

Weiß nicht, du meintest doch es gibt einen. ;)

 

Ich denke nicht, habe mich zwischendurch auch fix schlaugelesen. Wie oben schon geschrieben,

war nur etwas verwirrt, weil es auf der Seite unseres Anbieters für die Zertifikate so positioniert wurde. cj_berlin hat es ja auch noch einmal aufgegriffen. :)

 

vor 27 Minuten schrieb testperson:

Hi,

 

 

kommt drauf an. ;) Bei Let's Encrypt würde ich die weiteren Domains einfach mit ins Zertifikat packen. Bei kostenpflichtigen Anbietern kann man sicherlich überlegen und das bspw. der http-Redirect lösen.

 

Gruß

Jan

 

Okay, den http-redirect könnte ich ja von außen lösen. Habe vor dem Exchange einen Reverse-Proxy, der das abfackeln könnte. Aber für die internen Anfragen?

 

Bekomme beim Starten von Outlook auch noch eine Zertifikatsfehlermeldung. Hinter dem geschwärzten steht der interne FQDN des Exchange-Servers. Das Zertifikat ist allerdings für die neue Adresse.

 

grafik.png.14dbee30a9cafeaaa3dcad85516ebb67.png

 

Habe mir dann via den folgenden Befehlen noch einmal alle URLs ausgeben lassen, aber das passt soweit. Es steht eigtl. überall nur noch die externe Adresse drin (mail.firma.de) und unter ClientAccessServer ist die autodiscover.firma.de-Adresse konfiguriert.

 

Get-OwaVirtualDirectory -Server exch | fl *url*
Get-EcpVirtualDirectory -Server exch | fl *url*
Get-OABVirtualDirectory -Server exch | fl *url*
Get-ActiveSyncVirtualDirectory -Server exch | fl *url*
Get-WEbServicesVirtualDirectory -Server exch | fl *url*
Get-ClientAccessServer -Identity exch | fl autodiscover*
Get-OutlookAnywhere -Server exch | fl *hostname

 

IIS hatte ich auch neugestartet. Habe dort durch Zufall noch gefunden, dass in der Default Web Site eine HTTP-Umleitung auf https://mail.firma.de/owa/ hinterlegt war. Die habe ich auch entfernt. Dennoch keine Besserung,

o.g. Fehlermeldung kommt weiterhin - könnte damit auch leben bis zur Migration, allerdings bleibt die Funktion vom Abwesenheitsassistenten und der Anzeige von freigegebenen Kalendern unverändert. Wie Norbert schon meinte,

scheint irgendwas am Autodiscover zu klemmen.

 

Das Cmdlet Test-OutlookWebServices habe ich auch einmal durchlaufen lassen, bis auf folgender Eintrag war alles erfolgreich. Inhaltlich gleich wie die o.g. Fehlermeldung unter Outlook.

 

grafik.png.c55bb212a8e611c45434c510617d9c99.png

 

Gibt es noch einen Punkt wo ich mehr Logs generieren oder was ich überprüfen könnte? Habe jetzt erstmal die alte Konfiguration wiederhergestellt,

das geht ja dank PowerShell recht zügig und die Funktion ist nicht eingeschränkt.

bearbeitet von roccomarcy
Link zu diesem Kommentar
roccomarcy Rising Star

roccomarcy   20

Geschrieben
  • Autor
Geschrieben (bearbeitet)
vor 12 Minuten schrieb NorbertFe:

Dein scp zeigt auf den internen Namen. Das musst du ändern. Set-clientaccessservice -AutoDiscoverServiceInternalUri

Habe ich auch durchgeführt, ist in meiner Befehlsfolge hinterlegt.

 

Get-OwaVirtualDirectory -Server exch | Set-OwaVirtualDirectory -InternalUrl 'https://mail.firma.de/owa'
Get-EcpVirtualDirectory -Server exch | Set-EcpVirtualDirectory -InternalUrl 'https://mail.firma.de/ecp'
Get-OABVirtualDirectory -Server exch | Set-OABVirtualDirectory -InternalURL 'https://mail.firma.de/OAB'
Get-ActiveSyncVirtualDirectory -Server exch | Set-ActiveSyncVirtualDirectory -InternalURL 'https://mail.firma.de/Microsoft-Server-ActiveSync'
Get-WEbServicesVirtualDirectory -Server exch | Set-WEbServicesVirtualDirectory -InternalURL 'https://mail.firma.de/EWS/Exchange.asmx'
Get-ClientAccessServer -Identity exch | Set-ClientAccessServer -AutodiscoverServiceInternalUri 'https://autodiscover.firma.de/autodiscover/autodiscover.xml'
Get-OutlookAnywhere -Server exch | Set-OutlookAnywhere -ExternalHostname mail.firma.de
Get-WEbServicesVirtualDirectory -Server exch | Set-WEbServicesVirtualDirectory -InternalURL 'https://mail.firma.de/EWS/Exchange.asmx' -InternalNLBBypassUrl 'https://mail.firma.de/EWS/Exchange.asmx'
Enable-ExchangeCertificate -Thumbprint Abcd1234 -Service IIS, IMAP, SMTP, POP

 

Die externen URLs habe ich nicht angefasst, die standen ja bereits auf der korrekten Adresse.

 

 

vor 6 Minuten schrieb cj_berlin:

Auf Exchange 2010?

Nee, das Verzeichnis hab ich ja (noch) nicht. :)

bearbeitet von roccomarcy
Link zu diesem Kommentar
roccomarcy Rising Star

roccomarcy   20

Geschrieben
  • Autor
Geschrieben
vor 1 Minute schrieb NorbertFe:

Achso wer hat denn noch so uralte Sch… ;)

 

warum setzt du den ecp auf autodiscover? Dann muss man ja nochmal zu Mail Switchen, dann kannst auch gleich Mail reinschreiben.

 

ansonsten sieht das soweit ok aus. Kommt der Fehler auch bei einem neuen Profil?

Ja, Ja, ich weiß. Der muss ja jetzt auch langsam mal weg. :) Keine Sorge.

 

Hu? Den ecp habe ich doch auf mail.firma.de setzen lassen? Oder habe ich was überlesen?

Get-EcpVirtualDirectory -Server exch | Set-EcpVirtualDirectory -InternalUrl 'https://mail.firma.de/ecp'

 

Ja, leider auch bei einem neuen Profil. Teste hier mit zwei Maschinen und bei beiden kam der Fehler,

auch nach neuem Profil. Leider. :|

Link zu diesem Kommentar
cj_berlin Veteran

cj_berlin   1.315

Geschrieben
Geschrieben
vor 1 Minute schrieb NorbertFe:

Hab schon lustige Dinge mit verdrehten Buchstaben oder trailing space gehabt.

Das würde aber nicht dazu führen, dass statt des Namespaces der (korrekte) FQDN des Servers angesprochen wird, oder? Es wird ja im Endeffekt der Exchange angefahren und präsentiert auch das neue Zertifikat...

 

Wenn im SCP --> Im AD kontrollieren!!! der richtige Name steht, und es keine CNAME-Einträge im DNS --> dort kontrollieren!! gibt, die auf den Server-FQDN verweisen, kann es ja nur entweder was gecachetes sein oder eine HTTP-Redirection. Bei Redirection wüsstest Du inzwischen, dass es sie gibt, den Autodiscover-Cache kannst Du zur Probe löschen.

 

Bei Clients, die in der Domäne oder anderswie gemanagt sind, könntest Du die Zeit bis zur Migration mit einer lokalen XML-Datei und einer entsprechenden GPO überbrücken. Aber spätestens zur Migration muss das gerade gezogen sein, sonst hast Du andere Effekte.

  • Like 1
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...