Jump to content

Split DNS funktioniert nicht

magicpeter

Von magicpeter
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

magicpeter Veteran

magicpeter   9

Geschrieben
Geschrieben

Hi,

 

wir haben einen neuen Exchange 2013 Server aufgebaut und der läuft.

emails kommen rein und gehen raus.

 

 

Nach der Installation des Exchange 2013 Servers haben als nächsten Schritt ein Zertifikat beantragen. Das Zertifikat wurde von der internen CA ausgestellt. (ServerEXCA)

 

Hier steht alles genau beschrieben:

 

http://www.msblog.eu

 
Alle Outlooks können ohne Probleme und ohne Sicherheitswahrnung mit dem Exchange kommunizieren.
 

Wir haben dann ein Zertikat (remoteZert)für den externen Zugriff eingerichtet und das funktioniert auch.

https://remote.domain.de/owa ist verschlüsselt und alles läuft. So das auch Outlooks von externe sich mit dem Exchange verbinden können.

 

Im DNS Server wurden 2 zusätzliche Zonen unter forward-Lookupzone eingerichtet

 

remote.domaine.de

 

und 

 

mail.domain,de

 

Die haben jeweils einen A-Record auf die Interne-IP-Adresse des Exchange Servers bekommen. (192.168.8.102)

 

 

Nur Intern, wenn sich die Outlooks 2010 mit dem Exchange verbinden kommt die Fehlermeldung:

 

 

SERVEREX.domain.local

 

Sicherheitszertifikat stammt von einer vertrauenswürdigen Zertifizierungstelle.

 

Das Datum des Sicherheitszertifikats ist gültig.

 

x Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Name der WebSite überein.

 

 

Wenn ich jetzt in der Exchange Verwaltung unter Server / Zertifikate für das Interne Zertifikat (ServerEXCA) den Port IIS aktiviere funktioniert die Interne Verbindung mit den Outlooks wieder ohne Fehlermeldung.

 

Aber die externen Outlooks können sich jetzt nicht mehr Verbinden. Dafür muß ich wieder für das Zertifikat (remoteZert) für die Domain remote.domain.de anpassen und den Port IIS aktivieren.

 

Leider läßt sich nicht bei beiden Zertifikaten der Port IIS aktivieren.

 

 

Was kann ich da machen, damit das nicht mehr erscheint?

 

Wie kann ich das korrigieren?

 

Danke

Link zu diesem Kommentar
magicpeter Veteran

magicpeter   9

Geschrieben
  • Autor
Geschrieben

Hi Norbert,

 

das bekomme ich beim beim Outlook -EMail Autokonfigurationstest heraus:

 

<?xml version="1.0" encoding="utf-8"?>
<Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006">
  <Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
    <User>
      <DisplayName>Administrator</DisplayName>
      <LegacyDN>/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=administrator</LegacyDN>
      <AutoDiscoverSMTPAddress>administrator@test-europe.com</AutoDiscoverSMTPAddress>
      <DeploymentId>c9813941-f3f1-429e-a833-aee9a01747bd</DeploymentId>
    </User>
    <Account>
      <AccountType>email</AccountType>
      <Action>settings</Action>
      <MicrosoftOnline>False</MicrosoftOnline>
      <Protocol>
        <Type>EXCH</Type>
        <Server>127723e0-71ce-4bc5-87ec-f1c8192c12d8@test-europe.com</Server>
        <ServerDN>/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=127723e0-71ce-4bc5-87ec-f1c8192c12d8@test-europe.com</ServerDN>
        <ServerVersion>73C082C8</ServerVersion>
        <MdbDN>/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=127723e0-71ce-4bc5-87ec-f1c8192c12d8@test-europe.com/cn=Microsoft Private MDB</MdbDN>
        <PublicFolderServer>serverex.testeurope.local</PublicFolderServer>
        <AD>SERVERDC.testeurope.local</AD>
        <ASUrl>https://serverex.testeurope.local/EWS/Exchange.asmx</ASUrl>
        <EwsUrl>https://serverex.testeurope.local/EWS/Exchange.asmx</EwsUrl>
        <EmwsUrl>https://serverex.testeurope.local/EWS/Exchange.asmx</EmwsUrl>
        <EcpUrl>https://serverex.testeurope.local/ecp/</EcpUrl>
        <EcpUrl-um>?rfr=olk&p=customize/voicemail.aspx&exsvurl=1&realm=testeurope.local</EcpUrl-um>
        <EcpUrl-aggr>?rfr=olk&p=personalsettings/EmailSubscriptions.slab&exsvurl=1&realm=testeurope.local</EcpUrl-aggr>
        <EcpUrl-mt>PersonalSettings/DeliveryReport.aspx?rfr=olk&exsvurl=1&IsOWA=<IsOWA>&MsgID=<MsgID>&Mbx=<Mbx>&realm=testeurope.local</EcpUrl-mt>
        <EcpUrl-ret>?rfr=olk&p=organize/retentionpolicytags.slab&exsvurl=1&realm=testeurope.local</EcpUrl-ret>
        <EcpUrl-publish>customize/calendarpublishing.slab?rfr=olk&exsvurl=1&FldID=<FldID>&realm=testeurope.local</EcpUrl-publish>
        <EcpUrl-photo>PersonalSettings/EditAccount.aspx?rfr=olk&chgPhoto=1&exsvurl=1&realm=testeurope.local</EcpUrl-photo>
        <EcpUrl-extinstall>Extension/InstalledExtensions.slab?rfr=olk&exsvurl=1&realm=testeurope.local</EcpUrl-extinstall>
        <OOFUrl>https://serverex.testeurope.local/EWS/Exchange.asmx</OOFUrl>
        <UMUrl>https://serverex.testeurope.local/EWS/UM2007Legacy.asmx</UMUrl>
        <OABUrl>https://serverex.testeurope.local/OAB/03f250bb-9563-4f36-b0f7-92b4566188ed/</OABUrl>
        <ServerExclusiveConnect>off</ServerExclusiveConnect>
      </Protocol>
      <Protocol>
        <Type>EXPR</Type>
        <Server>serverex.testeurope.local</Server>
        <SSL>Off</SSL>
        <AuthPackage>Ntlm</AuthPackage>
        <ServerExclusiveConnect>on</ServerExclusiveConnect>
        <CertPrincipalName>None</CertPrincipalName>
        <GroupingInformation>Default-First-Site-Name</GroupingInformation>
      </Protocol>
      <Protocol>
        <Type>WEB</Type>
        <Internal>
          <OWAUrl AuthenticationMethod="Basic, Fba">https://serverex.testeurope.local/owa/</OWAUrl>
          <Protocol>
            <Type>EXCH</Type>
            <ASUrl>https://serverex.testeurope.local/EWS/Exchange.asmx</ASUrl>
          </Protocol>
        </Internal>
      </Protocol>
      <Protocol>
        <Type>EXHTTP</Type>
        <Server>serverex.testeurope.local</Server>
        <SSL>Off</SSL>
        <AuthPackage>Ntlm</AuthPackage>
        <ASUrl>https://serverex.testeurope.local/EWS/Exchange.asmx</ASUrl>
        <EwsUrl>https://serverex.testeurope.local/EWS/Exchange.asmx</EwsUrl>
        <EmwsUrl>https://serverex.testeurope.local/EWS/Exchange.asmx</EmwsUrl>
        <EcpUrl>https://serverex.testeurope.local/ecp/</EcpUrl>
        <EcpUrl-um>?rfr=olk&p=customize/voicemail.aspx&exsvurl=1&realm=testeurope.local</EcpUrl-um>
        <EcpUrl-aggr>?rfr=olk&p=personalsettings/EmailSubscriptions.slab&exsvurl=1&realm=testeurope.local</EcpUrl-aggr>
        <EcpUrl-mt>PersonalSettings/DeliveryReport.aspx?rfr=olk&exsvurl=1&IsOWA=<IsOWA>&MsgID=<MsgID>&Mbx=<Mbx>&realm=testeurope.local</EcpUrl-mt>
        <EcpUrl-ret>?rfr=olk&p=organize/retentionpolicytags.slab&exsvurl=1&realm=testeurope.local</EcpUrl-ret>
        <EcpUrl-publish>customize/calendarpublishing.slab?rfr=olk&exsvurl=1&FldID=<FldID>&realm=testeurope.local</EcpUrl-publish>
        <EcpUrl-photo>PersonalSettings/EditAccount.aspx?rfr=olk&chgPhoto=1&exsvurl=1&realm=testeurope.local</EcpUrl-photo>
        <EcpUrl-extinstall>Extension/InstalledExtensions.slab?rfr=olk&exsvurl=1&realm=testeurope.local</EcpUrl-extinstall>
        <OOFUrl>https://serverex.testeurope.local/EWS/Exchange.asmx</OOFUrl>
        <UMUrl>https://serverex.testeurope.local/EWS/UM2007Legacy.asmx</UMUrl>
        <OABUrl>https://serverex.testeurope.local/OAB/03f250bb-9563-4f36-b0f7-92b4566188ed/</OABUrl>
        <ServerExclusiveConnect>On</ServerExclusiveConnect>
        <CertPrincipalName>None</CertPrincipalName>
      </Protocol>
      <PublicFolderInformation>
        <SmtpAddress>EX2013@test-europe.com</SmtpAddress>
      </PublicFolderInformation>
    </Account>
  </Response>

 

Kannst du damit etwas anfangen?

 

Danke



Achja, das habe ich auch schon probiert.

 

Hat kurz einen Erfolg gebracht, dann kam aber wieder die Meldung mit dem Zertifikat.

 

Auf dem Server serverDC im DNS folgende Einträge setzen

Neue Zone

test-europe.com

und dann

Unter test-europe.com und testeurope.local Forward.lookupzone


Darauf rechts Klick weitere neue Einträge

SRV

Dienst: _autodiscover

Protokoll_ _tcp

Portnummer: 443

Host der diesen Dienst anbietet: serverex.testeurope.local  oder auch remote.test-europe.com  (Dieser Host muß in dem Zertifikat enthalten sein)



Auf dem Client ipconfig /flushdns

den DNS Cache löschen


Outlook auf dem Client starten

Dort dann auf dem Outlook Symbol in der Systemtray "E-Mail Autokonfiguration testen"

Dort kann man dann unter Protokolle die Angaben der Autoermittlung sehr gut erkennen auf welchen Hosts die autodiscovery-Datei liegt.
 

 

Hat leider nicht wirklich richtgi geholen.

Link zu diesem Kommentar
magicpeter Veteran

magicpeter   9

Geschrieben
  • Autor
Geschrieben

Sorry, wir setzen einen Exchange 2013 ein und das läuft das SCript nicht.

 

Alle Virtuellen Verzeichnisse wurden unter der Exchange Verwaltungsoberfläsche gesetzt.

 

Und geprüft:

 

 
Get-AutodiscoverVirtualDirectory | ft Identity,InternalURL,ExternalUrl
Get-webservicesVirtualDirectory | ft Identity,InternalURL,ExternalUrl
Get-OabVirtualDirectory | ft Identity,InternalURL,ExternalUrl
Get-OwaVirtualDirectory | ft Identity,InternalURL,ExternalUrl
Get-EcpVirtualDirectory | ft Identity,InternalURL,ExternalUrl
Get-ActiveSyncVirtualDirectory | ft Identity,InternalURL,ExternalUrl

Alle da nur der Get-AutodiscoverVirtualDirectory | ft Identity,InternalURL,ExternalUrl bringt keine Verzeichnisse zurück.
 
Die Zertifizioerungsmeldung kommt aber immer noch beim Start von Outlook.

 

Wo Hakt es denn jetzt noch?



Hi Norbert,

 

nur noch mal zur Erinnerung.

 

<<<

Wenn ich jetzt in der Exchange Verwaltung unter Server / Zertifikate für das Interne Zertifikat (ServerEXCA) den Port IIS aktiviere funktioniert die Interne Verbindung mit den Outlooks wieder ohne Fehlermeldung.

 

Aber die externen Outlooks können sich jetzt nicht mehr Verbinden. Dafür muß ich wieder für das Zertifikat (remoteZert) für die Domain remote.domain.de anpassen und den Port IIS aktivieren.

 

Leider läßt sich nicht bei beiden Zertifikaten der Port IIS aktivieren.

<<<

 

Das wäre so einfach... (o; wenn es ginge...

Link zu diesem Kommentar
magicpeter Veteran

magicpeter   9

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Hallo,

 

Problem wurde gelöst....

 

Folgender Lösungsweg wurde beschritten.

 

Dies kann mit folgenden Konfigurationsschritten umgangen werden:

Die internen und externen URLs für die virtuellen Verzeichnisse auf dem Exchange Server müssen auf die externen URLs eingestellt werden:
 

01.jpg


Diese Einstellung muss für alle virtuellen Verzeichnisse gemacht werden. für die gelb markierten virtuellen Verzeichnisse in der folgenden Grafik kann dies über die Exchange Verwaltungswebsite gemacht werden:

 

 

02.jpg

 


Natürlich müssen wir nun auch noch dafür sorgen, dass interne Clients die "externe" URL auch auflösen können. Dazu werden auf dem internen DNS-Server eigene Zonen für diese URL erstellt:

 

 

 

03.jpg

 


Darin wir dann ein leerer A-Record mit der IP des Exchange Servers erstellt:

 

 

 

04.jpg


Dies reicht aber noch nicht, um die Zertifikatsfehlermeldungen beim öffnen des Outlooks los zu werden. Das Problem ist nun noch der Autodiscover Dienst.

Wenn man über die Exchange Verwaltungsseite das virtuelle Verzeichnis für Autodiscover öffnet, gibt es keine Möglichkeit interne oder externe URLs zu definieren. Dies muss über die Exchange Shell gesetzt werden. Schauen wir uns zuerst einmal an, was per Default als interne URL gesetzt ist. Dies können wir mit folgendem Befehl:

Get-ClientAccessServer | FL AutoDiscoverServiceInternalUri

Hier wird die interne URL zum Autodiscoverdienst ausgegeben. Diese muss nun auf die externe URL umgestellt werden:

Set-ClientAccessServer -Identity <Netbiosname des Exchange Servers> -AutoDiscoverServiceInternalUri "https://autodiscover.mydomain.com/autodiscover/autodiscover.xml

Aber auch jetzt gibt es noch Zertifikatsfehlermeldungen beim öffenen des Outlook. Dies liegt daran, dass im IIS noch nicht auf beiden Websites (Frontend - und Backendwebsite) das offizielle Zertifikat zugewiesen ist.

Als letzter Schritt muss also noch auf beiden Webs im ISS unter "Bindings" das offizielle Zertifikat zugewiesen werden.

 

Auf folgenden Seiten wurde die Informationen veröffentlicht:

 

http://it-blog.bru.ch/2013/02/exchange-2013-in-einer-local-domane.html

http://comegu.de/ssl-zertifikat-auf-windows-server-mit-iis7-einrichten-howto.html

 

So klappt es prima.

 

Wichtig nach den Änderugnen den Exchange Server einmal neustarten.

 

Dann klappt alles prima und keine Meldung erscheinen mehr beim Outlook start.

bearbeitet von magicpeter
Link zu diesem Kommentar
  • 4 Wochen später...
magicpeter Veteran

magicpeter   9

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Jetzt gibt es noch ein kleines Problem mit externen Outlooks.

 

Die vergessen die Proxy-Server Einstellungen.. nach dem 2ten mal Outlook starten.

 

post-52818-0-37230400-1381169043_thumb.gif

 

Anschließend steht in dem https:// Feld nur der lokale Mailserver: serverex.domain.local

 

und die Häkchen beim

 

 

 
Häkchen vor "Nur SSL für Verbindung verwenden"
 
Und ein Häkchen vor dem Nächten Punkt "Verbindung mit Proxyserver herstellen,.."
 
In das nächste Feld Tragen Sie dann folgenden Wert ein.
 
msstd:remote.kundendomain.com
 
sind auch weg
 
Es funkltioniert beim ersten mal alles.
 
emails empfangen und versenden.
 
Warum beim 2ten mal nicht mehr?
 
Was läuft das falsch?
 
Wer schreibt die neuen Daten da rein? )o;
 
Danke für euere Hilfe.
bearbeitet von magicpeter
Link zu diesem Kommentar
  • 2 Wochen später...
magicpeter Veteran

magicpeter   9

Geschrieben
  • Autor
Geschrieben

Problem gelöst...

 

 

Exchange Verwaltungsconsole starten
Server / Server / Outlook Anywhere 
Dort den Externen Host der im Zertifikat steht für Intern und Extern eintragen.
remote.kundendomain.com

 

Exchange Verwaltungs Shell starten

 

get-OutlookProvider | fl

 

Set-OutlookProvider -Identity EXCH -CertPrincipalName msstd:remote.kundendomain.com

Set-OutlookProvider -Identity EXPR -CertPrincipalName msstd:remote.kundendomain.com

Set-OutlookProvider -Identity WEB -CertPrincipalName msstd:remote.kundendomain.com


Am PC vor dem Start von Outlook

ipconfig /flushdns

 

Dann gibt es auch keine Fehlermelungen und Anmeldeversuche mehr.

Alles läuft automatisch.

Link zu diesem Kommentar
  • 1 Jahr später...
magicpeter Veteran

magicpeter   9

Geschrieben
  • Autor
Geschrieben

Moin noch ein kleiner Nachtrag:

 

Da ich ja, die internen und externen URLs für die virtuellen Verzeichnisse auf dem Exchange Server auf die externe URL eingestellt habe benötige ich jetzt doch nur noch ein Zertifikat für die externe URL und nicht mehr für die ganzen internen URLS oder?

 

Mein Internes Zertifikat läuft am 02.09.2015 ab. Dann brauche das doch nicht zu erneuern.

 

Da mein Zertifikat für die externe URL remote.kundendomain.com noch ein Jahr läuft.

 

Das sollte doch klappen oder?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...