Assassin

@Norbert... http://www.mcseboard.de/topic/207252-split-dns-wie-ist-es-denn-nun-richtig/?do=findComment&comment=1302980 da ist die sache mit dem SBS... Warum hat Microsoft es da nicht selbst mit eingebaut das wenn man sich ein neues Zertifikat auf einem SBS2011 über den Assistenten "Internetadresse einrichten" machen lässt, das da schon gleich mit was von Autodiscover drin steht? :( da steht wirklich nur "mail.meinedomäne.de", "meinedomäne.de" und der interen FQDN des servers drin - mehr nicht...vorallem ist das Zertifikat was so erstellt wird länger gültig, als wenn ich eine Zertifikat direkt aus dem exchange raus erstelle :schreck:

Die Internen namen standen aber sogar ab werk im installierten Exchange Zertifikat mit drin beim SBS O_O auch wenn ich diesen Assistenten von der SBS konsole nutze und er mir nen neues Zertifikat baut, steht auch der Server selber mit seinem interen FQDN mit drin *kopfkratz* oder macht der SBS das weil er dieses zertifikat als "Hauptzertifikat" nimmt für die default website im IIS, damit es im Intranet wenn man auf diese Companyweb-Site zugreift es nicht auch noch zu einem Zertifikatfehler kommt? Aber stört es denn wenn da mehrere Namen zusätzlich mit drin stehen? Und dann noch eine frage - beim erstellen eines neuen Exchange-Zertifikats kann man ja auch ein Wildcard Zertifikat erstellen wenn ich das richtig mitbekommen habe, also z.B. "*.meinedomäne.de" aber dem traue ich nicht so recht...oder geht das genauso? *edit* Achso, wegen diesem Zertifikatsfehler der irgendwann mal erscheint...wenn man sich dieses Zertifikat anschaut, ist dies eins vom externen Domänenanbieter, wo die E-Mails liegen O_O also das Outlook versucht sozusagen ständig irgendwelche adressen über Autodiscover rauszufinden, und greift irgendwie doch noch nach extern, und kommt so an das nicht uns gehörende Zertifikat, sondern an das unseres E-Mail Anbieters, bzw. des WebDomain hosters... aber warum macht Outlook das? nslookup auf autodiscover.meinefirma.de auf den Clients führt auf die IP des lokalen Servers hier im LAN...echt unbegreiflich sowas...ich will das alte Outlook 2010 wieder haben :(

ersteinmal nur die wichtigsten:"mail.meinedomäne.de", "meinedomäne.de", "SRV01.meinedomäne.local",und "autodiscover.meinedomäne.de"...ich glaube es könnte damit zusammen hängen das ich "meinedomäne.local" vergessen habe, oder? -.- als Zonen habe ich: autodiscover.meinedomäne.de mail.meinedomäne.de (activesync,...) in den jeweiligen zonen einen A Record eintrag gemacht mit der internen Server ip (192.168.1.250), namen freigelassen sodass der übergeordnete name verwendet wird

und das funktioniert reibunslos mit Outlook 2013/2016? Bei einem Kunden haben wir z.B. SBS2011 im einsatz, allerdings mit dem Pop3 Connector (vorerst bis der Kunde eine Statische IP Adresse hat) Split DNS eingerichtet wie in Variante4. Eigenes Exchange Zertifikat entsprechend erstellt. Beim Ersten Start finden die Outlook 2016 clients auch alle einstellungen brav, gibt auch keine Lizenzwarung oder dergleichen. Abruf geht, auch abwesenheitsassistent. Aber irgendwann mittem beim Arbeiten kommt auf einmal ein Zertifikatsfehler wo der untere Punkt nicht erfüllt wird (Name auf dem Sicherheitszertifikat ungültig). Oben steht "autodiscover.meinedomäne.de" also die externe Domäne. Diese ist doch eigentlich über das SplitDNS nach intern umgeleitet auf den Exchange...darum wundert es mich, warum irgendwann nach einigen Minuten im Outlook im lokalen Netzwerk auf einmal die meldung kommt. Was auch nicht geht im Outlook: Senden als z.B. Info (also ein anderer Benutzer). Das geht nur am anfang wenn ich den benutzer über das "von" feld auswähle. Auch ein paar minuten nachher geht es noch nachdem das Outlook profil neu eingerichtet wurde. Aber nach ein paar minuten geht dies nicht mehr durch die vorauswahl in dem "von" feld, ich müsste den eintrag erst wieder rauslöschen, und anschließend den Benutzer wieder neu auswählen. Mache ich den cache modus vom outlook aus, geht es immer. Verstehe ich absolut nicht warum es das so macht, dabei sind die profile und auch die autocompletecache dateien gelöscht...und trotzdem geht es nur für ein paar minuten

Servus, Vieleicht kann mir hier ja jemand helfen, bzw. eine Antwort geben, da ich zum Thema Split-DNS unterschiedliche Themen finden was die Einstellungen angehen. Nehmen wir als Beispiel einen Server 2008R2 mit dem DNS. SplitDNS sollte halt für einen Exchange Server 2013 eingerichtet werden, wo mehrere Outlook 2016 Clients dran hängen. es gibt da z.B. Variante1: https://www.psw-group.de/newsletter/domains-anleitung.pdf es wird nur eine neue Zone erstellt für mail.meinedomäne.de, der Autodiscover eintrag wird hier aber in der Lokalen domäne mit eingetragen unter _tcp variante2: http://www.msexchange.org/articles-tutorials/exchange-server-2010/management-administration/exchange-autodiscover-part2.html es wird eine neue Zone erstellt für meinedomäne.de, darin werden A-Records gemacht für mail und autodiscover variante3: http://colleago.com/renew-exchange-2010-ucc-ssl-certificate/#! das selbe wie bei varainte 2, nur das statt A-Records gleich CNAME einträge gemacht werden Variante4: es werden zwei zonen erstellt, jeweils für mail.meinedomäne.de und autodiscover.meinedomäne.de. darin ist jeweils die interne IP des Servers angegben (übergeordnete domäne) und variante5: es wird eine zone erstellt für mail.meinedomäne.de, darin wird ein SRV eintrag für _autodiscover für den dienst _tcp eingerichtet, der auf mail.meinedomäne.de zeigt Das sind die dinge, die ich so mitlerweile kennen gelernt habe...aber welcher dafon ist den nun der korrekte weg? ich denke mal variante 4, oder?

was aber komisch ist warum das nicht aufgelöst werden kann, den in den DNS einstellungen steht der Speedport als Weiterleitungsziel drin mit seiner IPv4 Adresse...naja egal Speedports mag ich eh nicht :D

hab den fehler schon gefunden, hat doch etwas mit dem IPv6 zutun vom Speedport aber... Und zwar, hatte ich doch am Server beim IPv6 Protokoll ein DNS Loopback auf sich selbst gemacht (durch ::1) nehem ich diesen raus, bekommt der Server durch den Router korrekte IPv6 Adressen übermittelt (obwohl DHCP auf dem Router Deaktiviert ist!) und damit steht der Router wieder als DNS Server im *nichtgenutztem* IPv6 Protokoll drin - und damit komme ich auch auf den Speedport -> Heißt also, das das Webinterface vom Speedport ausschließlich über IPv6 erreichbar ist, über den DNS Namen... klasse sache. Der Kunde hat den Router bei der Telekom gemietet -.- daher können wir da nicht mehr viel machen, außer ihn zeitnahe auf einen Business anschluss umzustellen, und auch da einen Lancom Router hinzusetzen, oder notfalls das ding nur als Modem fungieren lassen für eine Securepoint UTM.

Hallo an alle, ich werd noch irre hier mit einem Server der eventuell nur mit dem Router... Also, ein Kunde hat von uns einen neuen Server + 2 Client PCs bekommen. Server ist ein Server2012R2 Essentials, und die PCs haben beide noch Windows 7 Pro x64 drauf. Wir richten das ganze system samt Domain bei uns ein, also mitels Lancom Router welchen wir die selbe IP geben wie dann der Spätere Kundeneigene Router haben wird. Unser LanCom router routet nur von dem deiem Kundennetzwerk in unser "gast" netzwerk um Internet zu bekommen. Damit haben wir die Domäne auf dem Server eingerichtet, und die Clients auch wunderschön schon zum Domänen-Netzwerk hinzugefügt und alles fertig gemacht - wie immer eben. Der Server hat eine feste IPv4 adresse verpasst bekommen, DNS auf sich selbst über 127.0.0.1. im DNS ist der Router als Weiterleitungsziel hinterlegt, und DNS Anfragen sollen auf allen adaptern und ipv4 und ipv6 adressen beantwortet werden (standardeinstellungen) So, nun haben wir die Hardware beim Kunden aufgebaut, nur er hat eben kein Lancom, sondern einen Speedporet W921v mit aktuellster FW. Dieser hat die selbe IP wie unser Lancom Router. Zuerst wunderte ich mich, warum die PCs so lange brauchen bei der Anmeldung - blick ins ereignisprotokoll ergab, das die Kein Domaincontroler finden können, obwohl dieser aber Anpingbar ist, auch die Netzlaufwerke funktionieren. nslookup brachte aber nur IPv6 auflösungen raus. ipv6 brauchen wir aber netzwerk intern nicht, also am Speedport abgeschaltet - PCs finden angeblich immernoch kein Domaincontroller. Also an den Clients die IPv6 dienste bei der Netzwerkkartenkonfiguration rausgenommen. Damit läuft nun wieder alles, Clients melden sich wieder schnell an, und finden auch den Server richtig. Nun ist es aber so, das ich nicht mehr auf die Webconfig vom Router draufkomme, egal ob mit dem IE oder dem FF. Weder über IP noch über speedport.ip Stelle ich aber einen PC mit ins netzwerk der KEIN Domainmitglied ist, und über DHCP eine IP zugewiesen bekommt, kann dieser problemlos auf das Webinterface des Routers zugreifen. DHCP Server ist der Server selbst, dem im Router haben wir abgeschalten. Er übergibt auch die selben GW und DNS einstellungen wie wir sie fest eingestellt haben bei den Domain-Client PCs, also als GW den Router, und als einzigen DNS die Server IP. beim Server habe ich das IPv6 aktiviert gelassen, musste da aber als primären DNS das "::1" eingeben, was ja eigentlich auch nur ein loop back auf sich selbst sein sollte ein ping auf die IP des Routers geht, aber nicht auf speedport.ip Ich werd noch Irre hier mit diesem Speedport :-/ Habt ihr schonmal mit sowas zu kämpfen gehabt? *edit* gerade was Gefunden...scheint wahrlich was mit dem Speedport und einem nicht deaktivierbaren IPv6 dhcp zutun zu haben die Verbindungsprobleme https://telekomhilft.telekom.de/t5/Geraete-Zubehoer/Speedport-921V-FW-110-Thema-DHCP-aus-und-IPV6-DHCP-bleibt-aktiv/td-p/1013157

Eine Schule... da gibt es ein Pädagogisches Netzwerk, ein Verwaltungsnetzwerk, und ein "öffentliches" Netzwerk - alles natürlich Phyisikalisch getrennt...

Hallo allerseits, gibt es eventuell irgendwo eine art Demo-Netzwerkdokumentation wie eine strukturierte Dokumentation (Word) aussehen könnte oder sogar eine Vorlage, wo man darauf aufbauen könnte? Bisher haben wir einfach alles an wichtigen Infos wie IPs, Passwörter und Stellort und dergleichen in eine Excel Tabelle hinterlegt, aber das ist ja eher was für Technisch versierte. Wie könnte man soetwas "kundengerechter" aufbauen?

mit zone meinst du eine Subdomain anlegen? Den Server habe ich nicht ausgesucht, ich hab schon genug geflucht als ich hörte was die Websitebetreuer der Firma sich da für einen Strato-Server gemietet haben :-/ naja was solls. Also, ein nslookup auf autodiscover.meinefirma.de löst nun die statische IP der Firma auf :) (subdomain angelegt, und per a-record umgebogen) beim reverse dns bin ich mir aber unsicher...da momentan noch der name von der Telekom aufgelöst wird wenn ich ein nslookup auf die IP mache. Die Firma selber ist aber nicht der direkte Empfänger der Mails, es gibt ein vorgeschalteten Dienstleister, eine art Relay die die Mails annehmen, und über eine kleine standleitung in unseren Exchange weiterleitet. Auf wem sollte da der Reverse DNS (oder reverse mapping wie Telekom es wohl nennt) zeigen?

ich muss das Thema hier nochmal kurz hochschubssen... ein A-Record kann ich ja nur für die jeweilige Domain und für entsprechende Subdomains setzen... heißt das jetzt, das ich zuerst eine Subdomain "autodiscover" erstellen muss, diese leer lasse, und über einen A-Record einfach "umleite" auf die statische IP welche die Firma nun hat? Wie gesagt - ich kenne es nur über CName, oder wie z.B. bei All-Inkl.com das man ein A-Record einen Namen verpassen kann...das alles gibts aber nicht bei den Strato V-Servern :(

drumherrum wird nicht gehen schätze ich, da wir die web-domain wo auch die E-Mailadresse registriert sind - nicht verwalten. Ich kann keine A-Records oder CName einträge setzen, da dies nur eine untergestellte firma ist

danke @testperson, das war es :) also unter IPv4->Adressen. Da stand überall 0.0.0.0 drin außer im VPN-DHCP bereich. Damit hat der Lancom sich selbst als DNS server übermittelt, was natürlich Falsch ist. Habe da den Lokalen Server als Primären DNS eingetragen, und schon bekommen die Clients den richtigen DNS server übermittelt und schon funktioniert ds auch mit dem Outlook und HTTPs :)

Aber wie? Wir haben einen Lancom Router im einsatz in verbindung mit dem Lancom NCP Client. Eingrichtet durch dieses 1-click setup. Es Sollte in der Theorie ja automatisch eine Namensauflösung hinbekommen. machts aber nicht. Also werde ich mich mit Lancom nocheinmal in verbindung setzen, warum es das nicht macht.

Moin Moin, ist es möglich einem Outlook 2013 es beizubringen, das es NICHT den https Modus verwenden soll um sich mit dem Exchange 2010 zu verbinden, sondern wirklich NUR über LAN kommunizieren soll? Grund: Es geht um eine Firma mit statischer öffentlicher IP, die einen Exchange2010 haben - dieser ist aber ein untergeordneter und bekommt seine mails von der "Hauptfirma" die auch die web-domain haben. Diese Administrieren wir Nicht, sondern eben nur die außenstelle um die es hier geht. Die Mitarbeiter greifen über VPN auf das Firmennetzwerk zu, und auch nur darüber soll das Outlook laufen. Nun ist es aber so, dass wenn der Haken drin ist, das das Outlook über Outlook Anywhere, also HTTPS mit dem exchange kommunizieren soll, es keine verbindung mehr mit dem Exchange zustande bekommt, es fragt immeer nach einem Kennwort, und das Windows anmeldekennwort nimmt er da nicht. Erst wenn man den Haken rausnimmt, verbindet sich das Outlook über den VPN tunnel auch mit dem Exchange. Aber dieser haken wird jedes mal aufs neue von selbst wieder reingemacht vom Outlook. - kann man dies verhindern? der VPN macht keine Namensauflösung - nur IP routing.

Ohha, ok gut, dann wirds klassisch über A-Record gemacht. Danke für die Hilfe :)

Ok, das mit dem zertifikat ist nicht das problem, da wird eins gekauft und gut ist... Aber ist halt immernoch die frage ob das bei dem Vserver reicht ein a-record zur festen ip des exch. Servers anzugeben?

Aber nur das iphone verbindet sich auch. Andrpid handy und windows phones mit den selben einstellungen finden zwar die Einstellungen und erkennen ein zertifikatsfehler, aber wenn man die einrichtung abschließen will kommt er in einen timeout und bricht ab :(

Naja ein iphone geht auch jetzt schon, das ignoriert anscheinend alles xD Ist neben Outlook intern was momentan funktioniert xD Aber ist das wirklich so, das ein windows phone NUR mit einem echten kauf-zertifikat funktionieren wird?

Habe ich, aber so richtig schlau werde ich daraus dennoch nicht :/ Ich denke mal, das entweder der 4. Endpunkt etwas sein könnte, oder halt einen srv eintrag. Beim 4. Endpunkt wird also direkt die domain gefragt, sprich in unserem fall also "https://webdomain. De/autodiscover/autodiscover Nun ist die frage, erwartet der client da ebenfalls eine autodiscover.xml? Kann man diese xml selber bearbeitenund darin reinschreiben das der server über dyndns erreichbar ist? Und diese sozusagen einfach auf dem webhost ablegen? Wird wohl nicht funktionieren. Die frage ist dann auch, was ein android oder windows-phone macht, ob das ebenfalls diese 5 stufen endpunktabfrage macht...

mit einem Webserver? Was genau meinst du da? was wir da wohl auch noch zur auswahl haben ist ein SRV Eintrag, aber soweit ich gehört habe, mögen das Handys nicht so recht...bei Outlook wird dann eine Meldung kommen das etwas umgeleitet wurde und ob man das zulassen möchte. Wir hatten nun zwar mal ein einfaches redicrect eingebaut auf der subdomain-website - aber ist klar das das nicht funktioniert, da es ja auf "https://autodiscover."+ domain + "/autodiscover/autodiscover" + Dateierweiterung" zugreifen will... Und ihr meint, das funktioniert aber mit einem A-Record definitiv? Warum macht man das da mit CNAMES? ich habs zumindest so gelernt -.-

Jep... Also wirds mit dyndns so ersteinmal eh nicht funktionieren? Gut, da können wir nur warten bis es die Statische IP gibt (bzw. den anschluss)

Nabend allerseits, hat hier event. jemand einen Strato vServer (Linux) sich gemietet wo auch die Webdomain drauf liegt? Geht ums Autodiscover Problem ist, das es bei strato nur bei den "einfachen" Webhosting Paketen die möglichkeit gibt, im DNS der jeweiligen Subdomain ein CNAME eintrag zu setzen. Und soweit ich weiß, braucht man ja einen CNAME eintrag für Autodiscover, welcher entweder auf sich selbst zeigt (z.B. Mail.webdomain.de) wo ein A-Record dahinter steckt der die öffentliche IP Des Exchange-Servers hat, oder man trägt da direkt eine Dyn-DNS Adresse ein, die zum Exchange Server auflöst... Nun ist aber das Problem - bei einem gemietetem vServer wo man seine Website drauf parkt und die Domain mit draufliegen hat - gibt es keine CNAME DNS einstelungen, maximal ip-A Records (ich hoffe strato meint damit die Klassichen A-Records?) aber reicht das, einen A-Record zu setzen für autodiscover.webdomain.de ? oder braucht autodiscover zwingend einen CNAME eintrag? Weil dann würde es mit der Dyn-DNS adresse ja nicht mehr klappen, da man bei A-Records ja keine domains angeben kann, sondern nur IPs :-/ Wie läuft das da ab? Die Firma um die es geht braucht noch ein paar Wochen bis die eine Statische IP bekommen... aber würd das dann überhaupt Funktionieren mit A-Records?

Neue erkentniss: die website liegt auf einem gemietetem Server welcher ebenfalls eine dynamische IP hat (Strato), und ein cname eintrag kann man somit nicht mehr setzen für subdomains. Man kann nur eine einfache weiterleitung machen...ist doch im prinzip das gleiche wie ein Cname, bzw. Ähnlich. Aber wird das funktionieren? Wenn wir eine autodiscover.meinedirma.de anlegen und diese website weiterleiten auf meinefirma.spdns.de welche ebenfalls auf den eigentliche exchange server weiterleitet? Ich schätze das wird dem Zertifikat ganz und garnicht gefallen :/ Was haben wir da noch für möglichkeiten das Autodiscover richtig zum laufen zu bringen?