Jump to content

Exchange Zugriff ohne interne FQDN


DIS
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Da interne Domains immer öfter nichtmehr in ein Zertifikat aufgenommen werden können habe ich an einem Exchange Server 2010 Split-DNS eingerichtet und:

- Alle Dienste (ECP, EAS, OABD, OWA, Autodiscover, WebServicesVirtualDirectory)

- Den Service Connection Point (SCP) im Active Directory

- Den RPCClientAccessServer Parameter der Datenbank

 

so umkonfiguriert, dass sowohl intern als auch extern nur mehr die von extern erreichbare Clientzugriffsdomäne mail.sss.at verwendet wird. Folglich muss der interne FQDN "Server01.sss.local" nichtmehr im Zertifikat stehen. Diese Konfiguration funktioniert mittlerweile auch und alle neu eingerichteten Clients werden per Autodiscover richtig konfiguriert und können auf ihre Exchangekonten zugreifen.

 

Mir ist allerdings aufgefallen, dass der Clientzugriff von Extern dadurch wesentlich langsamer geworden ist. Der Grund dafür ist, dass vorher die Verbindung über RPC/TCP aufgebaut wurde. Jetzt probiert Outlook beim Start immer zuerst RPC/TCP bekommt aber keine Verbindung und dann nach ca. 30 Sekunden wird RPC/HTTPS versucht, was auch funktioniert.

Wenn ich den Server jetzt in die DMZ stelle ist das Problem weg und der externe Zugriff funktioniert ohne Verzögerung und Wartezeiten wieder über RPC/TCP. In der Verbindungsübersicht tauchen immer die Ports 6010 sowie 10872 auf. Wenn der Server jedoch nicht in der DMZ steht und man Portweiterleitungen für die beiden Ports anlegt ist das Problem jedoch wieder da. Folglich müssen hier noch andere Ports im Spiel sein. Bei diversen Recherchen habe ich jedoch nichts gefunden und ich möchte den Server nicht unbedingt in der DMZ stehen haben.....

 

Vielleicht hat hier jemand eine Lösung - ansonsten muss ich mir mal eine Nacht mit Wireshark um die Ohren schlagen....

Link to comment

Welche Exchange Version setzt du überhaupt ein? Ich vermute mal Exchange 2010? Du willst doch nicht ernsthalft deinen Exchange mit diesen Ports ins Internet hängen, oder? ;)

http://www.mcseboard.de/topic/208081-autodscover-über-http-redirect-und-zertifikate/#entry1310896


Da interne Domains immer öfter nichtmehr in ein Zertifikat aufgenommen werden können


Um genau zu sein, gar nicht mehr. Und das ist bekannt seit ca. 5 Jahren. ;)

https://www.digicert.com/internal-names.htm
https://cabforum.org/internal-names/ Edited by NorbertFe
Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...