Jump to content

Exchange Zugriff ohne interne FQDN

DIS

Von DIS
in MS Exchange Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

DIS Enthusiast

DIS   10

Geschrieben
Geschrieben

Da interne Domains immer öfter nichtmehr in ein Zertifikat aufgenommen werden können habe ich an einem Exchange Server 2010 Split-DNS eingerichtet und:

- Alle Dienste (ECP, EAS, OABD, OWA, Autodiscover, WebServicesVirtualDirectory)

- Den Service Connection Point (SCP) im Active Directory

- Den RPCClientAccessServer Parameter der Datenbank

 

so umkonfiguriert, dass sowohl intern als auch extern nur mehr die von extern erreichbare Clientzugriffsdomäne mail.sss.at verwendet wird. Folglich muss der interne FQDN "Server01.sss.local" nichtmehr im Zertifikat stehen. Diese Konfiguration funktioniert mittlerweile auch und alle neu eingerichteten Clients werden per Autodiscover richtig konfiguriert und können auf ihre Exchangekonten zugreifen.

 

Mir ist allerdings aufgefallen, dass der Clientzugriff von Extern dadurch wesentlich langsamer geworden ist. Der Grund dafür ist, dass vorher die Verbindung über RPC/TCP aufgebaut wurde. Jetzt probiert Outlook beim Start immer zuerst RPC/TCP bekommt aber keine Verbindung und dann nach ca. 30 Sekunden wird RPC/HTTPS versucht, was auch funktioniert.

Wenn ich den Server jetzt in die DMZ stelle ist das Problem weg und der externe Zugriff funktioniert ohne Verzögerung und Wartezeiten wieder über RPC/TCP. In der Verbindungsübersicht tauchen immer die Ports 6010 sowie 10872 auf. Wenn der Server jedoch nicht in der DMZ steht und man Portweiterleitungen für die beiden Ports anlegt ist das Problem jedoch wieder da. Folglich müssen hier noch andere Ports im Spiel sein. Bei diversen Recherchen habe ich jedoch nichts gefunden und ich möchte den Server nicht unbedingt in der DMZ stehen haben.....

 

Vielleicht hat hier jemand eine Lösung - ansonsten muss ich mir mal eine Nacht mit Wireshark um die Ohren schlagen....

NorbertFe Grand Master

NorbertFe   2.283

Geschrieben
Geschrieben (bearbeitet)

Welche Exchange Version setzt du überhaupt ein? Ich vermute mal Exchange 2010? Du willst doch nicht ernsthalft deinen Exchange mit diesen Ports ins Internet hängen, oder? ;)

http://www.mcseboard.de/topic/208081-autodscover-über-http-redirect-und-zertifikate/#entry1310896


Da interne Domains immer öfter nichtmehr in ein Zertifikat aufgenommen werden können


Um genau zu sein, gar nicht mehr. Und das ist bekannt seit ca. 5 Jahren. ;)

https://www.digicert.com/internal-names.htm
https://cabforum.org/internal-names/ bearbeitet von NorbertFe
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...