numx 10 Posted January 30, 2017 Report Share Posted January 30, 2017 Hallo, in betrieb befindet sich ein Exchnage 2013 CU14 auf einem Windows Server 2012R2. Der Exchange ist so konfiguriert das mittels POPCon alle Mails für jeden Benutzer von 1und1 per POP3 abgeholt werden und der Exchnage via SMTP Authentifizierung die E-Mails von den Outlook Clients zu 1und1 sendet und diese dann von 1und1 in die Welt bzw. zum Empfänger Mail-Server weiter gesendet werden. Die funktioniert soweit alles korrekt. Jetzt möchte ich Benutzern die zwar im Active Directory angelegt sind und auch ein Exchange Postfach besitzen den Zugriff von außen auf ihr Postfach gewähren. Dieses soll so passieren das die Benutzer von Rechner aus die nicht der internen AD Domäne angehören den Exchange Server kontaktieren bzw. sich mit ihm verbinden können. Das ganze soll über Autodiscover ermöglicht werden. Auf dem Exchange selber sind alle Vorkehrungen (externer Hostname bei Outlook Anywhere eingetragen, gültiges Zertifikat einer öffentlichen CA installiert, usw.) getroffen. Was mir noch nicht ganz klar ist sind die Aufgaben bzw. Einstellungen die ich bei 1und1 für den Zugriff von außen auf den Exchange einstellen muss um mich per Autodiscover mit dem internen Exchnage zu verbinden. Anmerkung: Das NAT auf der Firewall für das Portforwarding zum Exchange von der externe IP-Schnittstelle ist auch schon getätigt und funktioniert auch weil ich von extern z.B. über den Namen https://mailserver.domäne.de/owaOutllook WebApp aufrufen kann. Hierfür habe ich mit für die Domain domäne.de eine Subdomain namens mailserver.domäne.de (externer Exchange-Server Hostname) angelegt und per A-Record auf die externe IP der Firewall verlinkt. Für das Autodiscover würde ich jetzt unterhalb von domäne.de einen SRV Eintrag setzen der auf die Subdomain bzw. den A-Recorder der Subdomain mailserver.domäne.de zeigt. Dieser Eintrag würde dann so aussehen. Type: SRV Service: autodiscover Protocol: tcp Name: domäne.de Host name: mailserver.domäne.de Priority: 0 Weight: 5 Port: 443 TTL: 3600 Vorschau_autodiscover._tcp.domäne.de 3600 IN SRV 0 5 443 mailserver.domäne.de Jetzt meine Frage: Ist dieses vorgehen bei 1und1 für das Autodiscover richtig oder habe ich mit dem Anlegen der Subdomain bzw. den dazugehörigen A-Record einen Fehler gemacht? Oder stimmt etwas am SRV Eintrag nicht? Mir ist im Grunde genommen nicht ganz klar wie man bei 1und1 korrekte DNS Einstellungen vor nimmt um ein sauberes Autodiscover umzusetzen. Quote Link to comment
NorbertFe 2,050 Posted January 30, 2017 Report Share Posted January 30, 2017 Einen Service Record brauchst du nur, wenn du den Namen autodiscover.deineexternedomain.tld nicht im Zertifikat stehen hast. Falls der Name drin steht, dann vergiß den Servicerecord und leg bei 1und1 eine neue Subdomain autodiscover.deineexternedomain.tld an und trag deine IP Adresse ein. Gibt's nen Grund, warum man heute immer noch mit POPConnector rumpopelt? Wenn du jetzt sowieso Port 443 von extern aufmachst, gibt's offensichtlich ja eine feste IP und ich würde mir das Gefrickel mit der Pflege von POPKonten beim Provider, POPKonten im POPConnector und AD Nutzern nicht antun. Von Spamfilter usw. mal ganz zu schweigen. Bye Norbert Quote Link to comment
numx 10 Posted February 1, 2017 Author Report Share Posted February 1, 2017 Hallo Norbert, ich habe jetzt mal bissel gegoogelt und bin jetzt auch öfter auf die Info von dir zwecks SRV Eintrag und gültiges Zertifikat bzw. autodiscover.........de gestoßen. Ist es denn so das man einen SRV nur Einsetzt wenn man bestimmte Domains nicht in seinem Zertifkat mit aufgenommen hat oder hat der SRV Eintrag noch einen anderen Sinn/Zweck? Dann wüsste ich noch gerne was den SRV Eintrag so besonders macht das dann falls eine Domain im Zertifikat fehlt keine Zertifikatswarnmeldung mehr für den aufgerufenen Service erscheint. Gibt es trotzdem jemanden der weis wie man bei 1und1 das Autodiscover mit einem SRV Eintrag einrichtet wenn man seinen eigenen Exchange darüber ansprechen will? Die Lösung von Norbert tut es sicherlich auch aber rein aus Interesse würde mich das mal interessieren. Quote Link to comment
NorbertFe 2,050 Posted February 1, 2017 Report Share Posted February 1, 2017 Einen Service Record hat MS nur eingeführt, weil SAN Zertifikate für nahe 100% der Admins damals wahrscheinlich Böhmische Dörfer waren. Deswegen kann auch afaik nur Outlook überhaupt damit umgehen (habs aber lange nicht mehr getestet). Heißt, wenn du sowieso autodiscover.deinedomain.tld im Zertifikat stehen hast, brauchst du NIE einen SRV Record vorausgesetzt du hast auch einen A-Record autodiscover.deinedomain.tld eingerichtet. Dein Vorschlag oben sieht doch stimmig aus. Was gefällt dir daran nicht? Quote Link to comment
testperson 1,682 Posted February 1, 2017 Report Share Posted February 1, 2017 (edited) Gibt es trotzdem jemanden der weis wie man bei 1und1 das Autodiscover mit einem SRV Eintrag einrichtet wenn man seinen eigenen Exchange darüber ansprechen will? Die Lösung von Norbert tut es sicherlich auch aber rein aus Interesse würde mich das mal interessieren. Sofern du in deinem 1und1 Paket den DNS Server bearbeiten kannst, kannst du das im "DNS Editor" oder unter Domain Verwaltung -> DNS Einstellungen (oder wie es grade heißt) bearbeiten. Dort kannst du auch SRV Records anlegen. Bei 1und1 könntest du aber auch eine autodiscover Subdomain anlegen und dann eine HTTP-Weiterleitung machen oder eben den A-Record für die Subdomain gleich richtig anpassen. Edited February 1, 2017 by testperson Quote Link to comment
numx 10 Posted February 1, 2017 Author Report Share Posted February 1, 2017 @Norbert, ja ich werde es dann wohl machen. Ich dachte immer der SRV sei etwas ganz neues und löse den A-Record und CNAME für den Autodiscover Fall ab. Aber nun wurde ich ja eines besseren belehrt. Danke @testperson, also so wie du es schreibst müsste man sobald man den SRV nutzen möchte noch zusätlich eine Subdomain anlegen und in dieser Subdomain den A-Record setzen. Diese Subdomain trägt man dann beim autodiscover SRV Eintrag als Hostname ein. Sehe ich das so richtig? Quote Link to comment
NorbertFe 2,050 Posted February 1, 2017 Report Share Posted February 1, 2017 Das Problem sind die bescheidenen Möglichkeiten bei 1und1 o.ä. Die immer nur mit subdomains hantieren lassen, anstatt a-Records u.a anlegen zu lassen. Die wenigsten brauchen subdomains, sondern eigentlich a-Records. Quote Link to comment
testperson 1,682 Posted February 2, 2017 Report Share Posted February 2, 2017 @testperson, also so wie du es schreibst müsste man sobald man den SRV nutzen möchte noch zusätlich eine Subdomain anlegen und in dieser Subdomain den A-Record setzen. Diese Subdomain trägt man dann beim autodiscover SRV Eintrag als Hostname ein. Sehe ich das so richtig? Nein für den SRV Record brauchst du keine Subdomain. Den willst (musst) du für deine (E-Mail)-Domain setzen. Wenn du Domains anklickst und dann die zu verwaltende Domain, dann kannst du DNS Einträge bearbeiten und wenn du dann nach ganz unten scrollst kannst du TXT und SRV Records anlegen. Quote Link to comment
NorbertFe 2,050 Posted February 2, 2017 Report Share Posted February 2, 2017 Nur wozu? ;) Quote Link to comment
testperson 1,682 Posted February 2, 2017 Report Share Posted February 2, 2017 Weil er's kann! ;) Man(n) soll ja angeblich auch im Leben einen Baum gepflanzt haben. Da bin ich heil froh, dass ich sowohl schonmal einen Baum gepflanz habe als auch einen SRV Record erstellt habe ^^ Quote Link to comment
NorbertFe 2,050 Posted February 2, 2017 Report Share Posted February 2, 2017 Der Baum hat aber einen Zweck und der autodiscover service Record nur, wenns keinen passenden a-Record gibt. ;) Quote Link to comment
testperson 1,682 Posted February 2, 2017 Report Share Posted February 2, 2017 (edited) Och komm schon, du alte Miesmuschel ;) Ich versuchs mir halt irgendwie sinnvoll- / schönzureden. #MakeSRVRecordsGreatAgain Edited February 2, 2017 by testperson Quote Link to comment
NorbertFe 2,050 Posted February 2, 2017 Report Share Posted February 2, 2017 Ich hab nix gegen service Records. Braucht man für Skype, Jabber, Citrix. Aber eher nicht für Exchange :p Quote Link to comment
numx 10 Posted February 2, 2017 Author Report Share Posted February 2, 2017 :D :D :D oh man jetzt habt ihr mich ganz veriwirrt. Ich werde eure Aussagen nochmal aufdröseln und vielleicht entdeckt ihr dann meinen Denkfehler vom SRV. @testperson schreibt: "Nein für den SRV Record brauchst du keine Subdomain. Den willst (musst) du für deine (E-Mail)-Domain setzen. Wenn du Domains anklickst und dann die zu verwaltende Domain, dann kannst du DNS Einträge bearbeiten und wenn du dann nach ganz unten scrollst kannst du TXT und SRV Records anlegen." Jetzt meine Frage wie wird dann der Hostname der beim Anlegen des SRVs angegeben wird aufgelöst wenn man für diesen keinen A-Record setzen muss? Ich muss doch einen A-Record setzen damit der Hostname aufgelöst werden kann und bei 1und1 muss ich doch erst eine Subdomain anlegen damit ich dann auf diese einen A-Resord setzen kann. Die Sudomain wäre dann ja quasi der Hostname den ich beim SRV eintrage. Wenn ich nur unterhalb meiner Stammdomäne einen SRV anlegen wird die Anfrage über Autodiscover ohne ein setzen des A-Records nie den Hostnamen vom SRV Eintrag auflösen können - oder sehe ich das komplett falsch? @NorbertFe schreibt: Der Baum hat aber einen Zweck und der autodiscover service Record nur, wenns keinen passenden a-Record gibt. ;) Hier genauo das gleich wie oben. Meint ihr ein reiner SRV reicht aus ohne für den Hostnamen einen A-Record setzen zu müssen? Dann würde ich gerne Wissen wie der Hostname den man innerhalb des SRVs einträgt aufgelöst wird. Ich möchte einfach nur den Hintergrund verstehen bzw. ob man das bei 1und1 überhaupt umsetzen könnte. Quote Link to comment
NorbertFe 2,050 Posted February 2, 2017 Report Share Posted February 2, 2017 Hör doch einfach mal drauf, dass du keinen SRV Record brauchst! Nimm dir einen beliebigen Windows DNS Server und leg einfach mal nen SRV Record an. Dann siehst du doch ganz genau, was da passiert. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.