Jump to content
Sign in to follow this  
roccomarcy

Autodiscover mit mehreren Domains und einem Zertifikat

Recommended Posts

Hallo,

 

ich habe hier einen Exchange-Server und mehrere E-Maildomänen, die genutzt werden.

Für Empfang und Versand steht eine dedizierte Appliance vor dem Exchange, dies ist aber erstmal irrelevant für die Autodiscover-Konfiguration.


Die WebApp ist über einen Reverse-Proxy freigegeben, welcher auch SSL terminiert. Für alle E-Maildomänen gibt es eine Serveradresse mail.hauptdomaene.de.

Es gibt auch nur ein Zertifikat fuer die o.g. Serveradresse. Fuer andere E-Maildomänen nicht.

 

Was gilt es nun zu konfigurieren? Für jede Domäne bei unserem Anbieter einen Autodiscover-Record setzen mit Ziel auf die o.g. Adresse?
Muss diese Konstellation im internen DNS auch abgebildet werden?

 

Als ExternalUrl steht unter Get-AutodiscoverVirtualDirectory schon https://mail.hauptdomaene.de/..../. Die InternalURL ist leer.

Share this post


Link to post
Share on other sites

Hi,

 

SRV Records sind Mist. Das nutzen nicht alle Clients (eigentlich nur Outlook für Windows afair). Also solltest du auf http redirect ausweichen. Du brauchst also eine andere/weitere IP, welche NICHT per https erreichbar ist und per 302 redirect auf die eigentliche domain weiterleitet. Diese zusätzliche IP muss unter autodiscover.domain2.tld, autodiscover.domain3.tld usw. erreichbar sein (also alle ausser die Hauptdomain).

 

Bye

Norbert

Share this post


Link to post
Share on other sites
Gerade eben schrieb roccomarcy:

Muss dafür auch SSL terminiert werden?

Häh? Meine Antwort gelesen?

 

Mit internen Clients kann man das identisch handhaben (wenn man bspw. nen Kemp Loadbalancer hat, geht das per "klick". Wenn aber alle internen Clients auch Domain Member sein sollten ist das egal, weil die intern dann ja den SCP fragen.

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Ja, jetzt nach zweitem Durchlesen auch verstanden. :)

Also richte ich erstmal den Redirect ein.

 

Kann ich im Exchange auch konfigurieren, dass er als Benutzername die E-Mailadresse und/oder den Benutzernamen zulässt?

Share this post


Link to post
Share on other sites
6 minutes ago, roccomarcy said:

Kann ich im Exchange auch konfigurieren, dass er als Benutzername die E-Mailadresse und/oder den Benutzernamen zulässt?

Du meinst im OWA?

https://docs.microsoft.com/en-us/powershell/module/exchange/client-access-servers/set-owavirtualdirectory?view=exchange-ps

[-LogonFormat <FullDomain | PrincipalName | UserName>]

[-DefaultDomain <String>]

 

Wenn es die eMail Adresse sein soll muss der UPN der Nutzer gleich der eMail Adresse sein.

Share this post


Link to post
Share on other sites
vor 13 Minuten schrieb roccomarcy:

Kann ich im Exchange auch konfigurieren, dass er als Benutzername die E-Mailadresse und/oder den Benutzernamen zulässt?

Ja, aber nicht im Exchange (der zeigt nur das an, was du im AD konfigurierst). Also mußt du

1. 26 UPN Suffixes einpflegen

2. bei den Nutzern den Userprincipal Name identisch zu seiner jeweiligen Adresse ändern.

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Muss ich dazu auch noch die Authentifizierungsmethode der OWA-Webseite anpassen?
Diese steht aktuell nicht auf UPN sondern auf Benutzername.

 

Habe das Autodiscover mit Redirect gestern einmal eingerichtet,

der Analyzer im Internet gibt auch sein OK wieder, aber beim iPhone klappt es nicht.

Ich habe meinem Benutzer dafür mal als UPN meine primary Mailadresse gegegeben,

aber er will Domäne, Servername, usw. immer noch manuell haben.

Share this post


Link to post
Share on other sites

Was soll ich ausprobieren?
Die Authentifizierungsmethode ändern?

Das habe ich nach dem Abschicken des o.g. Beitrages gemacht, half auch nicht.

(Ja, IISReset durchgeführt)

Share this post


Link to post
Share on other sites

Du authentifizierst dich aber auch direkt am Exchange? Der Reverse Proxy macht keine Pre-Authentication?

Beim Microsoft RCA hast du UPN oder sAMAccountName benutzt?

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...