Jump to content

Exchange Konten anbinden für Trusted Domain Users


Direkt zur Lösung Gelöst von jets187,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

wir haben vor einiger Zeit ein Trust zwischen 2 Forests erstellt, da die Firmen der Forests fusioniert. Unser Forest nenne ich hier mal Forest A und die Gegenseite Forest B.

 

Der Trust funktioniert wunderbar. Forest A stellt für die User von Forest B einen Terminal Server  (RDSH Server 2016) zur Verfügung, damit Applikationen die auf Seiten von Forest A zur Verfügung stehen, die User von Forest B nutzen können. Die User von Forest B melden sich mit Ihren Forest B Accounts am Terminal Server von Forest A an. Dazu habe ich entsprechende GPO's eingerichtet. Wie schon gesagt funktioniert die Anmeldung am RDSH Server einwandfrei.

 

Nun zu meinem eigentlichen Problem. 

 

Beide Forests besitzen eine Exchange Umgebung mit jeweils einem Exchange Server. Forest A hat einen Exchange 2010 im Einsatz und Forest B einen Exchange 2016.

 

Die User von Forest B haben natürlich Postfächer, die weiter genutzt werden sollen. Über Exchange OWA können die User ohne Probleme am RDSH Server Ihre Postfächer nutzen.

 

Was nicht klappt ist die Postfach Einrochtung der User von Forest B. Wenn ich Outlook starte, dann erkennt Outlook Automatisch die Mail Adresse des Users von Forest B (Anzeige auf der Startseite des Assistenten). Wenn ich auf weiter klicke, dann erscheint aber plötzlich das Zertifikat unserers Exchange Servers (für die Serverauthentifizierung) statt des Exchange Server Zertifikats von Forest B. Das ist für mich ein Indiz, dass Autodiscover von Outlook nicht an den Exchange von Forest B geht sondern von Forest A. 

 

Ist es überhaupt möglich, die Exchange Postfächer des Forest B auf dem RDSH Server / Outlook von Forest A einzurichten. 

 

Zur Info: Für den Trust haben ich im DNS des Forst A und B jeweils ein Conditionel Forwarding eingerichtet, was auf die jeweiligen DNS Server zeigt. 

 

Liegt es am DNS, oder gibt es auch sowas wie ein Exchange Forest Trust?

 

Danke

Bildschirmfoto 2020-06-10 um 12.34.44.jpg

Link zu diesem Kommentar
vor 42 Minuten schrieb djmaker:

Ich glaube Frank hat deine Situation hier beschrieben:

 

https://www.msxfaq.de/exchange/autodiscover/autodiscover_sonderfaelle.htm

Hi djmaker,


sieht danach aus. Ich werde der sache mal nachgehen.

 

vor 10 Minuten schrieb Nobbyaushb:

Dann ist das kein von extern ausgestelltes Zertifikat - oder Split-DNS passt nicht.

 

Müssten man aus beiden Umgebungen einmal sehen

 

Wie groß sind die jeweils?

 

Hi NobbyausHB,

 

beide Umgebunden haben ca. 30 Posftfächer und kein DAG. 

 

Was meinst du mit Split Brain. In meinem DNS gibt es ein Conditional Forwarding was auf die DNS Server von Forest B zeigt und umgekehrt.

 

Auf beiden Seiten gibt es keine Interne und externe Autodiscover URL

 

Get-AutodiscoverVirtualDirectory | fl internalurl,externalurl zeigt keine URLs an.

 

Get-ClientAccessServer | fl *InternalUri* zeigt auf die FQDN des jeweiligen Exchange Servers.

 

Danke

bearbeitet von jets187
Link zu diesem Kommentar
vor 12 Minuten schrieb jets187:

...was meinst du mit Split Brain.

Ich meine Split-DNS

Du hast einen Eintrag im DNS für z.B. webmail.firma.com und einen weiteren Eintrag autodiscover.firma.com auf die IP des Exchange intern (die beiden Namen hast du mindestens im Zertifikat)

Das bei beiden Forest

Wenn die Exchange-Zertifikate von Extern ausgestellt sind, ist nun alles gut

Wenn die intern von einer internen CA ausgestellt wurden, muss das Root-Cert der internen CA in dem jeweiligen anderen Forest importiert werden

Sind die selbstsigniert (durch den Exchange) ist das gar nicht supportet

:-)

bearbeitet von Nobbyaushb
Link zu diesem Kommentar
vor 53 Minuten schrieb jets187:

Sorry,

habe mich mir Split DNS verlesen :lool:. Die Zertifikate auf meinem Exchange Server sind Self Signed. Im Forest B das gleiche.

Den Effekt siehst du gerade - und es gibt keine Ausreden, die kosten heute keine tausende mehr.

Wenn die Einstellungen korrekt gesetzt sind und die Zertifikate zu den URL passen hat man keine Probleme

 

Bei der Gelegenheit auch den UPN gleich der Mailadresse setzten...

Link zu diesem Kommentar

Hallo Norbert hallo Nobby,

 

ok habe jetzt das Problem verstanden. Das heisst, dass es tatsächlich nur an den Self Signed Zertifikaten liegt und dadurch das Split DNS nicht zustande kommt. Ich glaube nicht, dass mein GF probleme damit hat, Zertifikate zu kaufen. Die kosten wirklich keine tausende mehr.

 

2 SAN Zertifikate für die entsprechenden Eschange Dienste und das war es (hoffe ich mal)

 

Danke

Link zu diesem Kommentar
  • Beste Lösung

Hallo zusammen. Ich habe das Problem gelöst. In Franks Artikel wird ja beschrieben, dass der SCP Eintrag der Target Domain, also in meinem Fall Forest B, in Forest A importiert werden muss. Habe das über den Exchange Server vom Forest B gemacht.

 

$cred= Get-Credential Export-AutoDiscoverConfig -DomainController dc1.source.tld -TargetForestDomainController dc2.target.tld -TargetForestCredential $cred -MultipleExchangeDeployments $true -verbose

 

Ich musste noch das Self Signed Zertifikat des Exchange von Forest B auf meinem RDSH Server in den Zertifikatsspeicher unter "Vertrauenswürdige Stammzertifizierungstellen" importieren. 

 

Jetzt klappt alles wie es soll.

 

Danke nochmal an djmaker für den wertvollen Tipp.

bearbeitet von jets187
Link zu diesem Kommentar
vor 11 Minuten schrieb jets187:

Hallo zusammen. Ich habe das Problem gelöst. In Franks Artikel wird ja beschrieben, dass der SCP Eintrag der Target Domain, also in meinem Fall Forest B, in Forest A importiert werden muss. Habe das über den Exchange Server vom Forest B gemacht.

 

$cred= Get-Credential Export-AutoDiscoverConfig -DomainController dc1.source.tld -TargetForestDomainController dc2.target.tld -TargetForestCredential $cred -MultipleExchangeDeployments $true -verbose

 

Ich musste noch das Self Signed Zertifikat des Exchange von Forest B auf meinem RDSH Server in den Zertifikatsspeicher unter "Vertrauenswürdige Stammzertifizierungstellen" importieren. 

 

Jetzt klappt alles wie es soll.

 

Danke nochmal an djmaker für den wertvollen Tipp.

Ist trotzdem gebastel und fällt dir irgendwann wieder auf die Füße

Wie der andere Norbert schon geschrieben hat - man bekommt das hin, ist halt trotzdem gefrickel.

Mit einem Externen Cert und allem nach Best Practice hat man halt weniger Probleme.

Habt ihr keine mobilen Devices, die sich über die Zertifikate beschweren?

Nun denn, wenn das für euch so OK ist...

 

PS: die Antwort in dem Thread mit den RDS sollte wohl hier her, oder?

Könnte man auch mit einem vernünftigen Zertikat das Problem beseitigen...

bearbeitet von Nobbyaushb
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...