Jump to content
jets187

Exchange Konten anbinden für Trusted Domain Users

Recommended Posts

Hallo zusammen,

 

wir haben vor einiger Zeit ein Trust zwischen 2 Forests erstellt, da die Firmen der Forests fusioniert. Unser Forest nenne ich hier mal Forest A und die Gegenseite Forest B.

 

Der Trust funktioniert wunderbar. Forest A stellt für die User von Forest B einen Terminal Server  (RDSH Server 2016) zur Verfügung, damit Applikationen die auf Seiten von Forest A zur Verfügung stehen, die User von Forest B nutzen können. Die User von Forest B melden sich mit Ihren Forest B Accounts am Terminal Server von Forest A an. Dazu habe ich entsprechende GPO's eingerichtet. Wie schon gesagt funktioniert die Anmeldung am RDSH Server einwandfrei.

 

Nun zu meinem eigentlichen Problem. 

 

Beide Forests besitzen eine Exchange Umgebung mit jeweils einem Exchange Server. Forest A hat einen Exchange 2010 im Einsatz und Forest B einen Exchange 2016.

 

Die User von Forest B haben natürlich Postfächer, die weiter genutzt werden sollen. Über Exchange OWA können die User ohne Probleme am RDSH Server Ihre Postfächer nutzen.

 

Was nicht klappt ist die Postfach Einrochtung der User von Forest B. Wenn ich Outlook starte, dann erkennt Outlook Automatisch die Mail Adresse des Users von Forest B (Anzeige auf der Startseite des Assistenten). Wenn ich auf weiter klicke, dann erscheint aber plötzlich das Zertifikat unserers Exchange Servers (für die Serverauthentifizierung) statt des Exchange Server Zertifikats von Forest B. Das ist für mich ein Indiz, dass Autodiscover von Outlook nicht an den Exchange von Forest B geht sondern von Forest A. 

 

Ist es überhaupt möglich, die Exchange Postfächer des Forest B auf dem RDSH Server / Outlook von Forest A einzurichten. 

 

Zur Info: Für den Trust haben ich im DNS des Forst A und B jeweils ein Conditionel Forwarding eingerichtet, was auf die jeweiligen DNS Server zeigt. 

 

Liegt es am DNS, oder gibt es auch sowas wie ein Exchange Forest Trust?

 

Danke

Bildschirmfoto 2020-06-10 um 12.34.44.jpg

Share this post


Link to post

Dann ist das kein von extern ausgestelltes Zertifikat - oder Split-DNS passt nicht.

 

Müssten man aus beiden Umgebungen einmal sehen

 

Wie groß sind die jeweils?

Share this post


Link to post
vor 42 Minuten schrieb djmaker:

Ich glaube Frank hat deine Situation hier beschrieben:

 

https://www.msxfaq.de/exchange/autodiscover/autodiscover_sonderfaelle.htm

Hi djmaker,


sieht danach aus. Ich werde der sache mal nachgehen.

 

vor 10 Minuten schrieb Nobbyaushb:

Dann ist das kein von extern ausgestelltes Zertifikat - oder Split-DNS passt nicht.

 

Müssten man aus beiden Umgebungen einmal sehen

 

Wie groß sind die jeweils?

 

Hi NobbyausHB,

 

beide Umgebunden haben ca. 30 Posftfächer und kein DAG. 

 

Was meinst du mit Split Brain. In meinem DNS gibt es ein Conditional Forwarding was auf die DNS Server von Forest B zeigt und umgekehrt.

 

Auf beiden Seiten gibt es keine Interne und externe Autodiscover URL

 

Get-AutodiscoverVirtualDirectory | fl internalurl,externalurl zeigt keine URLs an.

 

Get-ClientAccessServer | fl *InternalUri* zeigt auf die FQDN des jeweiligen Exchange Servers.

 

Danke

Edited by jets187

Share this post


Link to post
vor 12 Minuten schrieb jets187:

...was meinst du mit Split Brain.

Ich meine Split-DNS

Du hast einen Eintrag im DNS für z.B. webmail.firma.com und einen weiteren Eintrag autodiscover.firma.com auf die IP des Exchange intern (die beiden Namen hast du mindestens im Zertifikat)

Das bei beiden Forest

Wenn die Exchange-Zertifikate von Extern ausgestellt sind, ist nun alles gut

Wenn die intern von einer internen CA ausgestellt wurden, muss das Root-Cert der internen CA in dem jeweiligen anderen Forest importiert werden

Sind die selbstsigniert (durch den Exchange) ist das gar nicht supportet

:-)

Edited by Nobbyaushb

Share this post


Link to post

Sorry,

habe mich mir Split DNS verlesen :lool:. Die Zertifikate auf meinem Exchange Server sind Self Signed. Im Forest B das gleiche.

Share this post


Link to post
vor 30 Minuten schrieb jets187:

Die Zertifikate auf meinem Exchange Server sind Self Signed.

Selbst schuld. ;)

  • Like 1

Share this post


Link to post
vor 53 Minuten schrieb jets187:

Sorry,

habe mich mir Split DNS verlesen :lool:. Die Zertifikate auf meinem Exchange Server sind Self Signed. Im Forest B das gleiche.

Den Effekt siehst du gerade - und es gibt keine Ausreden, die kosten heute keine tausende mehr.

Wenn die Einstellungen korrekt gesetzt sind und die Zertifikate zu den URL passen hat man keine Probleme

 

Bei der Gelegenheit auch den UPN gleich der Mailadresse setzten...

Share this post


Link to post

Hallo Norbert hallo Nobby,

 

ok habe jetzt das Problem verstanden. Das heisst, dass es tatsächlich nur an den Self Signed Zertifikaten liegt und dadurch das Split DNS nicht zustande kommt. Ich glaube nicht, dass mein GF probleme damit hat, Zertifikate zu kaufen. Die kosten wirklich keine tausende mehr.

 

2 SAN Zertifikate für die entsprechenden Eschange Dienste und das war es (hoffe ich mal)

 

Danke

Share this post


Link to post

Man kann das auch mit self signed hinbekommen, aber das is im allgemeinen mehr Arbeit als einfach passende Zertifikate zu beschaffen.

Share this post


Link to post

Hallo zusammen. Ich habe das Problem gelöst. In Franks Artikel wird ja beschrieben, dass der SCP Eintrag der Target Domain, also in meinem Fall Forest B, in Forest A importiert werden muss. Habe das über den Exchange Server vom Forest B gemacht.

 

$cred= Get-Credential Export-AutoDiscoverConfig -DomainController dc1.source.tld -TargetForestDomainController dc2.target.tld -TargetForestCredential $cred -MultipleExchangeDeployments $true -verbose

 

Ich musste noch das Self Signed Zertifikat des Exchange von Forest B auf meinem RDSH Server in den Zertifikatsspeicher unter "Vertrauenswürdige Stammzertifizierungstellen" importieren. 

 

Jetzt klappt alles wie es soll.

 

Danke nochmal an djmaker für den wertvollen Tipp.

Edited by jets187

Share this post


Link to post
vor 11 Minuten schrieb jets187:

Hallo zusammen. Ich habe das Problem gelöst. In Franks Artikel wird ja beschrieben, dass der SCP Eintrag der Target Domain, also in meinem Fall Forest B, in Forest A importiert werden muss. Habe das über den Exchange Server vom Forest B gemacht.

 

$cred= Get-Credential Export-AutoDiscoverConfig -DomainController dc1.source.tld -TargetForestDomainController dc2.target.tld -TargetForestCredential $cred -MultipleExchangeDeployments $true -verbose

 

Ich musste noch das Self Signed Zertifikat des Exchange von Forest B auf meinem RDSH Server in den Zertifikatsspeicher unter "Vertrauenswürdige Stammzertifizierungstellen" importieren. 

 

Jetzt klappt alles wie es soll.

 

Danke nochmal an djmaker für den wertvollen Tipp.

Ist trotzdem gebastel und fällt dir irgendwann wieder auf die Füße

Wie der andere Norbert schon geschrieben hat - man bekommt das hin, ist halt trotzdem gefrickel.

Mit einem Externen Cert und allem nach Best Practice hat man halt weniger Probleme.

Habt ihr keine mobilen Devices, die sich über die Zertifikate beschweren?

Nun denn, wenn das für euch so OK ist...

 

PS: die Antwort in dem Thread mit den RDS sollte wohl hier her, oder?

Könnte man auch mit einem vernünftigen Zertikat das Problem beseitigen...

Edited by Nobbyaushb

Share this post


Link to post

Hallo Nobby,

 

ist wirklich nicht Best Practise und gefrickel. Sauberer ist es natürlich mit Zertifikaten die an keiner stelke angemeckert werden. 

Auch unsere Mobile Devices jammern die Zertifikate an.

 

Ok ist es für mich definitiv nicht aber bis ich alles sauber konfiguriert habe und SSN Zertifikate bezogen habe, ist das meine Lösung.

Share this post


Link to post

 

vor einer Stunde schrieb NorbertFe:

Nichts hält länger als deine Lösung/das Provisorium. ;)

Guten Morgen Norbert, 

leider ist es so. Wenn etwas mal läuft, dann lässt man es auch si laufen, auch wenn es ein Provisoriom ist :nosmile:

Edited by jets187

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...