Autodiscovery mit zwei Domänen mit Vertrauensstellung und gemeinsamen Exchange

[Spackenheimer 3]

Moin liebes Forum,

ich bin hier aktuell dabei Altlasten unseres Vorgänger-Admins zu beheben.

Es handelt sich um zwei Unternehmen, welche jeweils eine eigene Domäne haben, die per Vertrauensstellung miteinander verbunden sind. Es sind .local Domänen.

Es gibt einen gemeinsamen Exchange, der steht in der Domäne der Firma AAA . Die Postfächer der Firma BBBB  sind als verknüpfte Postfächer angelegt.

Bisher war Autodiscovery bei Firma B folgendermaßen geregelt: Es gab im DNS der BBB.local eine Zone namens BBB.com (das ist auch die Mail- und Web-Domain). Dort gab es einen _autodiscovery SRV Eintrag mit Verweis auf exchange.local.AAA.com, welcher wiederum über eine Bedingte Weiterleitung (local.AAA.com) aufgelöst wurde. Damit die MA auch auf die eigene Website kommen wurde in der Zone BBB.com ein Hosteintrag namens WWW mit der entsprechenden IP erstellt. Das ist aber unglücklich, weil so nun andere Seiten unter der Domain nicht erreichbar sind, wie z.B. die karriere.BBB.com.

Da ich das nicht ständig pflegen will habe ich es folgendermaßen umgebaut:

In der BBB.local eine DNS Zone autodiscover.BBB.com angelegt mit Hosteintrag der auf die IP des Exchange verweist. Damit funktioniert Autodiscovery und Outlook, allerdings kommt jedes mal ein Zertifikatsfehler (jeweils nur 1x beim Verbinden & Outlook Start, aber trotzdem unglücklich), weil das Zertifikat des Exchange ja auf die AAA.com ausgestellt ist (also mail.AAA.com und exchange.local.AAA.com).

Ich bräuchte also sowas wie einen CNAME Aliaseintrag in der Zone autodiscover.BBB.com, welche in den zum Zertifikat passenden Namen übersetzt. Den kann ich aber nicht ohne Namen im root der Zone anlegen und wenn ich eine Zone mit BBB.com und autodiscover als CNAME anlege, habe ich ja wieder das Ausgangsproblem.

 

Versteht jemand dieses Gewurschtel? :D

[NorbertFe 1.798]

Definiere halt einen http redirect auf autodiscover.bbb.com (HTTP!!!!) der dann auf autodiscover.aaa.com geht (302).

[cj_berlin 1.129]

Moin,

wenn nur AD-Member und darauf nur Outlook-Clients zu versorgen sind, kannst Du den Autodiscover-SCP in den zweiten Forest schreiben lassen (Export-AutodiscoverConfig).

Wenn Du DNS zwingend brauchst --> siehe Norberts Vorschlag oder alternativ einen Alias (CNAME-Record). Den Alias könntest Du theoretisch sogar in der öffentlichen Zone von BBB setzen und bräuchtest zumindest dafür kein Split-DNS.

[NorbertFe 1.798]

vor 3 Minuten schrieb cj_berlin:

alternativ einen Alias (CNAME-Record)

Wenn im Zertifikat nur AAA.com drin steht, sollte das trotzdem Fehler verursachen, soweit ich mich erinnnere.

[cj_berlin 1.129]

Gerade eben schrieb NorbertFe:

Wenn im Zertifikat nur AAA.com drin steht, sollte das trotzdem Fehler verursachen, soweit ich mich erinnnere.

Eigentlich nicht, sonst würde O365 ja nicht funktionieren - oder? Das ist der Unterschied zwischen CNAME und A auf die IP des Exchange...

Ich meine so etwas:

[Spackenheimer 3]

vor 19 Minuten schrieb cj_berlin:

Alias (CNAME-Record)

Das war ja meine Idee. Der lässt sich in der Zone autodiscover.BBB.com aber nicht ganz oben anlegen ohne einen Namen anzugeben.

[NorbertFe 1.798]

vor 31 Minuten schrieb cj_berlin:

Eigentlich nicht, sonst würde O365 ja nicht funktionieren - oder? Das ist der Unterschied zwischen CNAME und A auf die IP des Exchange...

 

Ja der wichtige Teil ist (auch bei O365) eben HTTP Redirect. Ob das nu ein Alias oder CName ist, sollte weitestgehend egal sein.

vor 17 Minuten schrieb Spackenheimer:

Das war ja meine Idee. Der lässt sich in der Zone autodiscover.BBB.com aber nicht ganz oben anlegen ohne einen Namen anzugeben.

 

Das ist falsch. Du brauchst einen Host, der dir einen HTTP Redirect ermöglicht. Per DNS ist das nicht lösbar (maximal mit SCP wie oben schon geschrieben)

[Spackenheimer 3]

Ok, da komme ich gerade nicht weiter.

Ich habe den redirect bei der Seite Autodiscover im IIS auf dem Exchange eingestellt, ändert aber nichts und führt im Gegenteil dazu, dass Autodiscover nicht mehr funzt und der Zertifikatsfehler kommt immer noch. Habe alle drei Namen die im Zertifikat stehen ausprobiert und auch mit den Haken beim Umleitungsverhalten gespielt.

[NorbertFe 1.798]

vor 32 Minuten schrieb Spackenheimer:

Ich habe den redirect bei der Seite Autodiscover im IIS auf dem Exchange eingestellt, ändert aber nichts und führt im Gegenteil dazu, dass Autodiscover nicht mehr funzt und der Zertifikatsfehler kommt immer noch. Habe alle drei Namen die im Zertifikat stehen ausprobiert und auch mit den Haken beim Umleitungsverhalten gespielt.

Du sollst ja auch nicht irgendwo rumklicken, sondern du sollst einen NEUEN Host nehmen, der den http Redirect anbietet. In vielen Fällen gibts für sowas bspw. irgendwo einen ReverseProxy, der sowas auf einer eigenen IP anbieten kann.

 

Bye

Norbert

[testperson 1.523]

Hi,

 

wäre es nicht am aller (, aller, aller) einfachsten, ein paar Mark in die Hand zu nehmen und ein neues Zertifikat auszustellen, welches "autodiscover.<zweite Domain>.<tld>" als SAN hat? Im "Worst Case" dann halt auch in gratis per Let's Encrypt.

 

Gruß

Jan

bearbeitet 15. September 2021 von testperson

[Spackenheimer 3]

vor 11 Stunden schrieb testperson:

wäre es nicht am aller (, aller, aller) einfachsten, ein paar Mark in die Hand zu nehmen und ein neues Zertifikat auszustellen, welches "autodiscover.<zweite Domain>.<tld>" als SAN hat? Im "Worst Case" dann halt auch in gratis per Let's Encrypt.

 

In der Tat... Das war so einfach, dass ich nicht drauf gekommen bin. :D