Jump to content

Autodiscovery mit zwei Domänen mit Vertrauensstellung und gemeinsamen Exchange


Recommended Posts

Moin liebes Forum,

ich bin hier aktuell dabei Altlasten unseres Vorgänger-Admins zu beheben.

Es handelt sich um zwei Unternehmen, welche jeweils eine eigene Domäne haben, die per Vertrauensstellung miteinander verbunden sind. Es sind .local Domänen.

Es gibt einen gemeinsamen Exchange, der steht in der Domäne der Firma AAA . Die Postfächer der Firma BBBB  sind als verknüpfte Postfächer angelegt.

Bisher war Autodiscovery bei Firma B folgendermaßen geregelt: Es gab im DNS der BBB.local eine Zone namens BBB.com (das ist auch die Mail- und Web-Domain). Dort gab es einen _autodiscovery SRV Eintrag mit Verweis auf exchange.local.AAA.com, welcher wiederum über eine Bedingte Weiterleitung (local.AAA.com) aufgelöst wurde. Damit die MA auch auf die eigene Website kommen wurde in der Zone BBB.com ein Hosteintrag namens WWW mit der entsprechenden IP erstellt. Das ist aber unglücklich, weil so nun andere Seiten unter der Domain nicht erreichbar sind, wie z.B. die karriere.BBB.com.

Da ich das nicht ständig pflegen will habe ich es folgendermaßen umgebaut:

In der BBB.local eine DNS Zone autodiscover.BBB.com angelegt mit Hosteintrag der auf die IP des Exchange verweist. Damit funktioniert Autodiscovery und Outlook, allerdings kommt jedes mal ein Zertifikatsfehler (jeweils nur 1x beim Verbinden & Outlook Start, aber trotzdem unglücklich), weil das Zertifikat des Exchange ja auf die AAA.com ausgestellt ist (also mail.AAA.com und exchange.local.AAA.com).

Ich bräuchte also sowas wie einen CNAME Aliaseintrag in der Zone autodiscover.BBB.com, welche in den zum Zertifikat passenden Namen übersetzt. Den kann ich aber nicht ohne Namen im root der Zone anlegen und wenn ich eine Zone mit BBB.com und autodiscover als CNAME anlege, habe ich ja wieder das Ausgangsproblem.

 

Versteht jemand dieses Gewurschtel? :D

Link to post

Moin,

wenn nur AD-Member und darauf nur Outlook-Clients zu versorgen sind, kannst Du den Autodiscover-SCP in den zweiten Forest schreiben lassen (Export-AutodiscoverConfig).

Wenn Du DNS zwingend brauchst --> siehe Norberts Vorschlag oder alternativ einen Alias (CNAME-Record). Den Alias könntest Du theoretisch sogar in der öffentlichen Zone von BBB setzen und bräuchtest zumindest dafür kein Split-DNS.

Link to post
vor 31 Minuten schrieb cj_berlin:

Eigentlich nicht, sonst würde O365 ja nicht funktionieren - oder? Das ist der Unterschied zwischen CNAME und A auf die IP des Exchange...

 

Ja der wichtige Teil ist (auch bei O365) eben HTTP Redirect. Ob das nu ein Alias oder CName ist, sollte weitestgehend egal sein.

vor 17 Minuten schrieb Spackenheimer:

Das war ja meine Idee. Der lässt sich in der Zone autodiscover.BBB.com aber nicht ganz oben anlegen ohne einen Namen anzugeben.

 

Das ist falsch. Du brauchst einen Host, der dir einen HTTP Redirect ermöglicht. Per DNS ist das nicht lösbar (maximal mit SCP wie oben schon geschrieben)

Link to post

Ok, da komme ich gerade nicht weiter.

Ich habe den redirect bei der Seite Autodiscover im IIS auf dem Exchange eingestellt, ändert aber nichts und führt im Gegenteil dazu, dass Autodiscover nicht mehr funzt und der Zertifikatsfehler kommt immer noch. Habe alle drei Namen die im Zertifikat stehen ausprobiert und auch mit den Haken beim Umleitungsverhalten gespielt.

image.png.0605a285ee4d3c27f9bf83fc31aa5edb.png

Link to post
vor 32 Minuten schrieb Spackenheimer:

Ich habe den redirect bei der Seite Autodiscover im IIS auf dem Exchange eingestellt, ändert aber nichts und führt im Gegenteil dazu, dass Autodiscover nicht mehr funzt und der Zertifikatsfehler kommt immer noch. Habe alle drei Namen die im Zertifikat stehen ausprobiert und auch mit den Haken beim Umleitungsverhalten gespielt.

Du sollst ja auch nicht irgendwo rumklicken, sondern du sollst einen NEUEN Host nehmen, der den http Redirect anbietet. In vielen Fällen gibts für sowas bspw. irgendwo einen ReverseProxy, der sowas auf einer eigenen IP anbieten kann.

 

Bye

Norbert

Link to post

Hi,

 

wäre es nicht am aller (, aller, aller) einfachsten, ein paar Mark in die Hand zu nehmen und ein neues Zertifikat auszustellen, welches "autodiscover.<zweite Domain>.<tld>" als SAN hat? Im "Worst Case" dann halt auch in gratis per Let's Encrypt.

 

Gruß

Jan

Edited by testperson
  • Like 2
Link to post
vor 11 Stunden schrieb testperson:

wäre es nicht am aller (, aller, aller) einfachsten, ein paar Mark in die Hand zu nehmen und ein neues Zertifikat auszustellen, welches "autodiscover.<zweite Domain>.<tld>" als SAN hat? Im "Worst Case" dann halt auch in gratis per Let's Encrypt.

 

In der Tat... Das war so einfach, dass ich nicht drauf gekommen bin. :dismayed::D

  • Haha 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...