Jump to content

Split-DNS einführen


Go to solution Solved by roccomarcy,

Recommended Posts

  • Solution

Hallo,

 

die Installation von einem neuen Exchange steht an. Jedoch möchte ich vorher noch Split-DNS einführen,

da aus der Vergangenheit heraus das Thema versäumt wurde. Aktuell ist der Exchange-Server mit der internen URL auf servername.domäne.tld konfiguriert statt auf mail.firma.de. Die externe URL ist allerdings bereits schon korrekt auf mail.firma.de konfiguriert.

 

Meine Herangehensweise wäre nun, dass ich folgende Tätigkeiten durchführe.

 

  • Im DNS zwei Zonen für mail.firma.de und autodiscover.firma.de konfigurieren.
  • Den Exchange-Server mit dem gültigen Zertifikat versorgen.
  • Via PowerShell-Skript (Danke an FrankysWeb) die Adressen anpassen, Ausschnitt:
    [ ... ]
    Get-OwaVirtualDirectory -Server <Servername> | Set-OwaVirtualDirectory -InternalUrl 'https://mail.firma.de/owa' -ExternalUrl 'https://mail.firma.de/owa'
    [ ... ]

 

Ist die o.g. Herangehensweise in Ordnung oder habe ich einen Punkt vergessen? Outlook sollte das ja (eigentlich?) nicht interessieren
und sich die neue Adresse für die Verbindung ziehen, oder?

 

Kann ich im IIS/Exchange irgendwo konfigurieren, dass der http-Zugriff automatisch auf https umgeleitet wird? Nach aktuellem Stand wurde z.B. OWA auch über mail.firma.de aufgerufen und dort hat die Umleitung der Reverse-Proxy übernommen.

Gruß

Link to post

Moin,

die Vorgehensweise ist so in Ordnung. autodiscover.firma.de brauchst Du nur, wenn Du Clients hast, die nicht Mitglied der Domäne sind.

Outlook interessieren die Virtual Directories selbstverständlich auch, zumindest Autodiscover, EWS und MAPI.

HTTP zu HTTPS-Umleitung kannst Du im IIS einrichten, indem Du den Haken bei "Require SSL" in beiden Websites entfernst.

  • Like 1
Link to post

Hallo,

 

danke für die Antwort - sollte natürlich auch für alle Verzeichnisse gelten,

ich wollte die eine Befehlszeile allerdings nur exemplarisch zur Darstellung herausziehen.

 

Den folgenden Haken wirklich entfernen ... ? Oder setzen?

 

grafik.png.685b1722133dfd7198bd8fc9573707d0.png

Link to post

Wenn Du eine halbwegs aktuelle Exchange-Version installiert hast, sollte das Entfernen dieses Hakens - NICHT auf vDir-, sondern, wie von mir beschrieben, auf Website-Ebene - dazu führen, dass HTTP- zu HTTPS-Umleitung stattfindet.

 

Wenn Du den Haken setzt, fordert IIS SSL. Ein Versuch, HTTP zu verwenden, wird mit "Unauthorized" abgewiesen.

Link to post

Moin,

 

es ist noch Exchange 2010 mit dem letzten Update. Der soll ja nun ersetzt werden.

 

Nochmal zur o.g. Anfrage,

das kann ich ja theoretisch in einer arbeitsarmen Zeit ausführen? Die Anwender sollten davon ja idR nichts mitbekommen?

Link to post
vor 14 Minuten schrieb roccomarcy:

Nochmal zur o.g. Anfrage,

das kann ich ja theoretisch in einer arbeitsarmen Zeit ausführen? Die Anwender sollten davon ja idR nichts mitbekommen?

Was jetzt genau? Split-DNS und vDir-URLs umschreiben? Kannst Du machen, für die Migration brauchst Du es ja sowieso.

Link to post

Eine Garantie wird Dir niemand geben, der Deine Umgebung nicht kennt. Aber wenn im Zertifikat sowohl der FQDN des Servers als auch der externe (und nun auch interne) Namespace als SANs hinterlegt sind, die CA-Kette vom IIS ausgeliefert wird und die Clients ihr vertrauen, sollte das nahtlos funktionieren.

vor 29 Minuten schrieb roccomarcy:

es ist noch Exchange 2010 mit dem letzten Update. Der soll ja nun ersetzt werden.

Da musste man IIRC noch basteln, damit die HTTP-Umleitung funktioniert. Aber auf dem Exchange 2016 kannst Du das machen, wenn er da ist.

Link to post

Outlook cacht die URLs eine ganze Weile. Das heißt, wenn Du die gesamte Umstellung jetzt machst, werden fast alle Clients noch auf die alte InternalURL zugreifen wollen, der dortige FQDN wird im Zertifikat aber nicht enthalten sein.

Du müsstest also im ersten Schritt Split-DNS und die URLs anpassen und erst ein paar Tage später das Zertifikat tauschen - und selbst dann wird es vermutlich noch ein paar Nachzügler geben, die versuchen werden, die alte URL zu erreichen, und eine Zertifikatsmeldung kriegen.

Aber wenn Du eh migrierst, musst Du das Zertifikat auf dem 2010 vielleicht auch gar nicht tauschen - musst halt fertig migrieren, bis es ausläuft.

Link to post

Ah Okay, Mist. :)
Habe jetzt die URLs und das Zertifikat getauscht. Scheint auch E-Mailtechnisch soweit zu laufen,

allerdings kann ich keine freigegebenen Kalender mehr aufrufen und Abwesenheitsnotizen hinterlegen.

 

Allerdings sind die korrekten URLs unter dem Punkt WebServicesVirtualDirectory konfiguriert.

Link to post

Intern nicht, nein.

Nur von außen, der Reverse-Proxy.

 

Mir ist aber grad glaube ein dummer Fehler aufgefallen,

wobei ich nicht weiß, ob der damit zu tun hat. Ich glaube, dass das Zertifikat ein Multidomain und kein SAN-Zertifikat ist.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...