Jump to content

Split-DNS einführen


Direkt zur Lösung Gelöst von roccomarcy,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

  • Beste Lösung

Hallo,

 

die Installation von einem neuen Exchange steht an. Jedoch möchte ich vorher noch Split-DNS einführen,

da aus der Vergangenheit heraus das Thema versäumt wurde. Aktuell ist der Exchange-Server mit der internen URL auf servername.domäne.tld konfiguriert statt auf mail.firma.de. Die externe URL ist allerdings bereits schon korrekt auf mail.firma.de konfiguriert.

 

Meine Herangehensweise wäre nun, dass ich folgende Tätigkeiten durchführe.

 

  • Im DNS zwei Zonen für mail.firma.de und autodiscover.firma.de konfigurieren.
  • Den Exchange-Server mit dem gültigen Zertifikat versorgen.
  • Via PowerShell-Skript (Danke an FrankysWeb) die Adressen anpassen, Ausschnitt:
    [ ... ]
    Get-OwaVirtualDirectory -Server <Servername> | Set-OwaVirtualDirectory -InternalUrl 'https://mail.firma.de/owa' -ExternalUrl 'https://mail.firma.de/owa'
    [ ... ]

 

Ist die o.g. Herangehensweise in Ordnung oder habe ich einen Punkt vergessen? Outlook sollte das ja (eigentlich?) nicht interessieren
und sich die neue Adresse für die Verbindung ziehen, oder?

 

Kann ich im IIS/Exchange irgendwo konfigurieren, dass der http-Zugriff automatisch auf https umgeleitet wird? Nach aktuellem Stand wurde z.B. OWA auch über mail.firma.de aufgerufen und dort hat die Umleitung der Reverse-Proxy übernommen.

Gruß

Link zu diesem Kommentar

Moin,

die Vorgehensweise ist so in Ordnung. autodiscover.firma.de brauchst Du nur, wenn Du Clients hast, die nicht Mitglied der Domäne sind.

Outlook interessieren die Virtual Directories selbstverständlich auch, zumindest Autodiscover, EWS und MAPI.

HTTP zu HTTPS-Umleitung kannst Du im IIS einrichten, indem Du den Haken bei "Require SSL" in beiden Websites entfernst.

Link zu diesem Kommentar

Wenn Du eine halbwegs aktuelle Exchange-Version installiert hast, sollte das Entfernen dieses Hakens - NICHT auf vDir-, sondern, wie von mir beschrieben, auf Website-Ebene - dazu führen, dass HTTP- zu HTTPS-Umleitung stattfindet.

 

Wenn Du den Haken setzt, fordert IIS SSL. Ein Versuch, HTTP zu verwenden, wird mit "Unauthorized" abgewiesen.

Link zu diesem Kommentar

Eine Garantie wird Dir niemand geben, der Deine Umgebung nicht kennt. Aber wenn im Zertifikat sowohl der FQDN des Servers als auch der externe (und nun auch interne) Namespace als SANs hinterlegt sind, die CA-Kette vom IIS ausgeliefert wird und die Clients ihr vertrauen, sollte das nahtlos funktionieren.

vor 29 Minuten schrieb roccomarcy:

es ist noch Exchange 2010 mit dem letzten Update. Der soll ja nun ersetzt werden.

Da musste man IIRC noch basteln, damit die HTTP-Umleitung funktioniert. Aber auf dem Exchange 2016 kannst Du das machen, wenn er da ist.

Link zu diesem Kommentar

Outlook cacht die URLs eine ganze Weile. Das heißt, wenn Du die gesamte Umstellung jetzt machst, werden fast alle Clients noch auf die alte InternalURL zugreifen wollen, der dortige FQDN wird im Zertifikat aber nicht enthalten sein.

Du müsstest also im ersten Schritt Split-DNS und die URLs anpassen und erst ein paar Tage später das Zertifikat tauschen - und selbst dann wird es vermutlich noch ein paar Nachzügler geben, die versuchen werden, die alte URL zu erreichen, und eine Zertifikatsmeldung kriegen.

Aber wenn Du eh migrierst, musst Du das Zertifikat auf dem 2010 vielleicht auch gar nicht tauschen - musst halt fertig migrieren, bis es ausläuft.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...