none
AutoDiscover and External URL RRS feed

  • Frage

  • Hallo zusammen,

    ich habe den Namespace für unsere Exchange 2013 definiert (Single Namespace , mehrere URLs für die HTTPS Services. Ist anscheinend hinsichtlich Überwachung zu empfehlen. Ich konnte alle Services entsprechend anpassen ausser beim AutoDiscover kann ich die externe URL nicht konfigurieren. Im Netz haben immer folgendes gefunden:

    interne URL konfigurieren ( funktioniert ohne Probleme)

    Set-ClientAccessServer -Identity S121 -AutoDiscoverServiceInternalUri "https://autodiscover.clxlab.ch/Autodiscover.xml"

    externe URL konfigurieren ( funktioniert nicht )

    Set-ClientAccessServer -Identity S121 -AutoDiscoverServiceExternalUri https://autodiscover.clxlab.ch/Autodiscover.xml

    - wie kann ich diese externe URL setzten oder braucht es die nicht mehr ?

    Vielen Dank & Gruss

    Mario


    System Engineer

    Donnerstag, 1. Oktober 2015 10:31

Antworten

  • Es gibt keine externe URL zu konfigurieren. Es wird "hardcoded" nach autodiscover.<deine_domain>.ch plus noch ein paar weitere URLS gesucht. Über den InternalUri setzt du ja auch den SCP für domain-joined Clients.

    Grüße

    Jörg

    Donnerstag, 1. Oktober 2015 11:18
  • Moin,

    Jörg hat recht.

    Deine Anleitungen kommen von 2010. Schon da waren die Einstellungen wirkungslos und mussten nicht gemacht werden.

    Bei 2013 hat Microsoft sie dann konsequent ausgebaut, damit man gar nicht erst verwirrt wird. Du solltest daher Anleitungen für Ex 2013 nutzen.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Donnerstag, 1. Oktober 2015 12:17

Alle Antworten

  • anbei meine Settings :

    [PS] C:\>Get-OutlookAnywhere -Identity "s121\rpc (Default Web Site)" |fl internalhostname,internalclientauthenticationmethod,internalclientsrequiressl,externalhostname,externalclientauthenticationmethod,externalclientsrequiressl

    InternalHostname                   : outlook.clxlab.ch
    InternalClientAuthenticationMethod : Ntlm
    InternalClientsRequireSsl          : True
    ExternalHostname                   : outlook.clxlab.ch
    ExternalClientAuthenticationMethod : Negotiate
    ExternalClientsRequireSsl          : True


    System Engineer

    Donnerstag, 1. Oktober 2015 10:35
  • Es gibt keine externe URL zu konfigurieren. Es wird "hardcoded" nach autodiscover.<deine_domain>.ch plus noch ein paar weitere URLS gesucht. Über den InternalUri setzt du ja auch den SCP für domain-joined Clients.

    Grüße

    Jörg

    Donnerstag, 1. Oktober 2015 11:18
  • Moin,

    Jörg hat recht.

    Deine Anleitungen kommen von 2010. Schon da waren die Einstellungen wirkungslos und mussten nicht gemacht werden.

    Bei 2013 hat Microsoft sie dann konsequent ausgebaut, damit man gar nicht erst verwirrt wird. Du solltest daher Anleitungen für Ex 2013 nutzen.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Donnerstag, 1. Oktober 2015 12:17
  • Vielen Dank für die Infos, dann würde mein Namespace wie folgt aussehen:

    [PS] C:\>$Exchange2013Servers | fl Identity,AutodiscoverServiceInternal*
    Identity                       : S121
    AutoDiscoverServiceInternalUri : https://autodiscover.clxlab.ch/Autodiscover.xml
    [PS] C:\>$Exchange2013Servers | Get-OWAvirtualdirectory | fl identity,Externalurl,Internalurl
    Identity    : S121\owa (Default Web Site)
    ExternalUrl : https://mail.clxlab.ch/owa
    InternalUrl : https://mail.clxlab.ch/owa
    [PS] C:\>$Exchange2013Servers | Get-ECPvirtualdirectory | fl identity,Externalurl,Internalurl
    Identity    : S121\ecp (Default Web Site)
    ExternalUrl : https://mail.clxlab.ch/ecp
    InternalUrl : https://mail.clxlab.ch/ecp
    [PS] C:\>$Exchange2013Servers | Get-Webservicesvirtualdirectory | fl identity,Externalurl,Internalurl
    Identity    : S121\EWS (Default Web Site)
    ExternalUrl : https://ews.clxlab.ch/Exchange.asmx
    InternalUrl : https://ews.clxlab.ch/Exchange.asmx
    [PS] C:\>$Exchange2013Servers | Get-OABvirtualdirectory | fl identity,Externalurl,Internalurl
    Identity    : S121\OAB (Default Web Site)
    ExternalUrl : https://oab.clxlab.ch/
    InternalUrl : https://oab.clxlab.ch/
    [PS] C:\>$Exchange2013Servers | Get-ActiveSyncVirtualDirectory | fl identity,Externalurl,Internalurl
    Identity    : S121\Microsoft-Server-ActiveSync (Default Web Site)
    ExternalUrl : https://eas.clxlab.ch/Microsoft-Server-ActiveSync
    InternalUrl : https://eas.clxlab.ch/Microsoft-Server-ActiveSync

    warum wird hier die URL s121.local.clxlab.ch/mapi angezeigt, ich möchte den Dienst unter der URL mapi.clxlab.ch betreiben ?

    [PS] C:\>$Exchange2013Servers | Get-MapiVirtualDirectory | fl identity,Externalurl,Internalurl
    Identity    : S121\mapi (Default Web Site)
    ExternalUrl :
    InternalUrl : https://s121.local.clxlab.ch/mapi

    ----------------------

    [PS] C:\>get-popSettings | fl InternalConnectionSettings,ExternalConnectionSettings,SSLBindings
    InternalConnectionSettings : {pop.clxlab.ch:995:SSL}
    ExternalConnectionSettings : {pop.clxlab.ch:995:SSL}
    SSLBindings                : {[::]:995, 0.0.0.0:995}

    [PS] C:\>get-imapSettings | fl InternalConnectionSettings,ExternalConnectionSettings,SSLBindings
    InternalConnectionSettings : {mapi.clxlab.ch:993:SSL}
    ExternalConnectionSettings : {mapi.clxlab.ch:993:SSL}
    SSLBindings                : {[::]:993, 0.0.0.0:993}

    Fragen:

    1. ist es sinnvoll das ich intern und extern die selben URLs verwende (Split DNS)
    2. kann ich nun die Zertifikate gemäss Namespace erstellen ?
    3. ich würde nun die externen zugänge mittels WAP-Server zur Verfügung stellen (alles https). Ist dies machbar ?
    4. wie kann ich den smtp-dienst auf die URL smtp.clxlab.ch  (intern / extern ) konfigurieren ?
    5. ist das korrekt, dass ich folgendes SAN-Zertifikat erstellen müsste

    san cert:

    mail.clxlab.ch
    oab.clxlab.ch
    ews.clxlab.ch
    eas.clxlab.ch
    autoDiscover.local.clxlab.ch ?
    autoDiscover.local.clxlab.net ?
    autoDiscover.clxlab.ch ?
    autodiscover.clxlab.ch
    outlook.clxlab.ch
    pop.clxlab.ch 
    mapi.clxlab.ch
    smtp.clxlab.ch

    thx, Mario


    System Engineer

    Donnerstag, 1. Oktober 2015 12:59
  • Moin,

    warum nimmst Du denn so viele unterschiedliche Namen?

    Es ist doch vollkommen egal, ob das OAB nun über die Adresse "oab.xxxxx.ch" oder auch über "mail.xxxxx.ch" läuft! Das sieh doch auch Outlook gar niemand und es landet alles per HTTPS auf dem gleichen Server beim gleichen IIS.

    Ich würde nur zwei Namen nehmen:

    mail.xxxxx

    autodiscover.xxxxx

    Alle Client-Protokolle gehen hierüber - fertig.

    Eventuell auch was für SMTP, aber das kann auch ein eigenes Zertifikat sein.

    Zu den Fragen:

    1. Split DNS ist sehr sinnvoll und empfohlen.

    2. Ja, wahrscheinlich.

    3. Ja, aber nur für HTTPS. POP/IMAP/SMTP gehen nicht via WAP

    4. FQDN in den Connectoren entsprechend einstellen

    5. siehe oben


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Donnerstag, 1. Oktober 2015 13:04
  • Hi Robert,

    ich habe Single Namespace , mehrere URLs für die HTTPS Services verwendet, da es hinsichtlich Überwachung zu empfehlen ist.

    • ist dies nicht nötig ?
    • ist es nicht besser um ein Loadbalancing einzurichten ?
    • wie bringe ich dann pop imap extern rein, brauche ich da einen andern reverse Proxy oder Firewall ?

    Gruss Mario


    System Engineer

    Donnerstag, 1. Oktober 2015 13:16
  • Am 01.10.2015 schrieb Mario.75:
    Hi,

    ich habe Single Namespace , mehrere URLs für die HTTPS Services verwendet, da es hinsichtlich Überwachung zu empfehlen ist.

    Überwachst du? Wenn ja wie und was?

    * ist dies nicht nötig ?

    Kommt darauf an. (du plenkst)

    * ist es nicht besser um ein Loadbalancing einzurichten ?

    Kommt darauf an, aber im allgemeinen nein. (du plenkst)

    * wie bringe ich dann pop imap extern rein, brauche ich da einen andern reverse Proxy oder Firewall ?

    Wie bringst du denn https rein? Hast du da keine Firewall? (du plenkst immer noch ;))

    Bye
    Norbert


    Dilbert's words of wisdom #32:
    If it wasn't for the last minute, nothing would get done.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Donnerstag, 1. Oktober 2015 13:23
  • Moin,

    URLs "überwachen" kannst Du auch, wenn sie den gleichen FQDN haben. Sie zeigen ja immer noch auf unterschiedlichen Seiten landen.

    Außerdem habe ich bisher nur selten Fälle erlebt, wo ich OAB/EWS/etc. getrennt überwachen wollte.

    In Blick auf Loadbalancing bringt es Dir bei Exchange wenig, da außer auf der MAP-Verbindung sonst kaum Traffic auf den anderen Webdiensten ist. Aber es erhöht die Komplexität und damit die Fehlermöglichkeiten.

    POP/IMAP/SMTP gehen entweder über einen anderen Proxy oder direkt an Exchange. Proxy-Lösungen bringen meist wenig, als man denkt. Bei POP/IMAP/SMTP geht das noch, da kann ein SMTP-Proxy auch gut Spam und Viren filtern, aber bei den Webdiensten bringt ein Proxy meist rein gar nichts, weil er die Exchange-Protokolle gar nicht kennt.

    POP/IMAP würde ich grundsätzlich gar nicht anbieten. Für POP-Benutzer brauche ich keinen teuren und aufwendigen Exchange-Server. POP/IMAP daher nur für ausgewählte Leute auf gesonderter Anforderung.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Donnerstag, 1. Oktober 2015 13:23
  • Hi Norbert,

    - du würdest Single Namespace, eine URL für alle HTTPS Services empfehlen

    - ich möchte WAP als Reverse Proxy verwenden


    System Engineer

    Donnerstag, 1. Oktober 2015 14:57
  • Am 01.10.2015 schrieb Mario.75:
    Hi,

    - du würdest Single Namespace, eine URL für alle HTTPS Services empfehlen

    Ja, wenn nichts dagegen spricht.

    - ich möchte WAP als Reverse Proxy verwenden

    Aha.

    Bye
    Norbert

    Donnerstag, 1. Oktober 2015 15:00
  • hallo zusammenfasend ist folgendes zu empfehlen:

    - Single Namespace, eine URL für alle HTTPS Services verwenden

    - smtp von extern nur über smarthost anbieten

    - pop / imap / nur intern zur Verfügung stellen

    - owa / autodiscver / ActiveSync / outlookanywhere über WAP (Https) anbieten

    Gruss Mario


    System Engineer

    Donnerstag, 1. Oktober 2015 15:11