locked
Mehrere Mandanten über ein TMG über eine IP möglich? (Exchange Veröffentlichung) RRS feed

  • Frage

  • Hallo,

    gibt es eine Möglichkeit folgendes zu realisieren?

    Zwei Kunden mit DomA.de und DomB.de die z.B. Outlook Anywhere machen wollen, über ein zentrales TMG in der Domäne hoster.de (beide Exchange Umgebungen sind komplett dahinter gehostet). Ist es möglich das alles über eine externe IP zu fahren?

    webmail.DomA.de CNAME webmail.hoster.de
    autodiscover.DomA.de CNAME webmail.hoster.de

    webmail.DomB.de CNAME webmail.hoster.de
    autodiscover.DomB.de CNAME webmail.hoster.de

    webmail.hoster.de => Ext. IP
    autodiscover.hoster.de => Ext. IP

    Ext. IP => TMG (NAT)

    So, nun kann ich ja via Regelwerk (Öffenlicher Name) sowie Weblistener (verschiedene LDAP-Server-Sätze/Anmeldeausdrücke) schön alles über eine IP fahren, habe "nur" das Problem der Zertifikate. Ich hatte eigentlich gehofft, dass man wenn man mit CNAME Einträgen arbeitet die Anfrage die beim TMG ankommt von *.hoster.de kommt, dafür könnte man ja ein Wildcard-Zertifikat bauen. Leider ist das nicht so...

    Hat hier vielleicht jemand eine Lösung? Je ein Kunde über eine externe IP ist natürlich eine Lösung aber wenn es geht würde ich gerne alles über eine öffentl. IP regeln.

    Danke und Gruß

    Mittwoch, 23. November 2011 10:33

Alle Antworten

  • Hi,

    du könntest für das autodiscover mit SRV-Records arbeiten, die auf autodiscover.hoster.de umleiten. Für die OWAs brauchst du dann die beiden richtigen URLs im Zertifikat.

    Anstelle eines Wildcard-Zertifikates kannst du auch ein SAN-Zertifikat nehmen, z.B. mit 5 SANs das kommt günstiger als ein Wildcard Zertifikat.

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Mittwoch, 23. November 2011 21:19
  • Hi,

    du könntest für das autodiscover mit SRV-Records arbeiten, die auf autodiscover.hoster.de umleiten. Für die OWAs brauchst du dann die beiden richtigen URLs im Zertifikat.

    Anstelle eines Wildcard-Zertifikates kannst du auch ein SAN-Zertifikat nehmen, z.B. mit 5 SANs das kommt günstiger als ein Wildcard Zertifikat.

    Gruß

    Christian


    Christian Groebner MVP Forefront

    Hallo Christian,

    die Autodiscover-Methode mit SRV-Records wollte ich eigentlich vermeiden und das Problem bei einem SAN-Zertifikat ist, dass die Anzahl der gehosteten Exchange Umgebungen sich ständig ändern kann, was heissen würde, dass man immer wieder ein neues Zertifikat kaufen müsste.

    Aber dann gehst Du damit konform, dass es mit einer externen IP in der Konstellation (ohne Autodiscover via SRV) keine Lösung gibt? (einzige Lösung wäre doch z.B. eine Firewall davor, die je nach aufgerufenen Header auf verschiedene IPs NAT machen kann, dann könnte man dem TMG einfach entsprechend viele interne IPs geben, je Exchange-Umgebung einen Weblistener + Zertifikat und gut is)

    Danke und Gruß
    Patrick

    Donnerstag, 24. November 2011 07:54