none
Exchange Design bei einem Multi Site Model - Themen Namespace, Autodiscover, Zertifikate RRS feed

  • Frage

  • Hallo liebe TechNet Gemeinde,

     

    ich hänge bei ein paar Überlegungen und brauche Unterstützung, es geht um das Design von Exchange (Namespace, Autodiscover, Zertifikate) bei einem Multi Site Model einer mittelständischen Exchange Umgebung.

     

    Zur aktuellen Umgebung:

    -          4x Exchange Server 2010 SP3 UR13

    -          Ein Exchange je Standort, keine NLB/keine DAG

    -          Nur die Site am Hauptstandort hat Internetzugang

    -          Smarthost am Hauptstandort

    -          TMG am Hauptstandort zur Veröffentlichung von ActiveSync und OWA

    -          Outlook Anywhere, POP, IMAP wird nicht genutzt

    -          Am Hauptstandort ist die externe URL konfiguriert auf „webmail.firma.com“. Interne URL an allen Standorten ist „servername.firma-intern.de“.

     

    Nun steht das Update auf Exchange 2016 an allen Standorten an, angefangen wird am Hauptstandort.

    Ziel soll es seine den Namespace endlich sauber zu konfigurieren, Active Sync und OWA sollen extern wie intern für alle Standorte erreichbar sein, zudem soll ein offizielles SAN oder ggf. Wildcard Zertifikat beschafft werden um alle Zertifikatsmeldungen zu eliminieren (aktuell haben wir nur eines unserer internen Zertifizierungsstelle). Da in den Zertifikaten keine internen Namen seit Ende 2015 mehr erlaubt sind geht der Trend ja zu einem einfachen Namespace, überall der selbe Name mit öffentlichen Domain. Wir haben aus der Historie heraus intern noch eine entsprechende interne Domäne wie früher üblich (firma-intern.de)

     

    Ziele:

    -          Neues offizielles Zertifikat beschaffen (mail.firma.com & autodiscover.firma.com, ggf. weitere falls notwendig)

    -          Proxying auf ein Minimum reduzieren

    -          Active Sync über mail.firma.com erreichbar machen

    -          OWA an jedem Standort erreichbar machen, wenn möglich über eine URL

     

    Die Zwickmühle:

    Wenn ich für interne URLs das Model „Regional Namespace“ fahre, dann erreicht Outlook seinen lokalen Exchange immer direkt ohne Umwege (kein Proxying), aber ein Benutzer muss für OWA intern immer auch die lokale Adresse mail-standort1.firma.com anstatt mail.firma.com eingeben.

    Die Kernfragen:

    Konfiguriere ich überall den selben Namespace läuft alles über Proxying, richtig?

    Muss für jede interne URL Eintrag eine neue DNS Zone angelegt werden, Thema Split DNS?

    Muss ich dann auch jede „Regionale URL“ in das Zertifikat mitaufnehmen um intern Zertifikatsfehler zu vermeiden? Das würde bedeuten, jedes Mal wenn eine neue Firma hinzukommt (wir wachsen sehr stark aktuell) benötige ich ein neues Zertifikat? Das möchte ich natürlich umgehen, wäre ein Wildcard Zertifikat hier die einzigste Lösung?

     

    Das Prinzip der „Regional Namespaces“ sähe dann wie folgt aus.

    Interne &  externe URL am Hauptstandort: mail.firma.com (Dies sollte eig. die einzige Adresse sein die extern erreichbar ist).

    Interne URL am Standort1: mail-standort1.firma.com (Externe URL bleibt leer)

    Interne URL am Standort2: mail-standort2.firma.com (Externe URL bleibt leer)

    Interne URL am Standort3: mail-standort3.firma.com (Externe URL bleibt leer)

    usw.

     

    Ein weiteres Thema, wir bekommen Zuwachs in Form von Firma2.

    Alle Mitarbeiter der Firma2 sollen als primäre Mail ihre jetzige behalten, also H.Mustermann@firma2.de, zusätzlich als sekundäre aber auch eine Adresse H.Mustermann@firma.com bekommen.

    Der MX Eintrag von Firma2 soll vom Hoster auf unseren öffentliche Adresse geleitet werden, die Domäne ist im Smarthost sowie unter Akzeptierte Domänen eingetragen.

    Muss ich hierbei etwas bei der Konfiguration von Autodiscover, den URLs oder Zertifikaten beachten?

     

    Mfg

    Thomas

    Freitag, 17. Februar 2017 10:30

Antworten

  • Moin,

    ich antworte mal stichpunkitweise:

    1. Knappes Budget: Bereits der Unterschied zwischen einem Wildcard-Zertifikat (bei Verisign: € 1.749 pro Jahr) und einem SAN-Zertifikat (ebendort: € 698 pro Jahr) kann bei 3 Jahren Laufzeit ein paar Tage Consulting abwerfen. Wenn man noch ggfls. ein paar Exchange-Lizenzen spart, um so mehr.

    2. Ausfallsicherheit: Genau die ist ja nicht gegeben, wenn Du nur einen Server pro Standort und keine DAG hinstellst, also auch nur eine Datenbank-Kopie. EDIT: Und nein, eine HA-bewehrte Virtualisierung darunter ist keine Hochverfügbarkeit.

    3. User können offline ihr Outlook öffnen: Dafür ist der Cache Mode da. Und sogar öffentliche Ordner und freigegebene Postfächer können zwischengespeichert werden.

    4. Bedenke: Exchange 2016 ist ein Cloud-First-Produkt. D.h. sowohl Skalierung als auch Absicherung gegen Ausfall geht über die Breite, Clientanbindung wird als schlecht vorausgesetzt. Zwingst Du ihm Dein Exchange 2003-Design auf, wird es zwar funktionieren, aber Du nutzt das Werkzeug nicht so wie der Hersteller es vorgesehen hat. Das könnte auch der Grund dafür sein, dass Du hierfür kein veröffentlichtes Design-Beispiel findest.

    5. Namespace: Denkbar wäre evtl. auch die Variante "Überall URL=mail.firma.com intern wie extern, und den Zugriff per DNS steuern". Dann bräuchtest Du nur mail.firma.com und autodiscover.firma.com im Zertifikat...


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    Sonntag, 19. Februar 2017 12:46

Alle Antworten

  • Hallo Thomas

    das ist ein Thema für einen Consulter und nicht für ein Forum - meine Meinung.

    Wer hat denn das so gebaut, und warum hat jeder Standort seinen eigenen Exchange - ist das ein Forrest mit mehreren Domains oder ist das alles eine Domain?

    Was soll mit den verteilten Servern erreicht werden?

    Warum sendet eine Firma mit der Struktur über einen Smarthost, und wie kommen die Mails zu den Servern?

    ;)


    Gruß Norbert

    Freitag, 17. Februar 2017 19:45
    Moderator
  • Moin,

    ich kann Norbert nur zustimmen - hier wäre ein Workshop angezeigt, um zu schauen, ob man überhaupt richtig und zielführend unterwegs ist. Ist denn das Verhältnis zwischen Anzahl User (dazu schreibst Du leider nichts) und Bandbreite im WAN (auch dazu schreibst Du nichts) wirklich so ungünstig, dass man auf Teufel komm raus alles regional behalten muß?

    Sind öffentliche Ordner im Einsatz? Spätestens hier endet die Regionalität mit dem Umstieg auf 2016.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Freitag, 17. Februar 2017 19:59
  • Am 17.02.2017 um 20:59 schrieb Evgenij Smirnov:

    Moin,

    ich kann Norbert nur zustimmen - hier wäre ein Workshop angezeigt, um zu schauen, ob man überhaupt richtig und zielführend unterwegs ist. Ist denn das Verhältnis zwischen Anzahl User (dazu schreibst Du leider nichts) und Bandbreite im WAN (auch dazu schreibst Du nichts) wirklich so ungünstig, dass man auf Teufel komm raus alles regional behalten muß?

    Sind öffentliche Ordner im Einsatz? Spätestens hier endet die Regionalität mit dem Umstieg auf 2016.

    Eine ähnliche Diskussion hab ich bei Kunden auch grad. Gegen Politik kann man oftmals mit zig guten Argumenten nicht ankommen. ;) Ich werd mal schauen, was bei rauskommt in meinem Fall.

    Bye
    Norbert

    Freitag, 17. Februar 2017 21:50
  • Schönen Sonntag,

    vielen Dank erstmal für die vielen Replies.

    @Norbert & Evgenij: Ich gebe euch Recht das es ein umfangreiches Thema ist und ich würde gerne auch einen Consulter holen, aber knappes Budget zwingt mich dazu das selbst in die Hand zu nehmen.

    Es gibt bei uns nur eine Administrative Zone und somit auch eine Domäne weltweit, aus der Historie herraus eine "firma.intern".

    Wir haben ein MPLS Netzwerk und jeden Aussenstandort mit 8Mbit angebunden, der Hauptstandort hat eine 50Mbit MPLS. Wir haben auch einen Standort in den USA und Standorte die keine stabile Leitung haben und dadurch mit einigen Ausfällen zu kämpfen haben. Weshalb wir uns entschieden haben an jeden Standort einen Exchange zu stellen, zwecks Nähe zum Client, Performance und Ausfallsicherheit.

    Es gibt einen Internet Breakout am Hauptstandort mit 155Mbit. Versendet und empfangen werden die E-Mail somit immer über den Exchange und das Mailgateway von TrendMicro in der DMZ am Hauptstandort. Im Falle eines Leitunsausfalles zum Aussenstandort können zwar keine Mails mehr gesendet und empfangen werden, aber zumindest können die lokalen Benutzer in dieser Zeit auf Outlook zugreifen.

    Vor Ort haben wir immer eine VMware Umgebung und NetApps Storage. E-Mail Benutzer haben wir ca. 900 weltweit, am Hauptstandort ca. 400, an den Aussenstandorten ca. 100 - 170.

    Öffentliche Ordner noch im Einsatz, wenn auch sehr gering inzwischen. Ein paar Adressbücher und Kalender gibt es noch an zwei Standorten.

    Was spricht gegen dieses Design, wir haben Computepower und Speicherplatz vor Ort, nicht zuletzt um auch SAP vor Ort performant und ohne große Latenz zu betreiben. Zudem setzt unser eigenes Leitrechnersystem welches sämtliche Produktionsmaschinen und Abläufe steuert (wir sind sehr weit was IOT angeht) vorraus das die Leitrechnersysteme vor Ort sind.

    Das Design kommt von mir und ist natürlich gewachsen über die Jahre. Früher hatten wir eine sehr schlechte Leitung zum ersten Aussenstandort mit vielen Ausfällen, Leitung kam noch Überland durch den Wald. Beim nächsten gab es anfangs durch Umbauarbeiten ebenfalls einige Ausfälle, was soll man schon dagegen tun wenn eine Abrissfirma einfach das 100DA Kabel durchschneidet.

    Ich möchte nun einfach die beste Lösung finden für das Thema Namespace und Zertifikat und eine möglichst einfache Konfiguration für ActiveSync und OWA. Ich habe viel gelesen in den bekannten Blog dieser Welt, dort ab einfach auch kein passendes Beispiel gefunden.

    Stand jetzt würde ich folgendes Konifgurieren:

    - Interne &  externe URL am Hauptstandort: mail.firma.com

    - Interne URL am Standort1: mail-standort1.firma.com (Externe URL bleibt leer)

    - Interne URL am Standort2: mail-standort2.firma.com (Externe URL bleibt leer)

    - Interne URL am Standort3: mail-standort3.firma.com (Externe URL bleibt leer)

    - Das Zertifikat würde ein Wildcard Zertifikat werden, da ich ja sonst für jeden weiteren Standort ein neues holen müsste.

    - Die Einstellungen für Autodiscover müsste ich noch eruieren, vermutlich intern eine DNS Zone anlegen für autodiscover.firma.com und den Rest so belassen. SCP im AD wird ja bei der Installation automatisch installiert.

    Sonntag, 19. Februar 2017 12:21
  • Moin,

    ich antworte mal stichpunkitweise:

    1. Knappes Budget: Bereits der Unterschied zwischen einem Wildcard-Zertifikat (bei Verisign: € 1.749 pro Jahr) und einem SAN-Zertifikat (ebendort: € 698 pro Jahr) kann bei 3 Jahren Laufzeit ein paar Tage Consulting abwerfen. Wenn man noch ggfls. ein paar Exchange-Lizenzen spart, um so mehr.

    2. Ausfallsicherheit: Genau die ist ja nicht gegeben, wenn Du nur einen Server pro Standort und keine DAG hinstellst, also auch nur eine Datenbank-Kopie. EDIT: Und nein, eine HA-bewehrte Virtualisierung darunter ist keine Hochverfügbarkeit.

    3. User können offline ihr Outlook öffnen: Dafür ist der Cache Mode da. Und sogar öffentliche Ordner und freigegebene Postfächer können zwischengespeichert werden.

    4. Bedenke: Exchange 2016 ist ein Cloud-First-Produkt. D.h. sowohl Skalierung als auch Absicherung gegen Ausfall geht über die Breite, Clientanbindung wird als schlecht vorausgesetzt. Zwingst Du ihm Dein Exchange 2003-Design auf, wird es zwar funktionieren, aber Du nutzt das Werkzeug nicht so wie der Hersteller es vorgesehen hat. Das könnte auch der Grund dafür sein, dass Du hierfür kein veröffentlichtes Design-Beispiel findest.

    5. Namespace: Denkbar wäre evtl. auch die Variante "Überall URL=mail.firma.com intern wie extern, und den Zugriff per DNS steuern". Dann bräuchtest Du nur mail.firma.com und autodiscover.firma.com im Zertifikat...


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    Sonntag, 19. Februar 2017 12:46
  • Hallo Evgenij,

    ich versuche mich auch mal kurz zu fassen:

    1. Da gebe ich Dir recht, aber ein Wildcard Zertifikat könnte ich dann u.U auch für andere Dienste wie etwa VPN, FTP, UC benutzen.

    2. Eine DAG war für uns bis jetzt noch keine Thema, einen Exchange Ausfall hatte ich noch nie zu beklagen, sowohl auf der Physik als auch in der Logik. Zu deinem Edit: Mir ist bekannt das viele das nicht so sehen, aber eine nahezu 100%ige Ausfallsicherheit mittels DAG bedeutet auch mehr Aufwand. Am Hautpstandort haben wir ein NetApp Metrocluster und VMware Enterprise im, das gibt mir schon einiges an Sicherheit.

    3. Der Cache Modus war für mich unter Outlook 2010 immer ein Dorn im Auge. Lag es an mir oder an meinen Benutzern. Aber ich konnte viele Fehler und Phänomene durch das Ausschalten des Cache Modus lösen. Hat sich das mit Office 2016 und Exchange 2016 gebessert?

    4. Ich verstehe schon worauf das ganze hinausläuft wenn man alle Migrationsartikel so durchliest. MS verlagert alles in die Cloud und und Leistung gibts nur im Abomodell. Wir setzen aber noch sehr stark auf On Premise. Was bringt mir die Breite über mehrere Standorte wenn die Leitung der Schwachpunkt ist.

    5. Klingt interessant, hast du mir einen Quelle wo ich nachlesen kann wie das "steuern über DNS" funktioniert?

    6. Könnt Ihr mir einen guten Exchange Consultant im Süddeutschen Raum empfehlen? Gerne per PM.

    Sonntag, 19. Februar 2017 13:15
  • Hi,

    dann auch mal meine Kommentare dazu.

    1.) Wenn das Zertifikat mal kompromittiert sein sollte, bist du auf einen Schlag auf allen Services "angreifbar" und mußt sofort überall das Zertifikat austauschen.

    2.) Auch Interessant, VM Umgebung für einen  6-stelligen Betrag stehen haben, aber die 4k€ für eine zusätzliche Exchange Lizenz und ein paar Loadbalancer sind nicht drin? Und es geht auch nicht immer darum einen Ausfall abfangen zu müssen, aber mal geplant einen Server tagsüber in Wartung zu nehmen und nicht immer alles am Wochenende/nach Feierabend machen zu müssen, alleine das sollte es einem schon fast Wert sein.

    3.) Kann ich nicht nachvollziehen, gerade der Cache Mode war immer ein Segen vorallem wenn es um Auslastung des Exchange und der Bandbreite ging.

    5.) Evgenij meint damit, das der Client abhängig vom Standort/Subnet den Record unterschiedlich auflöst. Das geht z.B mit Windows Server 2016 und den DNS Policies.

    Grüße

    Jörg

    Sonntag, 19. Februar 2017 19:28