none
Exchange Virtual Directories Konfiguration bei Multi-Server Umgebung // auch bzgl. Exchange Zertifikat RRS feed

  • Frage

  • Hallo,

    ich habe nur eine kurze Verständnisfrage bzgl. der Konfiguration der Exchange Virtual Directories in einer Umgebung mit mehreren Exchange Servern:

    Situation: 2 Exchange Server (Migrationsszenario 1x 2010 + 1x 2013, jeweils CAS+Mailbox Rolle), Split-DNS ist eingerichtet, Mailfluss über Mailserver-1

    Reicht es, wenn ich 1 öffentliches Zertifikat kaufe mit autodiscover.Domain.com + mail.Domain.com, dieses bei beiden Mailservern einrichte und die virtuellen Verzeichnisse beider Mailserver gleich setze (jeweils mit https://mail.domain.com/XYZ)?

    Extern müsste das klappen. Bzgl. der internen Kommunikation bin ich mir nicht sicher, ob der CAS von Mailserver-1 auch zu den Postfächern auf Mailserver-2 findet.

    Oder muss ich pro Server eigene Pfade für die internen virtuellen Verzeichnisse angeben (also z.B. mailserver-1.domain.com/owa + mailserver-2.domain.com/owa), damit der CAS von Mailserver-1 auch zu einem Postfach auf Mailserver-2 findet?

    In diesem Falle würde ich ja ein Zertifikat benötigen, dass neben autodiscover.Domain.com + mail.Domain.com auch noch mailserver-1.domain.com und mailserver-2.domain.com enthält, damit es intern zu keinem Zertifikatsfehler kommt.

    Vielen Dank schon mal vorab.

    Gruß,

    Karl-Heinz

    Donnerstag, 14. Januar 2016 10:11

Antworten

  • Hallo,

    vielen Dank für die Hilfestellung. Das Problem war selbst mit dem Microsoft Exchange Support (der sich sehr viel Mühe gab, sehr viel Zeit investiert hat und dabei sehr kompetent war) nicht zu lösen.

    Betrifft aber hautpsächlich OWA und die Frei/Gebucht Zeiten. Der Rest funktioniert.

    Anscheinend ist die Exchange 2010 Installation so verbogen, dass der keine Proxy Anforderungen von Exchange 2013 OWA akzeptiert (bzw. keine Antwort zurückschickt).

    Anstatt hier sehr viel Aufwand in die Reparatur dieser Geschichte zu stecken werden wir hier baldmöglichst alle Postfächer auf 2013 migrieren und das Koexistenzszenario 2010/2013 schließen (Exchange 2010 deinstallieren).

    Trotzdem noch einmal vielen Dank für die wirklich guten Ratschläge.

    Gruß,

    Karl-Heinz

    Montag, 18. Januar 2016 14:33

Alle Antworten

  • Moin,

    es reicht ein Zertifikat mit den beiden Namen "autodiscover.domain.xxx und dem FQDN, den Du für den Zugriff auf die Webdienste benutzt (z.B. mail.domain.xxx).

    Wichtig ist, dass die Clients auf dem Ex 2013 landen, d.h. DNS auf den Server mit der höheren Version zeigt.

    Hier ist das noch ausführlicher beschrieben:

    http://blogs.technet.com/b/exchange/archive/2014/03/12/client-connectivity-in-an-exchange-2013-coexistence-environment.aspx


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Donnerstag, 14. Januar 2016 13:07
  • Hallo,

    danke für die Antwort. Der Link war hilfreich.
    Jedoch konnte ich da noch nicht genau herauslesen, wie die Pfade für die internen Virtual Directories zu konfigurieren sind. Beim neueren Exchange 2013 scheinen diese internen Pfade nicht unbedingt notwendig zu sein (sondern nur die externen Pfade). Beim alten Exchange 2010 ist es genau anders herum. Hier müssen meistens die externen Pfade auf $null gesetzt werden und die internen Pfade angegeben werden.

    Ich glaube die Einstellungen für die Virtual Directories passen nun.

    Leider funktioniert der Proxy Zugriff vom 2013 OWA auf ein 2010er Postfach immer noch nicht (Seite kann nicht angezeigt werden). Wenn ich den internen Pfad des Exchange 2010 im Browser eingebe, klappt das. Nur eben nicht von der 2013er OWA Seite aus.

    Kann es sein, dass das noch daran liegt, dass man noch die Parameter für die CrossSiteRedirection (https://technet.microsoft.com/en-us/library/bb310763(v=exchg.141).aspx) konfigurieren muss? Geklappt hat das bei mir auch nicht.

    Liegt es ev. daran, dass der Exchange 2010 sich in Standort A, der Exchange 2013 in Standort B befindet?

    Geplant wäre, dass der Exchange 2010 im Standort A wegfällt und nur noch 1 Exchange in Standort B bestehen bleibt.

    Hat sonst noch jemand einen Tipp?

    Vielen Dank & Gruß,

    Karl-Heinz

    Freitag, 15. Januar 2016 23:27
  • > Liegt es ev. daran, dass der Exchange 2010 sich in Standort A, der Exchange 2013 in Standort B befindet?

    Schön, wie so langesam die relevanten Informationen kommen. Das wir von mehreren Sites reden, hättest Du auch gleich schreiben können, dann ändern sich mehrere Dinge. ;)

    Hier ist das besser beschrieben, als man in einem Forum schreiben kann, auch mit mehreren Sites:

    http://blogs.technet.com/b/exchange/archive/2014/03/12/client-connectivity-in-an-exchange-2013-coexistence-environment.aspx

    Nachtrag: Ich weiß, dass wir den Link schon hatten. Aber da steht hat alles drin, auch und gerade Cross-Site. Die internen URLs müssen so gesetzt sein, dass Exchange-Server die erreichen können. Die externen URLs auf den Remote Sites werden immer auf $null gesetzt, keine Änderung.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)


    Samstag, 16. Januar 2016 09:13
  • Hallo,

    ok. Hier meine aktuelle Konfiguration (Exchange 2010 = Site 1, Exchange 2013 = Site 2):

    Identity                      : Exchange2010\owa (Default Web Site)
    InternalAuthenticationMethods : {Basic, Fba}
    InternalUrl                   : https://legacy.domain.com/owa
    ExternalUrl                   :
    ExternalAuthenticationMethods : {Fba}
    ClientAuthCleanupLevel        : High
    InternalAuthenticationMethods : {Basic, Fba}
    BasicAuthentication           : True
    WindowsAuthentication         : False
    DigestAuthentication          : False
    FormsAuthentication           : True
    LiveIdAuthentication          : False
    AdfsAuthentication            : False
    OAuthAuthentication           : False
    ExternalAuthenticationMethods : {Fba}
    
    Identity                      : Exchange2013\owa (Default Web Site)
    InternalAuthenticationMethods : {Basic, Fba}
    InternalUrl                   : https://mail.domain.com/owa
    ExternalUrl                   : https://mail.domain.com/owa
    ExternalAuthenticationMethods : {Fba}
    ClientAuthCleanupLevel        : High
    InternalAuthenticationMethods : {Basic, Fba}
    BasicAuthentication           : True
    WindowsAuthentication         : False
    DigestAuthentication          : False
    FormsAuthentication           : True
    LiveIdAuthentication          : False
    AdfsAuthentication            : False
    OAuthAuthentication           : False
    ExternalAuthenticationMethods : {Fba}
    
    
    Identity                           : Exchange2013\Rpc (Default Web Site)
    ExternalClientAuthenticationMethod : Ntlm
    InternalClientAuthenticationMethod : Ntlm
    IISAuthenticationMethods           : {Basic, Ntlm}
    ExternalHostname                   : mail.domain.com
    InternalHostname                   : mail.domain.com
    
    Identity                           : Exchange2010\Rpc (Default Web Site)
    ExternalClientAuthenticationMethod : Ntlm
    InternalClientAuthenticationMethod : Ntlm
    IISAuthenticationMethods           : {Basic, Ntlm}
    ExternalHostname                   : mail.domain.com
    InternalHostname                   :
    

    Leider funktioniert die OWA Anmeldung über den 2013 CAS (https://mail.domain.com/owa) mit einem Postfach, das auf Exchange 2010 liegt, immer noch nicht (HTTP 500 Fehler: interner Serverfehler).

    Mit einem Exchange 2013 Postfach klappt die Anmeldung. Wenn ich mich mit dem 2010er Postfach am Link https://legacy.domain.com/owa anmelde, klappt das auch. Nur eben der Proxy Vorgang nicht.

    Woran kann das noch liegen?

    Danke & Gruß,

    Karl-Heinz


    • Bearbeitet Mr. Fuchs Samstag, 16. Januar 2016 11:22
    Samstag, 16. Januar 2016 11:07
  • Das ist erstmal ok.

    Ist das Zertifikat fehlerfrei? Es darf keinen Zertifikatsfehler geben.

    Wie sind die Authenfikationen eingestellt?

    Wer erzeugt den Fehler 500 - 2013 oder 2010?


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Samstag, 16. Januar 2016 11:24
  • Hallo,

    das Zertifikat macht meines Wissens nach keine Probleme. Es ist Split-DNS konfiguriert.

    Das Zertifikat ist ein Wildcard Zertifikat, ausgestellt auf *.Domain.com und eingerichtet auf beiden Exchange Servern. Die DNS Einträge für autodiscover.Domain.com, mail.Domain.com und legacy.Domain.com sind sowohl intern als auch extern entsprechend gesetzt.

    Die Authentifizierungsinfo's habe ich in meinem vorherigen Post noch ergänzt.

    Woher der HTTP 500 Fehler kommt, kann ich nicht genau sagen. Er erscheint im Browser gleich nach der Anmeldung mit einem Exchange 2010 Konto (Anmeldeadresse: https://mail.domain.com/owa). Wenn der Fehler erscheint, steht in der Adressleiste des Browsers https://mail.domain.com/owa/auth.owa .

    Gruß,

    Karl-Heinz

    Samstag, 16. Januar 2016 11:32
  • Bzgl. des Fehlers 500 such mal im IIS Log. Da ist der ja protokolliert. Eventuell steht da auch noch mehr.

    Die Authentifizierungsmethoden sehen eigentlich ok aus.

    Und so Kleinigkeiten wie Routing und Namensauflösung zwischen den Servern, Firewall Any-Any, usw. sind ok?


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Samstag, 16. Januar 2016 11:41
  • Hallo,

    vielen Dank für die Hilfestellung. Das Problem war selbst mit dem Microsoft Exchange Support (der sich sehr viel Mühe gab, sehr viel Zeit investiert hat und dabei sehr kompetent war) nicht zu lösen.

    Betrifft aber hautpsächlich OWA und die Frei/Gebucht Zeiten. Der Rest funktioniert.

    Anscheinend ist die Exchange 2010 Installation so verbogen, dass der keine Proxy Anforderungen von Exchange 2013 OWA akzeptiert (bzw. keine Antwort zurückschickt).

    Anstatt hier sehr viel Aufwand in die Reparatur dieser Geschichte zu stecken werden wir hier baldmöglichst alle Postfächer auf 2013 migrieren und das Koexistenzszenario 2010/2013 schließen (Exchange 2010 deinstallieren).

    Trotzdem noch einmal vielen Dank für die wirklich guten Ratschläge.

    Gruß,

    Karl-Heinz

    Montag, 18. Januar 2016 14:33
  • OK, danke für die Info.

    Wenn der Wechsel eh kurzfristig angedacht ist, sehe ich das auch als sinnvoller an.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Montag, 18. Januar 2016 14:49