none
Exchange 201x und Zertifikat - International RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Zusammen,

    wie löst man das Zertifikats-Problem in einer Exchange 201x Infrastruktur im Zusammenhang mit WebAccess, ActiveSync und Outlook Anywhere wenn mehrere Toplevel-Domains zum Einsatz kommen.
    (z.B. firma.de, firma.nl, firma.it usw.)

     

    Gruß Ralph Andreas Altermann

    Donnerstag, 11. August 2016 17:17
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    ad 1. ja, richtig. Ist aber sowieso ein doofes Szenario

    ad 2. Klar gibt es mit 2013 noch die CAS-Rolle. Und ein Multirole-Server (2016), der keine Mailboxen hosted, ist ja auch nichts anderes als CAS. Du wirst aber, wenn Du bescheidene WAN-Leitungen zwischen den Ländern hast, oft genug auch MBX-Server pro Land vorhalten. Dann hast Du das klassische Szenario mit mehreren Sites, und die können ja sehr hgerne über unterschiedliche Domains angesprochen werden...

    ad 3. Nein, wieso? Wenn Du für e-Mail @firma.com, @firma.de und @firma.it hast, kann doch trotzdem Autodiscover für alle mail.firma.net als URL ausliefern...  Für externen Zugriff brauchst Du zwar autodiscover mit all diesen Domains, das kannst Du aber auf der Publishing-Seite aufsplitten und mit unterschiedlichen Zertifikaten versehen... Würde mir zwar nicht so gefallen, aber machbar ist es.

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 11. August 2016 19:02
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    1. SAN-Zertifikat

    2. separate Server für verschiedene Namespaces (macht ja auch Sinn, wenn man auch nationale Sites betreibt)

    3. und schließlich und endlich, egal wie die e-Mail-Adressen der User aussehen, wird Autodiscover ja immer nur eine http-Adresse zurück gibt, und die muss ja mit der e-Mail-Domain nichts zu tun haben...

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 11. August 2016 17:57
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Evgenij,

    Danke für Feedback.

    SAN-Zertifikate für mehrere TLDs in einem Zertifikat ist schwer zu bekommen außer man hat eine eigene PKI, hier aber hat man dann wiederum das Stammzertifikats-Problem z.B. bei BYOD usw.

    Punkt 2 hilft hier auch nicht wirklich weiter in einer Exchange ORGA, vielleicht noch bei Exchange 2010 mit separaten CAS-Servern und entspr. DNS-records (extern), aber ab 2013 bzw. 2016 gibt es CAS nicht mehr.

    Zu 3 nur wenn man ein entspr. SAN wiederum hat.

    Gruß Ralph Andreas Altermann

    Donnerstag, 11. August 2016 18:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    ad 1. ja, richtig. Ist aber sowieso ein doofes Szenario

    ad 2. Klar gibt es mit 2013 noch die CAS-Rolle. Und ein Multirole-Server (2016), der keine Mailboxen hosted, ist ja auch nichts anderes als CAS. Du wirst aber, wenn Du bescheidene WAN-Leitungen zwischen den Ländern hast, oft genug auch MBX-Server pro Land vorhalten. Dann hast Du das klassische Szenario mit mehreren Sites, und die können ja sehr hgerne über unterschiedliche Domains angesprochen werden...

    ad 3. Nein, wieso? Wenn Du für e-Mail @firma.com, @firma.de und @firma.it hast, kann doch trotzdem Autodiscover für alle mail.firma.net als URL ausliefern...  Für externen Zugriff brauchst Du zwar autodiscover mit all diesen Domains, das kannst Du aber auf der Publishing-Seite aufsplitten und mit unterschiedlichen Zertifikaten versehen... Würde mir zwar nicht so gefallen, aber machbar ist es.

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 11. August 2016 19:02
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi again,

    >Würde mir zwar nicht so gefallen, aber machbar ist

    nun gut also doch so wie befürchtet. :-)

    Wollte nur mal in Erfahrung bringen, ob mir da irgendetwas entgangen ist/war.

    Danke für den Input.

    Gruß Ralph Andreas Altermann

    Donnerstag, 11. August 2016 19:47
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    noch was zum Zertifikat und Autodiscover:

    Es braucht für Autodiscover kein SAN-Zertifikat mit allen TLD.

    Zum einen kann man für Autodiscover einen CNAME oder einen SRV-Record im DNS setzen, der dann auf einen anderen FQDN zeigt.

    Zum anderen funktioniert Autodiscover auch via HTTP. Wenn auf Port 443 kein Server antwortet, probiert Outlook als nächstes Port 80.

    Das nennt sich "HTTP Redirect" und wird von Microsoft auch für Office 365 benutzt (in Verbindung mit einem CNAME).

    http://www.msexchange.org/articles-tutorials/exchange-server-2010/mobility-client-access/using-autodiscover-large-numbers-accepted-domains-part1.html

    https://msdn.microsoft.com/en-us/library/office/jj900169(v=exchg.150).aspx

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Donnerstag, 11. August 2016 20:28
    |