9
2 Exchange Server für selbe Internetdomain - Autodiscover Problem?
Hallo,
ich steh vor einem Problem mit einem zukünftigen Exchange Server.
Eine Firma hat zwei getrennte Bereiche aber mit der selben Internetdomain (firma.tld). Die jeweils internen Domänen sind auch unterschiedlich. Hierbei besteht keine Vertrauensstellung oder sonstige Verbindung.
Bereich A hat inzwischen einen Exchange Server wo alles konfiguriert und eingestellt ist. Auch Autodiscover funktioniert (autodiscover.firma.tld). Der Exchange Server steht allerdings nicht als MX direkt im Internet bereit, sondern bekommt über POPcon die Emails (ist nicht die beste Lösung, läuft aber bisher stabil und hat seine Gründe).
Bereich B soll jetzt doch einen Exchange Server kriegen (was erstmal nicht geplant war). Ich stoße jetzt hier auf das Problem das bestimmte DNS Namen bereits belegt sind, darunter autodiscover.firma.tld.
Für den externen Zugriff kann ich ja andere Domains nehmen, da mail.firma.tld oder owa.firma.tld schon belegt ist. Aber bei autodiscover stoße ich auf das Problem, dass beim Zugriff über einen externen Client ja nach
https://servername/Autodiscover/Autodiscover.xml
https://autodiscover.servername/Autodiscover/Autodiscover.xml
gesucht wird. Wenn er hier sucht, trifft er auf den falschen Exchange Server. Wenn ich autodiscover.servername komplett abschalte, dann funktioniert die Autodiscover Funktion für beide nicht.
Kann ein externer Client dann noch eine Verbindung in irgendeiner Weise aufbauen? Oder wird Autodiscover zwingend benötigt? Autodiscover bringt doch lediglich die Serverdaten für einen externen Client? Innerhalb der Domäne nutzt er ja den SCP im AD um den Namen vom Server zu finden. Bei einem externen Client kann man die Exchange Verbindung auch manuell einrichten (ehrlich gesagt, habe ich das bisher so gemacht).
Wäre dankbar für Antworten. Und ich weis das es einige Grundlegende Sachen "unter aller Sau" sind, aber nun ja, manchmal ist es halt so.
Gruß,
Burak
ich steh vor einem Problem mit einem zukünftigen Exchange Server.
Eine Firma hat zwei getrennte Bereiche aber mit der selben Internetdomain (firma.tld). Die jeweils internen Domänen sind auch unterschiedlich. Hierbei besteht keine Vertrauensstellung oder sonstige Verbindung.
Bereich A hat inzwischen einen Exchange Server wo alles konfiguriert und eingestellt ist. Auch Autodiscover funktioniert (autodiscover.firma.tld). Der Exchange Server steht allerdings nicht als MX direkt im Internet bereit, sondern bekommt über POPcon die Emails (ist nicht die beste Lösung, läuft aber bisher stabil und hat seine Gründe).
Bereich B soll jetzt doch einen Exchange Server kriegen (was erstmal nicht geplant war). Ich stoße jetzt hier auf das Problem das bestimmte DNS Namen bereits belegt sind, darunter autodiscover.firma.tld.
Für den externen Zugriff kann ich ja andere Domains nehmen, da mail.firma.tld oder owa.firma.tld schon belegt ist. Aber bei autodiscover stoße ich auf das Problem, dass beim Zugriff über einen externen Client ja nach
https://servername/Autodiscover/Autodiscover.xml
https://autodiscover.servername/Autodiscover/Autodiscover.xml
gesucht wird. Wenn er hier sucht, trifft er auf den falschen Exchange Server. Wenn ich autodiscover.servername komplett abschalte, dann funktioniert die Autodiscover Funktion für beide nicht.
Kann ein externer Client dann noch eine Verbindung in irgendeiner Weise aufbauen? Oder wird Autodiscover zwingend benötigt? Autodiscover bringt doch lediglich die Serverdaten für einen externen Client? Innerhalb der Domäne nutzt er ja den SCP im AD um den Namen vom Server zu finden. Bei einem externen Client kann man die Exchange Verbindung auch manuell einrichten (ehrlich gesagt, habe ich das bisher so gemacht).
Wäre dankbar für Antworten. Und ich weis das es einige Grundlegende Sachen "unter aller Sau" sind, aber nun ja, manchmal ist es halt so.
Gruß,
Burak
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 228489
Url: https://administrator.de/contentid/228489
Printed on: April 18, 2024 at 23:04 o'clock
9 Comments
Latest comment
Moin,
warum nutzt du kein VPN Site-To-Site und bindest den Bereich B an A an. Somit stellt sich das Autodiscoverproblem gar nicht, kein doppelter Wartungsaufwand, keine doppelte Exchangesicherung, Spamfilter, Virenfilter, etc.. kostet heute alles fortlaufend Geld. VPN Site-to-Site sind einmalige Kosten und die Wartung hält sich in Grenzen.
Autodiscover wird ein Problem sein, da man diese Option nur einmal pro firma.tld konfigurieren kann. Autodiscover teilt eben Serveradresse, Domänenname, etc.. mit. Könnte man auch manuell konfigurieren. Ist eben eine Frage wie viele Benutzer es trifft.
Anders würde es aussehen, wenn sich beide Exchangeserver kennen würde... aber der Aufwand ist im Vergleich zu VPN gigantisch.
BTW: Dass zwei getrennte Exchangeserver für die selbe firma.tld zuständig sind sauber funktioniert, liegt an POPcon. Sobald du auf SMTP umstellen solltest hast du das nächste Problem zum Lösen. Daher würde ich die Struktur komplett überdenken.
Grüße,
Dani
warum nutzt du kein VPN Site-To-Site und bindest den Bereich B an A an. Somit stellt sich das Autodiscoverproblem gar nicht, kein doppelter Wartungsaufwand, keine doppelte Exchangesicherung, Spamfilter, Virenfilter, etc.. kostet heute alles fortlaufend Geld. VPN Site-to-Site sind einmalige Kosten und die Wartung hält sich in Grenzen.
Autodiscover wird ein Problem sein, da man diese Option nur einmal pro firma.tld konfigurieren kann. Autodiscover teilt eben Serveradresse, Domänenname, etc.. mit. Könnte man auch manuell konfigurieren. Ist eben eine Frage wie viele Benutzer es trifft.
Anders würde es aussehen, wenn sich beide Exchangeserver kennen würde... aber der Aufwand ist im Vergleich zu VPN gigantisch.
BTW: Dass zwei getrennte Exchangeserver für die selbe firma.tld zuständig sind sauber funktioniert, liegt an POPcon. Sobald du auf SMTP umstellen solltest hast du das nächste Problem zum Lösen. Daher würde ich die Struktur komplett überdenken.
Grüße,
Dani
1
BIn ganz bei Dani,
mach daraus eine Domain und ggf. Subdomain für jede Site. Dabei kannst du auch abstufen welche Site welchen Admin hat etc pp. Abgesehen davon im Fall des Falles halbierte Wartung(skosten).
LG,
Christian
mach daraus eine Domain und ggf. Subdomain für jede Site. Dabei kannst du auch abstufen welche Site welchen Admin hat etc pp. Abgesehen davon im Fall des Falles halbierte Wartung(skosten).
LG,
Christian
Hallo,
danke erstmal für die rasche Antwort
.
Ich hab hin und wieder auch an eine Anbindung nachgedacht, aber ich dachte das es letztendlich mehr Aufwand ist. Vielleicht irre ich mich hierbei auch. Bedeutet das Anbinden eine Vertrauensstellung der Domänen und nur ein Exchange Server oder nur eine Domäne mit zwei Standorten?
Die manuelle Konfiguration betrifft doch nur externe Geräte die nicht in der Domäne sind wie manche Notebooks und Smartphones? Spontan würde ich mal 10-15 User sagen von insgesamt 50.
BTW: Dass zwei getrennte Exchangeserver für die selbe firma.tld zuständig sind sauber funktioniert, liegt an POPcon.
Sobald du auf SMTP umstellen solltest hast du das nächste Problem zum Lösen. Daher würde ich die Struktur komplett
überdenken.
Ja, ich weis, dass das mit direkten SMTP dann nicht mehr wirklich klappen wird. Ich hatte schon vorgeschlagen eine direkte Anbindung durchzuführen und sich vom bisherigen Provider für Mail zu trennen. Aber leider klappt das nicht so wie man es sich wünscht. Wenn das aber mal der Fall wird, dann wird ja zwingend eine Site-to-Site VPN benötigt + weitere Änderungen.
danke erstmal für die rasche Antwort
.Zitat von @Dani:
Moin,
warum nutzt du kein VPN Site-To-Site und bindest den Bereich B an A an. Somit stellt sich das Autodiscoverproblem gar nicht,
Moin,
warum nutzt du kein VPN Site-To-Site und bindest den Bereich B an A an. Somit stellt sich das Autodiscoverproblem gar nicht,
Ich hab hin und wieder auch an eine Anbindung nachgedacht, aber ich dachte das es letztendlich mehr Aufwand ist. Vielleicht irre ich mich hierbei auch. Bedeutet das Anbinden eine Vertrauensstellung der Domänen und nur ein Exchange Server oder nur eine Domäne mit zwei Standorten?
Autodiscover wird ein Problem sein, da man diese Option nur einmal pro firma.tld konfigurieren kann. Autodiscover teilt eben
Serveradresse, Domänenname, etc.. mit. Könnte man auch manuell konfigurieren. Ist eben eine Frage wie viele Benutzer es
trifft.
Serveradresse, Domänenname, etc.. mit. Könnte man auch manuell konfigurieren. Ist eben eine Frage wie viele Benutzer es
trifft.
Die manuelle Konfiguration betrifft doch nur externe Geräte die nicht in der Domäne sind wie manche Notebooks und Smartphones? Spontan würde ich mal 10-15 User sagen von insgesamt 50.
BTW: Dass zwei getrennte Exchangeserver für die selbe firma.tld zuständig sind sauber funktioniert, liegt an POPcon.
Sobald du auf SMTP umstellen solltest hast du das nächste Problem zum Lösen. Daher würde ich die Struktur komplett
überdenken.
Ja, ich weis, dass das mit direkten SMTP dann nicht mehr wirklich klappen wird. Ich hatte schon vorgeschlagen eine direkte Anbindung durchzuführen und sich vom bisherigen Provider für Mail zu trennen. Aber leider klappt das nicht so wie man es sich wünscht. Wenn das aber mal der Fall wird, dann wird ja zwingend eine Site-to-Site VPN benötigt + weitere Änderungen.
Hallo,
das wäre eine Domäne, mit einem Exchange, ggf. Subdomains.
Warum klappt das Umstellen (abgesehen von der Situation) von POP auf SMTP nicht?
LG
das wäre eine Domäne, mit einem Exchange, ggf. Subdomains.
Warum klappt das Umstellen (abgesehen von der Situation) von POP auf SMTP nicht?
LG
Ich hab hin und wieder auch an eine Anbindung nachgedacht, aber ich dachte das es letztendlich mehr Aufwand ist.
Das kannst du so nicht sagen... oder hast du dich mit einmaligen, monatlichen Kosten + Zeitaufwand beschäftigt. Alleine schon eine Exchange-Lizenz finanziert zwei Router die VPN können. Bedeutet das Anbinden eine Vertrauensstellung der Domänen und nur ein Exchange Server oder nur eine Domäne mit zwei Standorten?
Hast du bereits einen DC in Bereich 2? Entweder Vertrauensstellung oder den DC aufflösen, eine AD-Site einrichten und dort den dC wieder hinzufügen.Grüße,
Dani
Hallo,
puh, das bedeutet das AD vom Hauptbereich zum Subbereich replizieren über die Site-to-Site VPN und anschließend die Domäne vom Subbereich in die andere migrieren - bisschen viel Aufwand =/. Anschließend erleichtert es wahrscheinlich vieles, aber für den Anfang ist es doch recht viel.
Naja, abgesehen von der bisherigen Situation mit den verschiedene Domänen der Bereiche fehlt dann noch die statische IP für den DSL Anschluss sowie weitere Vorkehrungen bzgl. Sicherheit (ich nehme mal an, dass der Exchange Server nicht direkt an vorderster Front stehen sollte sondern so eine Reverse Proxy und Spamfilter davor). Der Mail Provider steht auch in einem guten Bekanntenkreis der Geschäftsleitung, also steht da auch etwas Beziehung im Weg, die das verhindert.
Gruß,
Burak
Hast du bereits einen DC in Bereich 2? Entweder Vertrauensstellung oder den DC aufflösen, eine AD-Site einrichten und dort
den dC wieder hinzufügen.
Ja, im Bereich 2 steht eine komplette AD Struktur.
puh, das bedeutet das AD vom Hauptbereich zum Subbereich replizieren über die Site-to-Site VPN und anschließend die Domäne vom Subbereich in die andere migrieren - bisschen viel Aufwand =/. Anschließend erleichtert es wahrscheinlich vieles, aber für den Anfang ist es doch recht viel.
Naja, abgesehen von der bisherigen Situation mit den verschiedene Domänen der Bereiche fehlt dann noch die statische IP für den DSL Anschluss sowie weitere Vorkehrungen bzgl. Sicherheit (ich nehme mal an, dass der Exchange Server nicht direkt an vorderster Front stehen sollte sondern so eine Reverse Proxy und Spamfilter davor). Der Mail Provider steht auch in einem guten Bekanntenkreis der Geschäftsleitung, also steht da auch etwas Beziehung im Weg, die das verhindert.
Gruß,
Burak
Hast du bereits einen DC in Bereich 2? Entweder Vertrauensstellung oder den DC aufflösen, eine AD-Site einrichten und dort
den dC wieder hinzufügen.
Ja, im Bereich 2 steht eine komplette AD Struktur.
Anschließend erleichtert es wahrscheinlich vieles, aber für den Anfang ist es doch recht viel.
Um so mehr du parallel aufgebaut und schwieriger wird es später. Da geht es auch um Geld! sowie weitere Vorkehrungen bzgl. Sicherheit (ich nehme mal an, dass der Exchange Server nicht direkt an vorderster Front stehen sollte sondern so eine Reverse Proxy und Spamfilter davor)
Das wirst doch wohl nicht Sicherheitsmaßnahmen wie Viren, Spam verzichen nur weil du den Provider vor dir hast. Das geht schneller ins Auge wie du denkst. Auch der Provider ist nicht unfehlbar und irgendwann ruscht was durch. Der Mail Provider steht auch in einem guten Bekanntenkreis der Geschäftsleitung, also steht da auch etwas Beziehung im Weg, die das verhindert.
Mag gut und recht sein. Aber so ein Umbau bringt auch euch Vorteile (Lizenzeinsparungen, Wartungsaufwand, etc...). Das sollte man immer mit auführen bei der GL. Nur Zahlen überzeugen!Grüße,
Dani
Und abgesehen davon werden auch pot. Probleme aus der Welt geschaffen. Bei zwei Domänen muss man die Dinge immer an zwei Punkten ändern. Bei einer nur noch einmal. Ein "ist durchgeschlüpft, weil in A bereits durchgeführt, aber in B vergessen" kommt nicht mehr vor, da alles eins.
Hallo,
ich danke nochmal für die Antworten.
Auch wenn ich einsehe, das eine Domäne weniger Arbeit ist und auch besser funktioniert, wird es wohl vorerst nicht stattfinden, dass beide Bereiche miteinander verbunden werden und die eine Domäne in die andere migriert wird. Ich habe das heute nochmal abgesprochen und es ist wohl vorerst nicht gewünscht, dass beide Domänen zusammen gefügt werden. Von der einen Seite spart es mir jetzt Arbeit und von der anderen bringt es mir mehr Arbeit. Zweischneidiges-Schwert halt...
Aber nochmal zum eigentlichen Punkt und zwar _Autodiscover_. Ich bin der Ansicht, wenn ein Exchange Server in der anderen Domäne (bzw. Gesamtstruktur) installiert wird, stellt sich ja natürlich das Problem das Autodiscover schon belegt ist.
Hat es gravierende Auswirkungen wenn die Autodiscover-URL nicht erreichbar ist für externe Clients? Innerhalb der Domäne sollte es ja funktionieren, denn hier kann ich im DNS die URL einfach eintragen bzw. eine interne URL verwenden (solange es im jeweiligen Zertifikat drin steht, im Internet-Zertifikat geht das ja eh nicht).
Ich habe ja wie gesagt eine Testumgebung aufgesetzt und mal installiert und absichtlich Autodiscover-URL nicht im DNS der externen Domain eingestellt. Natürlich geht eine Autokonfiguration nicht, aber eine manuelle Einrichtung bei Outlook mit RPC over HTTP(s) funktioniert. An einem Smartphone würde ich das später noch ausprobieren. Letztendlich sollte man doch überall wo Autodiscover eingesetzt wird, auch eine manuelle Konfiguration durchführen, oder nicht? Ich glaub im Exchange 2003 gabs ja auch noch kein Autodiscover wenn ich es recht in Erinnerung habe.
Ich hoffe es wird jetzt nicht all zu sehr mit dem Kopf geschüttelt. Ich bin auch nicht super begeistert, aber es ist eine Lösung. Wenn der Tag X kommt, wo gesagt wird, die Domänen werden zusammengeführt und Exchange wird ab sofort über SMTP erreichbar sein, dann wird es sich sicherlich eine Lösung finden. Vielleicht nicht die einfachste, aber jetzt spontan alles auf den Kopf zu stellen.
Gruß,
Burak
EDIT: Die TMG von Microsoft wird doch demnächst eingestellt. Was wird denn als Alternative bzw. als Reverse Proxy mit SSL für IIS Dienste eingesetzt? Eventuell Apache mit mod_proxy?
ich danke nochmal für die Antworten.
Auch wenn ich einsehe, das eine Domäne weniger Arbeit ist und auch besser funktioniert, wird es wohl vorerst nicht stattfinden, dass beide Bereiche miteinander verbunden werden und die eine Domäne in die andere migriert wird. Ich habe das heute nochmal abgesprochen und es ist wohl vorerst nicht gewünscht, dass beide Domänen zusammen gefügt werden. Von der einen Seite spart es mir jetzt Arbeit und von der anderen bringt es mir mehr Arbeit. Zweischneidiges-Schwert halt...
Aber nochmal zum eigentlichen Punkt und zwar _Autodiscover_. Ich bin der Ansicht, wenn ein Exchange Server in der anderen Domäne (bzw. Gesamtstruktur) installiert wird, stellt sich ja natürlich das Problem das Autodiscover schon belegt ist.
Hat es gravierende Auswirkungen wenn die Autodiscover-URL nicht erreichbar ist für externe Clients? Innerhalb der Domäne sollte es ja funktionieren, denn hier kann ich im DNS die URL einfach eintragen bzw. eine interne URL verwenden (solange es im jeweiligen Zertifikat drin steht, im Internet-Zertifikat geht das ja eh nicht).
Ich habe ja wie gesagt eine Testumgebung aufgesetzt und mal installiert und absichtlich Autodiscover-URL nicht im DNS der externen Domain eingestellt. Natürlich geht eine Autokonfiguration nicht, aber eine manuelle Einrichtung bei Outlook mit RPC over HTTP(s) funktioniert. An einem Smartphone würde ich das später noch ausprobieren. Letztendlich sollte man doch überall wo Autodiscover eingesetzt wird, auch eine manuelle Konfiguration durchführen, oder nicht? Ich glaub im Exchange 2003 gabs ja auch noch kein Autodiscover wenn ich es recht in Erinnerung habe.
Ich hoffe es wird jetzt nicht all zu sehr mit dem Kopf geschüttelt. Ich bin auch nicht super begeistert, aber es ist eine Lösung. Wenn der Tag X kommt, wo gesagt wird, die Domänen werden zusammengeführt und Exchange wird ab sofort über SMTP erreichbar sein, dann wird es sich sicherlich eine Lösung finden. Vielleicht nicht die einfachste, aber jetzt spontan alles auf den Kopf zu stellen.
Gruß,
Burak
EDIT: Die TMG von Microsoft wird doch demnächst eingestellt. Was wird denn als Alternative bzw. als Reverse Proxy mit SSL für IIS Dienste eingesetzt? Eventuell Apache mit mod_proxy?
