masterphil
Mar 16, 2016, updated at 20:01:54 (UTC)
view1854
view7
0
Goto Top

Windows Domäne als Subodmain

GermanQuestionExchange ServerMicrosoft
Hallo Zusammen,

wir richten eine neue Windows Domäne ein und möchten nicht wie bisher .local verwenden, sondern die interne Windows Domäne als Subodomain der Webseite verwenden (z. B. ad.firma.de). Unter anderem soll ein Exchange Server 2016 installiert werden. Generell habe ich für die Konfiguration ein paar Fragen:

-muss für die Konfiguration dieser Domäne was beachtet werden, oder geht alles den "gewohnten Gang" wie beim Einrichten einer .local Domain?

Der Exchange 2016 soll OWA über owa.firma.de verfügbar machen. Hier soll nicht wie bisher ein Zertifikat einer eigenen CA verwendet werden, sondern ein offizielles:

-kann man durch einen bestimmten DNS Eintrag die OWA Seite über owa.firma.de verfügbar machen, ohne https:// einzutippen?
-kann als Zertifikat eines für eine Webseite verwendet werden, in dem ich dann owa.firma.de angebe oder muss ein SAN Zertifikat verwendet werden? Genügt es das in den Exchange zu importieren und die Dienste daran zu binden oder ist vor Zertifikatbestellung bei z. B. GoDaddy / RapidSSL eine andere Vorgehensweise erforderlich? Cert. Request erstellen?
-welche DNS Einträge müssen für die saubere Nutzung von Autodiscover von außerhalb (z. B. Einrichtung EAS auf einem Smartphone) gesetzt werden?

Vielen Dank!
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 299293

Url: https://administrator.de/contentid/299293

Printed on: April 19, 2024 at 17:04 o'clock

7 Comments
Latest comment
Goto Top
Member: emeriks
emeriks Mar 16, 2016 updated at 17:16:11 (UTC)
Goto Top
Hi,
-kann man durch einen bestimmten DNS Eintrag die OWA Seite über owa.firma.de verfügbar machen, ohne https:// einzutippen?
Du meinst, OWA über HTTP statt HTTPS veröffentlichen? Damit Du Dir das Zertifikat sparen kannst?
-kann als Zertifikat eines für eine Webseite verwendet werden, in dem ich dann owa.firma.de angebe oder muss ein SAN Zertifikat verwendet werden?
Du brauchst ein ganz normales SSL Zertifikat incl. privatem Schlüssel. Das Zertifikat muss meines Wissens sowohl den FQDN als auch den NetBIOS-Namen als alternative Namen enthalten. Da bei Euch dann externer FQDN = interner FQDN ist also nur ein FQDN. Optional auch noch die IP-Adresse(n).

E.
Member: agowa338
agowa338 Mar 16, 2016 at 17:17:53 (UTC)
Goto Top
-muss für die Konfiguration dieser Domäne was beachtet werden, oder geht alles den "gewohnten Gang" wie beim Einrichten einer .local Domain?
Sollen die Server von extern Erreichbar sein? Falls ja, muss dein DNS auch öffentlich verfügbar und am DNS für firma.de muss diesem die Sub-domain zugewiesen werden. Falls nein, musst du halt für z. B. den Exchange auch am Öffentlichen DNS einen A, AAAA Record manuell anlegen (Achja und MX für firma.de nicht vergessen face-wink).
Der Exchange 2016 soll OWA über owa.firma.de verfügbar machen. Hier soll nicht wie bisher ein Zertifikat einer eigenen CA verwendet werden, sondern ein offizielles:
-kann man durch einen bestimmten DNS Eintrag die OWA Seite über owa.firma.de verfügbar machen, ohne https:// einzutippen?
Einfach einen HTTP 301 bei Port 80 anfragen zurückgeben und an "https://owa.firma.de" weiterleiten.
-kann als Zertifikat eines für eine Webseite verwendet werden, in dem ich dann owa.firma.de angebe oder muss ein SAN Zertifikat verwendet werden? Genügt es das in den Exchange zu importieren und die Dienste daran zu binden oder ist vor Zertifikatbestellung bei z. B. GoDaddy / RapidSSL eine andere Vorgehensweise erforderlich? Cert. Request erstellen?
Also du wirst schon einen Cert Request erstellen müssen, außer du hast schon ein Zertifikat für owa.firma.de bzw. *.firma.de das kannst du dann natürlich verwenden.
Member: MasterPhil
MasterPhil Mar 16, 2016 updated at 19:53:40 (UTC)
Goto Top
Zitat von @agowa338:

Sollen die Server von extern Erreichbar sein? Falls ja, muss dein DNS auch öffentlich verfügbar und am DNS für firma.de muss diesem die Sub-domain zugewiesen werden. Falls nein, musst du halt für z. B. den Exchange auch am Öffentlichen DNS einen A, AAAA Record manuell anlegen (Achja und MX für firma.de nicht vergessen face-wink).
Nur der Exchange soll von außen erreichbar sein - ganz klassich über einen Host A auf die öffentliche IP mit Port Forwarding 80 und 443. MX wird hier nicht genutzt, die E-Mails werden von Postfächern mit POPCON abgeholt.
Einfach einen HTTP 301 bei Port 80 anfragen zurückgeben und an "https://owa.firma.de" weiterleiten.
Wenn ich die Adresse ohne https:// aufrufen, lande ich ja normalerweise auf der IIS Default WebSite (vorausgesetzt Port 80 wird weitergeleitet). Dann muss ich einen Redirect auf die https://owa.firma.de/owa einrichten? Da muss ich dann google bemühen, am IIS habe ich bisher wenn es nicht nötig war nicht viel konfiguriert.
Also du wirst schon einen Cert Request erstellen müssen, außer du hast schon ein Zertifikat für owa.firma.de bzw. *.firma.de das kannst du dann natürlich verwenden.
Wir haben noch kein öffentliches Zertifikat. Das werden wir dann bei irgendeiner Stelle kaufen. Mir ging es nur darum, wie so ein Vorgang genau abläuft, da wir bis dato keine Erfahrung haben. Wir haben bis jetzt einen eigenen Request erstellt und das Zertifikat dann über eine eigene CA auf dem DC erstellt. Zum logischen Verständnis für mich interessiert mich eben ob ein "Standard" Zertifikat ausreicht, welches nur die entsprechende öffentliche DNS Adresse enthält, oder ob Alternative Names (z. B. der interne DNS Namen) angegeben werden müssen und ob das Zertifikat dann einfach über den Assistenten importiert werden kann. Wobei das Zertifikat natürlich auch intern funktionieren soll, damit von Outlook keine Zertifikatsfehler kommen - daher denke ich dann muss tatsächlich ein SAN Zertifikat her, wo sowohl die externen als auch die internen DNS Namen eingetragen sind. Oder gibt es sogar extra Zertifikate für so Exchange Geschichten?
Member: agowa338
agowa338 Mar 16, 2016 updated at 22:11:41 (UTC)
Goto Top
Nur der Exchange soll von außen erreichbar sein - ganz klassich über einen Host A auf die öffentliche IP mit Port Forwarding 80 und 443. MX wird hier nicht genutzt, die E-Mails werden von Postfächern mit POPCON abgeholt.
Gut, dann musst du bei der Active Directory Installation nur als Domäne "ad.firma.de" angeben (FQDN von OWA wäre z. B. "owa.ad.firma.de").
Also du wirst schon einen Cert Request erstellen müssen, außer du hast schon ein Zertifikat für owa.firma.de bzw. *.firma.de das kannst du dann natürlich verwenden.
Wir haben noch kein öffentliches Zertifikat. Das werden wir dann bei irgendeiner Stelle kaufen. Mir ging es nur darum, wie so ein Vorgang genau abläuft, da wir bis dato keine Erfahrung haben. Wir haben bis jetzt einen eigenen Request erstellt und das Zertifikat dann über eine eigene CA auf dem DC erstellt. Zum logischen Verständnis für mich interessiert mich eben ob ein "Standard" Zertifikat ausreicht, welches nur die entsprechende öffentliche DNS Adresse enthält, oder ob Alternative Names (z. B. der interne DNS Namen) angegeben werden müssen und ob das Zertifikat dann einfach über den Assistenten importiert werden kann. Wobei das Zertifikat natürlich auch intern funktionieren soll, damit von Outlook keine Zertifikatsfehler kommen - daher denke ich dann muss tatsächlich ein SAN Zertifikat her, wo sowohl die externen als auch die internen DNS Namen eingetragen sind. Oder gibt es sogar extra Zertifikate für so Exchange Geschichten?
Im Zertifikat müssen im falle des OWA folgende Namen stehen:
  1. Der DNS Name (FQDN): owa.ad.firma.de
  2. Der DNS Alias Name (FQDN): owa.firma.de
  3. Der NetBios Name: owa
Ach ja, Ich denke, dass diese auch im exchange Konfiguriert werden müssen.

Ein Zertifikat bekommst du von z. B. hier. Wenn du zufälligerweise einen Linux server hast erleichtert das die Anleitung, die nötigen schritte stehen jeweils unter "how do I generate this?". Falls nicht, entweder kurz eine VM installieren und die befehle nacheinander ausführen.
Hiermit wandelst du es abschließend ins Windows Format um:
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

P. S. Die Datei "account.key" ist sozusagen dein Benutzeraccount, also für ab dem zweiten Zertifikate Schritt 1.1. überspringen und gleich bei 1.2 starten.
Member: emeriks
emeriks Mar 17, 2016 at 07:25:49 (UTC)
Goto Top
Wenn das Zertifikat direkt auf dem Exchange Server installiert werden soll, dann fehlen doch noch die Namen des Exchange Servers? Oder heißt dieser etwa OWA? Ich glaube kaum.
Member: MasterPhil
MasterPhil Mar 17, 2016 updated at 08:44:00 (UTC)
Goto Top
Zitat von @emeriks:

Wenn das Zertifikat direkt auf dem Exchange Server installiert werden soll, dann fehlen doch noch die Namen des Exchange Servers? Oder heißt dieser etwa OWA? Ich glaube kaum.
Das meinte ich - dann benötige ich wohl wie oben geschrieben ein SAN Zertifikat wo ich sowohl die internen DNS Namen sowie die externen eintrage, damit ich das Zertifikat für intern und extern verwenden kann, sprich Outlook innerhalb / außerhalb der Domäne und OWA.

Interessieren würde mich dann noch welche DNS Einträge ich setzen muss damit ich auch extern autodiscover verwenden kann, z. B. EAS am Smartphone. Wahrscheinlich muss ich eine subdomain autodiscover.firma.de anlegen. Nur wie / wohin lasse ich den Eintrag verweisen damit der Client die XML finden kann?
Member: agowa338
agowa338 Mar 17, 2016 at 16:33:21 (UTC)
Goto Top
Ich dachte dein exchange und owa wären auf dem gleichen Server installiert mit dem Hostname "owa". Und natürlich müssen wie oben erwähnt alle namen im Zertifikat sein.
GermanQuestionExchange ServerMicrosoft
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment