ipzipzap
Goto Top

Exchange 2016 - URLs ändern auf andere Domain - Best Practise?

Hallo,

unser Unternehmen wurde von einem anderen übernommen und jetzt stehe ich vor der Aufgabe, unser Exchange 2016 auf andere URLs umzuschwenken. Deshalb möchte ich Euch gerne vorher mal die Frage stellen, wie ich das am besten bewerkstellige, ohne das ich und meine User große Fehlermeldungen im Outlook bekomme?

Folgender IST-Stand:

Windows-Domäne: ALTEFIRMA bzw. internal.altefirma.de
(Soll irgendwann(!) auch auf den neuen Firmennamen umgestellt werden, wird dann aber wegen Exchange wohl auf eine komplette Neuinstallation der Domäne hinauslaufen)

Externe Domänen (per Split-DNS werden hier intern interne IPs aufgelöst):
autodiscover.altefirma.de
outlook.altefirma.de

Öffentliches Zertifikat: Im Exchange eingetragen mit diesen beiden Domains.

Eine Sophos-UTM ist vorgeschaltet als SPAM-Filter und Web Application Firewall; sie hält auch dasselbe Zertifikat.

So weit, so gut!


Jetzt möchte ich erstmal nur die externen Domains umstellen auf

autodiscover.neuefirma.de
outlook.neuefirma.de

Die Subdomains habe ich im DNS schon vor ein paar Tagen angelegt, und sie zeigen auf dieselben IPs wie die alten Subdomains.

Wenn ich nun im Exchange die URLs und das Zertifikat ändere, was passiert dann?

Alle Outlooks, die intern im Hause sind, sollten damit keine Probleme habe, weil sie ja die Verbindung zum Exchange über den SCP aus der AD auslesen, und auch jedes Zertifikat akzeptieren.

Was machen Clients, die extern sind? Die werden ja noch die alten URLs versuchen zu erreichen, und würden theoretisch einen Zertikatsfehler bekommen. Das könnte ich jetzt umschiffen, indem ich einfach vorher ein neues Zertifikat einspiele, was alle vier Domains beinhaltet, also Alte und Neue, richtig? Nach der Umstellung würde ich die Alten dann wieder aus dem Zertifikat entfernen.

Ok, nun gäbe es keinen Zertifikatsfehler, aber wenn nun ein alter Client versucht, auf outlook.altefirma.de oder autodiscover.altefirma.de zuzugreifen, dann würde Exchange bzw. der IIS dahinter die URLs ja nicht mehr kennen, da ich die doch auf *.neuefirma.de umgestellt habe.

Ich hoffe, ihr versteht, was ich meine.

Wie würdet ihr das machen? Kann ich Exchange nicht irgendwie zwei URLs mitteilen, also für neuefirma.de und altefirma.de. Oder einfach hart auf die neue Domain umstellen und sich dann mit den Fehlern und anrufenden Usern rumschlagen?


Danke im Voraus für Eure Antworten!

ipzipzap

Content-Key: 501544

Url: https://administrator.de/contentid/501544

Ausgedruckt am: 28.03.2024 um 10:03 Uhr

Mitglied: fre4ki
fre4ki 04.10.2019 aktualisiert um 10:30:11 Uhr
Goto Top
Du benötigst erstmal ein neues Multi Domain Zertifikat für autodiscover und outlook.neuefirma.de

Das Zertifikat musst du bei der Umstellung an der sophos und am exchange einfügen und zuweisen.

Die Clients mögen zwar dem neuen Zertifikat vertrauen aber wenn der Name nicht übereinstimmt siehst du trotzdem eine Fehlermeldung.

Du musst am exchange alle URLs ändern (da gibt's im Internet von Franky ein Script).

Zum Thema neue Domain. Entweder neu machen oder ein Domain Alias (UPN Suffix) hinzufügen. UPN wird auch oft bei Office 365 AD Sync verwendet.

Wird z. B. hier beschrieben

https://www.petri.com/add-upn-suffixes-in-active-directory

Auf der alten Domain würde ich den autodiscover und outlook Eintrag per cname lenken auf den neuen Eintrag.

Im Sophos Spam Filter muss die neue domain natürlich auch eingetragen werden. Evtl. SPF Eintrag nicht vergessen. MX umstellen.
Mitglied: ipzipzap
ipzipzap 04.10.2019 um 11:41:08 Uhr
Goto Top
Das ich neue Zertifikate brauche und auch die Sophos entsprechend anpassen muß, ist soweit klar.

Zitat von @fre4ki:
Du musst am exchange alle URLs ändern (da gibt's im Internet von Franky ein Script).

Genau darum gehts ja in meiner Frage. Wenn ich die URLs ändere, was machen dann externe Outlooks, die nicht auf das AD und den SCP zugreifen können? Wie versuchen die, die neue URL zu finden? Oder verlieren die die Verbindung?

Und was ist mit iPhones etc. über ActiveSync, wenn die URL nicht mehr geht?

cu,
ipzipzap
Mitglied: fre4ki
fre4ki 04.10.2019 aktualisiert um 12:55:55 Uhr
Goto Top
Die greifen auf die externe Autodiscover zu..

Deswegen der cname von alter autodiscover auf neu.
Mitglied: NordicMike
Lösung NordicMike 05.10.2019 aktualisiert um 01:04:58 Uhr
Goto Top
Hallo ipzipzap,

was Du überlegt hast, funktioniert. Dem Exchange Server ist es egal über welche Domain die Anfrage kommt. Die Pfadeinstellungen benötigt der Exchange Server nicht um seine Dienste zu servieren. Er gibt die Pfadeinstellungen nur in die autodiscover.xml weiter, die von Clients abgeholt wird.

Du kannst also in den DNS Einstellungen der alten Domain und der neuen Domain die jeweiligen Einträge auf die IP der Sophos WAF leiten und der Exchange Server wird immer antworten.

Natürlich benötigt die WAF von beiden Domains die Zertifikate. Du kannst alles in ein Zertifikat packen oder zwei virtuelle Server eintragen, mit jeweils einem Zertifikat und beide leiten zum Exchange Server weiter.

Der Anwender kann sich so mit der alten oder auch mit der neuen Email Adresse anmelden und wird in beiden Fällen seine Emails sehen (natürlich benötigt er dafür beide Adressen in seinem Account). Senden wird er aber nur mit der in Exchange eingerichteten "Standard" Adresse.

Der Exchange Server benötigt keine externen neuen SAN‘s im Zertifikat, da die WAF den HTTPS aufgebrochen hat. Der Outlook Client verbindet sich nur mit der WAF und verschlüsselt die zwei Endpunkte miteinander. Zwischen der WAF und dem Exchange entsteht eine neue Verbindung, nur ist dem Sophos egal welches Zertifikat es dabei sieht. Es kann also ein selbst erstelltes Zertifikat sein oder eines aus der Zertifizierungsstelle der Domäne mit ewig langer Laufzeit. Du wirst bemerken, dass überhaupt nichts passiert, wenn Du im Exchange dass Zertifikat wechselst. Es ist auch egal welche Pfade Du im Exchange hinterlegst, da sich die Clients über beide Domains verbinden können. Du kannst also ohne Risiko und Ausfall die Pfade zwischen alt und neu wechseln und keiner bemerkt was.

Da sich viele Outlooks mit der alten Domain angemeldet haben, müssen die DNS Einstellungen der alten Domäne erst einmal so bleiben. Das kann so im Hintergrund ewig lang geduldet weiter laufen, damit die Clients gar nichts davon merken. Neue Clients melden sich natürlich gleich mit der neuen Email Adresse an. Die alten Clients senden auch mit der neuen Email Adresse raus, wenn Du deren Standardadresse im Exchange geändert hast. Abschalten kannst Du die DNS Einstellungen der alten Domain erst, wenn alle Clients mit der neuen Email Adresse angemeldet sind. Dazu besteht aber keine Notwendigkeit - es sei denn, die Geschäftsführung will, dass die alte Domain ganz weg kommt.

Eine einzige Ausnahme gibt es warum Exchange die Pfade doch berücksichtigt: Wenn zwischen internen und externen Zugriffen unterschieden werden soll, kann es damit die externen Zugriffe sperren. Da Du Split DNS betreibst und die internen und externen Pfade gleich sind, ist es für Dich nicht relevant.

Keep rockin

Der Mike
Mitglied: ipzipzap
ipzipzap 08.10.2019 um 11:41:16 Uhr
Goto Top
Danke Mike für Deine Antwort. Ich habe mittlerweile alles umgestellt und noch ein Problem.

Zitat von @NordicMike:
Dem Exchange Server ist es egal über welche Domain die Anfrage kommt.

Anscheinend nicht so ganz. Es gibt noch ein Problem mit dem Autodiscover. Über die alte Domain funktioniert es noch, über die neue bekomme ich im Remote Connectivity Analyzer folgenden Fehler angezeigt:


An HTTP 403 forbidden response was received. The response appears to have come from Unknown. Body of the response: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>403 Forbidden</title> </head><body> <h1>Forbidden</h1> <p>You don't have permission to access /Autodiscover/Autodiscover.xml on this server.<br /> </p> </body></html>  

Im DNS sind beide Autodiscover-Domains hinterlegt, auch in der Sophos. Alle Zertifikate haben die alten und die neuen Domains drin. Wieso bekomme ich dann immer noch diesen 403?

Irgendeine Idee?

cu,
ipzipzap
Mitglied: ipzipzap
ipzipzap 08.10.2019 um 12:52:36 Uhr
Goto Top
Kommado zurück! Problem gelöst!

In der Sophos war im WAF noch eine Exception gesetzt, in der noch nicht die neue Domain eingetragen war.