Exchange 2016 - URLs ändern auf andere Domain - Best Practise?
Hallo,
unser Unternehmen wurde von einem anderen übernommen und jetzt stehe ich vor der Aufgabe, unser Exchange 2016 auf andere URLs umzuschwenken. Deshalb möchte ich Euch gerne vorher mal die Frage stellen, wie ich das am besten bewerkstellige, ohne das ich und meine User große Fehlermeldungen im Outlook bekomme?
Folgender IST-Stand:
Windows-Domäne: ALTEFIRMA bzw. internal.altefirma.de
(Soll irgendwann(!) auch auf den neuen Firmennamen umgestellt werden, wird dann aber wegen Exchange wohl auf eine komplette Neuinstallation der Domäne hinauslaufen)
Externe Domänen (per Split-DNS werden hier intern interne IPs aufgelöst):
autodiscover.altefirma.de
outlook.altefirma.de
Öffentliches Zertifikat: Im Exchange eingetragen mit diesen beiden Domains.
Eine Sophos-UTM ist vorgeschaltet als SPAM-Filter und Web Application Firewall; sie hält auch dasselbe Zertifikat.
So weit, so gut!
Jetzt möchte ich erstmal nur die externen Domains umstellen auf
autodiscover.neuefirma.de
outlook.neuefirma.de
Die Subdomains habe ich im DNS schon vor ein paar Tagen angelegt, und sie zeigen auf dieselben IPs wie die alten Subdomains.
Wenn ich nun im Exchange die URLs und das Zertifikat ändere, was passiert dann?
Alle Outlooks, die intern im Hause sind, sollten damit keine Probleme habe, weil sie ja die Verbindung zum Exchange über den SCP aus der AD auslesen, und auch jedes Zertifikat akzeptieren.
Was machen Clients, die extern sind? Die werden ja noch die alten URLs versuchen zu erreichen, und würden theoretisch einen Zertikatsfehler bekommen. Das könnte ich jetzt umschiffen, indem ich einfach vorher ein neues Zertifikat einspiele, was alle vier Domains beinhaltet, also Alte und Neue, richtig? Nach der Umstellung würde ich die Alten dann wieder aus dem Zertifikat entfernen.
Ok, nun gäbe es keinen Zertifikatsfehler, aber wenn nun ein alter Client versucht, auf outlook.altefirma.de oder autodiscover.altefirma.de zuzugreifen, dann würde Exchange bzw. der IIS dahinter die URLs ja nicht mehr kennen, da ich die doch auf *.neuefirma.de umgestellt habe.
Ich hoffe, ihr versteht, was ich meine.
Wie würdet ihr das machen? Kann ich Exchange nicht irgendwie zwei URLs mitteilen, also für neuefirma.de und altefirma.de. Oder einfach hart auf die neue Domain umstellen und sich dann mit den Fehlern und anrufenden Usern rumschlagen?
Danke im Voraus für Eure Antworten!
ipzipzap
unser Unternehmen wurde von einem anderen übernommen und jetzt stehe ich vor der Aufgabe, unser Exchange 2016 auf andere URLs umzuschwenken. Deshalb möchte ich Euch gerne vorher mal die Frage stellen, wie ich das am besten bewerkstellige, ohne das ich und meine User große Fehlermeldungen im Outlook bekomme?
Folgender IST-Stand:
Windows-Domäne: ALTEFIRMA bzw. internal.altefirma.de
(Soll irgendwann(!) auch auf den neuen Firmennamen umgestellt werden, wird dann aber wegen Exchange wohl auf eine komplette Neuinstallation der Domäne hinauslaufen)
Externe Domänen (per Split-DNS werden hier intern interne IPs aufgelöst):
autodiscover.altefirma.de
outlook.altefirma.de
Öffentliches Zertifikat: Im Exchange eingetragen mit diesen beiden Domains.
Eine Sophos-UTM ist vorgeschaltet als SPAM-Filter und Web Application Firewall; sie hält auch dasselbe Zertifikat.
So weit, so gut!
Jetzt möchte ich erstmal nur die externen Domains umstellen auf
autodiscover.neuefirma.de
outlook.neuefirma.de
Die Subdomains habe ich im DNS schon vor ein paar Tagen angelegt, und sie zeigen auf dieselben IPs wie die alten Subdomains.
Wenn ich nun im Exchange die URLs und das Zertifikat ändere, was passiert dann?
Alle Outlooks, die intern im Hause sind, sollten damit keine Probleme habe, weil sie ja die Verbindung zum Exchange über den SCP aus der AD auslesen, und auch jedes Zertifikat akzeptieren.
Was machen Clients, die extern sind? Die werden ja noch die alten URLs versuchen zu erreichen, und würden theoretisch einen Zertikatsfehler bekommen. Das könnte ich jetzt umschiffen, indem ich einfach vorher ein neues Zertifikat einspiele, was alle vier Domains beinhaltet, also Alte und Neue, richtig? Nach der Umstellung würde ich die Alten dann wieder aus dem Zertifikat entfernen.
Ok, nun gäbe es keinen Zertifikatsfehler, aber wenn nun ein alter Client versucht, auf outlook.altefirma.de oder autodiscover.altefirma.de zuzugreifen, dann würde Exchange bzw. der IIS dahinter die URLs ja nicht mehr kennen, da ich die doch auf *.neuefirma.de umgestellt habe.
Ich hoffe, ihr versteht, was ich meine.
Wie würdet ihr das machen? Kann ich Exchange nicht irgendwie zwei URLs mitteilen, also für neuefirma.de und altefirma.de. Oder einfach hart auf die neue Domain umstellen und sich dann mit den Fehlern und anrufenden Usern rumschlagen?
Danke im Voraus für Eure Antworten!
ipzipzap
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 501544
Url: https://administrator.de/contentid/501544
Ausgedruckt am: 03.12.2024 um 17:12 Uhr
6 Kommentare
Neuester Kommentar
Du benötigst erstmal ein neues Multi Domain Zertifikat für autodiscover und outlook.neuefirma.de
Das Zertifikat musst du bei der Umstellung an der sophos und am exchange einfügen und zuweisen.
Die Clients mögen zwar dem neuen Zertifikat vertrauen aber wenn der Name nicht übereinstimmt siehst du trotzdem eine Fehlermeldung.
Du musst am exchange alle URLs ändern (da gibt's im Internet von Franky ein Script).
Zum Thema neue Domain. Entweder neu machen oder ein Domain Alias (UPN Suffix) hinzufügen. UPN wird auch oft bei Office 365 AD Sync verwendet.
Wird z. B. hier beschrieben
https://www.petri.com/add-upn-suffixes-in-active-directory
Auf der alten Domain würde ich den autodiscover und outlook Eintrag per cname lenken auf den neuen Eintrag.
Im Sophos Spam Filter muss die neue domain natürlich auch eingetragen werden. Evtl. SPF Eintrag nicht vergessen. MX umstellen.
Das Zertifikat musst du bei der Umstellung an der sophos und am exchange einfügen und zuweisen.
Die Clients mögen zwar dem neuen Zertifikat vertrauen aber wenn der Name nicht übereinstimmt siehst du trotzdem eine Fehlermeldung.
Du musst am exchange alle URLs ändern (da gibt's im Internet von Franky ein Script).
Zum Thema neue Domain. Entweder neu machen oder ein Domain Alias (UPN Suffix) hinzufügen. UPN wird auch oft bei Office 365 AD Sync verwendet.
Wird z. B. hier beschrieben
https://www.petri.com/add-upn-suffixes-in-active-directory
Auf der alten Domain würde ich den autodiscover und outlook Eintrag per cname lenken auf den neuen Eintrag.
Im Sophos Spam Filter muss die neue domain natürlich auch eingetragen werden. Evtl. SPF Eintrag nicht vergessen. MX umstellen.
Hallo ipzipzap,
was Du überlegt hast, funktioniert. Dem Exchange Server ist es egal über welche Domain die Anfrage kommt. Die Pfadeinstellungen benötigt der Exchange Server nicht um seine Dienste zu servieren. Er gibt die Pfadeinstellungen nur in die autodiscover.xml weiter, die von Clients abgeholt wird.
Du kannst also in den DNS Einstellungen der alten Domain und der neuen Domain die jeweiligen Einträge auf die IP der Sophos WAF leiten und der Exchange Server wird immer antworten.
Natürlich benötigt die WAF von beiden Domains die Zertifikate. Du kannst alles in ein Zertifikat packen oder zwei virtuelle Server eintragen, mit jeweils einem Zertifikat und beide leiten zum Exchange Server weiter.
Der Anwender kann sich so mit der alten oder auch mit der neuen Email Adresse anmelden und wird in beiden Fällen seine Emails sehen (natürlich benötigt er dafür beide Adressen in seinem Account). Senden wird er aber nur mit der in Exchange eingerichteten "Standard" Adresse.
Der Exchange Server benötigt keine externen neuen SAN‘s im Zertifikat, da die WAF den HTTPS aufgebrochen hat. Der Outlook Client verbindet sich nur mit der WAF und verschlüsselt die zwei Endpunkte miteinander. Zwischen der WAF und dem Exchange entsteht eine neue Verbindung, nur ist dem Sophos egal welches Zertifikat es dabei sieht. Es kann also ein selbst erstelltes Zertifikat sein oder eines aus der Zertifizierungsstelle der Domäne mit ewig langer Laufzeit. Du wirst bemerken, dass überhaupt nichts passiert, wenn Du im Exchange dass Zertifikat wechselst. Es ist auch egal welche Pfade Du im Exchange hinterlegst, da sich die Clients über beide Domains verbinden können. Du kannst also ohne Risiko und Ausfall die Pfade zwischen alt und neu wechseln und keiner bemerkt was.
Da sich viele Outlooks mit der alten Domain angemeldet haben, müssen die DNS Einstellungen der alten Domäne erst einmal so bleiben. Das kann so im Hintergrund ewig lang geduldet weiter laufen, damit die Clients gar nichts davon merken. Neue Clients melden sich natürlich gleich mit der neuen Email Adresse an. Die alten Clients senden auch mit der neuen Email Adresse raus, wenn Du deren Standardadresse im Exchange geändert hast. Abschalten kannst Du die DNS Einstellungen der alten Domain erst, wenn alle Clients mit der neuen Email Adresse angemeldet sind. Dazu besteht aber keine Notwendigkeit - es sei denn, die Geschäftsführung will, dass die alte Domain ganz weg kommt.
Eine einzige Ausnahme gibt es warum Exchange die Pfade doch berücksichtigt: Wenn zwischen internen und externen Zugriffen unterschieden werden soll, kann es damit die externen Zugriffe sperren. Da Du Split DNS betreibst und die internen und externen Pfade gleich sind, ist es für Dich nicht relevant.
Keep rockin
Der Mike
was Du überlegt hast, funktioniert. Dem Exchange Server ist es egal über welche Domain die Anfrage kommt. Die Pfadeinstellungen benötigt der Exchange Server nicht um seine Dienste zu servieren. Er gibt die Pfadeinstellungen nur in die autodiscover.xml weiter, die von Clients abgeholt wird.
Du kannst also in den DNS Einstellungen der alten Domain und der neuen Domain die jeweiligen Einträge auf die IP der Sophos WAF leiten und der Exchange Server wird immer antworten.
Natürlich benötigt die WAF von beiden Domains die Zertifikate. Du kannst alles in ein Zertifikat packen oder zwei virtuelle Server eintragen, mit jeweils einem Zertifikat und beide leiten zum Exchange Server weiter.
Der Anwender kann sich so mit der alten oder auch mit der neuen Email Adresse anmelden und wird in beiden Fällen seine Emails sehen (natürlich benötigt er dafür beide Adressen in seinem Account). Senden wird er aber nur mit der in Exchange eingerichteten "Standard" Adresse.
Der Exchange Server benötigt keine externen neuen SAN‘s im Zertifikat, da die WAF den HTTPS aufgebrochen hat. Der Outlook Client verbindet sich nur mit der WAF und verschlüsselt die zwei Endpunkte miteinander. Zwischen der WAF und dem Exchange entsteht eine neue Verbindung, nur ist dem Sophos egal welches Zertifikat es dabei sieht. Es kann also ein selbst erstelltes Zertifikat sein oder eines aus der Zertifizierungsstelle der Domäne mit ewig langer Laufzeit. Du wirst bemerken, dass überhaupt nichts passiert, wenn Du im Exchange dass Zertifikat wechselst. Es ist auch egal welche Pfade Du im Exchange hinterlegst, da sich die Clients über beide Domains verbinden können. Du kannst also ohne Risiko und Ausfall die Pfade zwischen alt und neu wechseln und keiner bemerkt was.
Da sich viele Outlooks mit der alten Domain angemeldet haben, müssen die DNS Einstellungen der alten Domäne erst einmal so bleiben. Das kann so im Hintergrund ewig lang geduldet weiter laufen, damit die Clients gar nichts davon merken. Neue Clients melden sich natürlich gleich mit der neuen Email Adresse an. Die alten Clients senden auch mit der neuen Email Adresse raus, wenn Du deren Standardadresse im Exchange geändert hast. Abschalten kannst Du die DNS Einstellungen der alten Domain erst, wenn alle Clients mit der neuen Email Adresse angemeldet sind. Dazu besteht aber keine Notwendigkeit - es sei denn, die Geschäftsführung will, dass die alte Domain ganz weg kommt.
Eine einzige Ausnahme gibt es warum Exchange die Pfade doch berücksichtigt: Wenn zwischen internen und externen Zugriffen unterschieden werden soll, kann es damit die externen Zugriffe sperren. Da Du Split DNS betreibst und die internen und externen Pfade gleich sind, ist es für Dich nicht relevant.
Keep rockin
Der Mike