trommel
Goto Top

Exchange 2019: Mehrere Domains

Servus Kollegen,

ich habe ein Problem mit einem 2019er Exchange - besser gesagt habe ich kein Problem - und das ist das Problem face-smile

Gegeben ist eine Windows-Domäne mit Windows AD und DNS Server (Split DNS) sowie Windows Exchange 2019 mit einer Domain kundendomain01.de. Autodiscover, interne und externe DNS-Einträge und ein Wildcard-Zertifikat der Domain kundendomain01.de alles sauber eingerichtet und funktionstüchtig (intern/extern).

Nun kamen allerdings mehrere Domains hinzu. Da das Zertifikat sowieso gerade abläuft, haben wir ein SSL-Zertifikat MultiSAN für alle Domains gekauft und eingebunden. Rest wie üblich konfiguriert und alles funktioniert einwandfrei.

Nun aber hat sich herausgestellt, dass ein einzelner Nutzer eine andere Domain nutzt (sagen wir hier mal kundendomainalt.de). Diese war schon vorher vorhanden (Netzwerk wurde erst kürzlich "übernommen"). Das habe ich im Zertifikat natürlich nicht berücksichtigt.

Was mich nun wundert: Es funktioniert alles und der Nutzer bekommt keinen Zertifikatsfehler im Outlook (2016). Sollte hier nicht einer ausgelöst werden, da die E-Mail-Adresse, also resprektive die Autodiscover-Domain, nicht im Zertifikat steht?

Über den Outlook Verbindungsstatus sehe ich den Servername, den ich im Admincenter festgelegt habe (exchange.kundendomain01.de). Dies ist die Hauptdomain kundendomain01.de. Diese löst ja auch sauber auf. Löst also das Outlook nicht die E-Mail sondern den Verbindungsserver auf? Das kenne ich aber ganz anders ? Oder was könnten die vorherigen hier gebastelt haben, dass es klappt? Ein SRV-Record existiert weder intern noch extern, die kundendomainalt.de existiert im internen DNS auch gar nicht.

Hätte ich mir das SAN Zertifikat sparen können? Hatte Exchange bisher immer nur mit einer Domain betrieben.

Vielleicht hat jemand eine Idee.

Besten Dank .

Trommel

Content-ID: 3463765576

Url: https://administrator.de/contentid/3463765576

Ausgedruckt am: 21.11.2024 um 12:11 Uhr

ukulele-7
ukulele-7 27.07.2022 aktualisiert um 17:02:25 Uhr
Goto Top
Outlook und jeder andere Mail Client auch kommunizieren über eine Adresse mit dem Mailserver, also servername.domain.de , zusätzlich gibt es noch autodiscover.domain.de . Die beiden müssen im selben Zertifikat stehen. Welche Maildomain der User hat ist für die Client / Server-Kommunikation nicht relevant.

Eventuell kannst du das Multi-SAN Zertifikat auch noch für andere Dinge nutzen.
Trommel
Trommel 27.07.2022 aktualisiert um 17:27:07 Uhr
Goto Top
Zitat von @ukulele-7:

Outlook und jeder andere Mail Client auch kommunizieren über eine Adresse mit dem Mailserver, also servername.domain.de , zusätzlich gibt es noch autodiscover.domain.de . Die beiden müssen im selben Zertifikat stehen. Welche Maildomain der User hat ist für die Client / Server-Kommunikation nicht relevant.

Eventuell kannst du das Multi-SAN Zertifikat auch noch für andere Dinge nutzen.

Bevor ich das mit dem Zertifikat gemacht habe (als noch das Wildcard-Zertifikat für kundendomain01.de galt), hatte ich es getestet, und einen Fehler erhalten, dass autodiscover.kundendomainneu05.de nicht mit Zertifikat übereinstimmt (war der selbe Verbindungsserver wie jetzt, exchange.kundendomain01.de)
Ich kann es nur noch mal versuchen, nachzustellen.

EDIT: Gerade nochmal getestet. Habe bei einem Testbenutzer im ECP alle E-Mailadressen gelöscht und eine Testmail mit Domain einer meiner eigenen eingetragen. Dort ist analog zu kundendomainalt.de kein autodiscover eingetragen, oder irgendwas konfiguriert. Kann zwar das Outlookprofil erstellen, erhalte aber sofort den gewünschten Zertifikatsfehler. Das Profil funktioniert auch, eben nur mit dem Fehler. Bei der anderen Domain passiert es nicht. Irgendwo muss also doch was eingetragen sein. Sonst hätte ich ja den selben Zustand. Oder übersehe ich was?? face-smile

unbenannt
Vision2015
Vision2015 27.07.2022 um 20:28:42 Uhr
Goto Top
Moin...

du hast ein Alfahosting-server.de zertifikat?!?!
für einen Exchange?
Frank
Trommel
Trommel 28.07.2022 aktualisiert um 08:37:18 Uhr
Goto Top
Zitat von @Vision2015:

Moin...

du hast ein Alfahosting-server.de zertifikat?!?!
für einen Exchange?
Frank

Frank, hast Du Dir den Fred überhaupt durchgelesen?? Oder nur Bildchen geschaut??
Das war, wie beschrieben, extra so gemacht, um den Fehler zu provozieren, als Antwort zu Kollege @ukulele-7, analog zur anderen Domain (die kein Zertifikatsfehler wirft) aber auch kein Autodiscover oder ähnliches eingerichtet hat.

Selbst mit einer Domain, die Autodiscover auf den Exchange zeigt (aber nicht im Zertifikat steht) kommt der Zertifikatsfehler. Es wird also schon die E-Mail geprüft und nicht nur der Verbindungsserver.
EDIT: Zumindest intern. Extern via ActiveSync wird bei mir nur der Verbindungsserver geprüft.

Naja, ich vermute mal, dass da irgendein Registrygebastel von den Vorgängern dahinter steckt. DNS SRV Einträge sinds ja wie gesagt auch nicht.

Trommel
Vision2015
Vision2015 28.07.2022 um 08:34:28 Uhr
Goto Top
Zitat von @Trommel:

Zitat von @Vision2015:

Moin...

du hast ein Alfahosting-server.de zertifikat?!?!
für einen Exchange?
Frank

Frank, hast Du Dir den Fred überhaupt durchgelesen?? Oder nur Bildchen geschaut??
nur Bildchen geschaut face-smile
Das war, wie beschrieben, extra so gemacht, um den Fehler zu provozieren, als Antwort zu Kollege @ukulele-7, analog zur anderen Domain (die kein Zertifikatsfehler wirft) aber auch kein Autodiscover oder ähnliches eingerichtet hat.

Selbst mit einer Domain, die Autodiscover auf den Exchange zeigt (aber nicht im Zertifikat steht) kommt der Zertifikatsfehler. Es wird also schon die E-Mail geprüft und nicht nur der Verbindungsserver.

Naja, ich vermute mal, dass da irgendein Registrygebastel von den Vorgängern dahinter steckt. DNS SRV Einträge sinds ja wie gesagt auch nicht.
ich lese gleich noch mal alles ordentlich, und dann gebe ich meine bescheidene meinung dazu ab!
PS. hast du mal alle alten Zertifikate gelöscht, und die Bindung im IIS überprüft?

Trommel

Frank
ukulele-7
ukulele-7 28.07.2022 aktualisiert um 09:24:58 Uhr
Goto Top
Ich bin nicht sicher ob ich das richtig verstehe aber ich glaube es liegt ein allgemeines Missverständnis vor.

Der PC auf dem Outlook läuft ist Mitglied einer Domäne. Startest du Outlook ohne irgendeine Konfiguration sucht es sich den Autodiscover Eintrag für autodiscover.pcdomain.tld und trifft dann idealerweise auf den Mailserver Eintrag servername.serverdomain.tld wobei die Domain meist die selbe ist. Er bekommt dann die Serverkonfiguration per Autodiscover. Er prüft dann das Zertifikat vom IIS das natürlich servername.serverdomain.tld und autodiscover.pcdomain.tld enthalten sollte.

Der angemeldete Windows-Benutzer ist der Domäne und dem Exchange bekannt. Hat er im Exchange ein Konto wird das sofort konfiguriert. Die E-Mail Domain spielt aber nach meinem Verständnis bis hier hin keine Rolle. Oder ich hab das Problem nie gehabt weil ich per Default auch die Adresse username@pcdomain.tld vergebe allerdings ist das auch nicht die primäre Adresse des Windows-Benutzers. Der E-Mail Server weißt sich also mit seinem Zertifikat gegenüber dem Client als der Server mit dem Namen servername.serverdomain.tld aus, nicht als der E-Mail Server der Domain domainalt.tld oder domainneu.tld.

Ich hatte vor nicht allzu langer Zeit große Probleme bei denen MS dann hier eingegriffen hat. Weder das Problem noch die "Lösung" war leicht nach zu vollziehen (bis heute kann ich das nicht genau sagen). Ich hatte mit meinem Outlook danach selbst mehr Probleme als der Rest hier: Trotz Split DNS wurde bei jedem Klick auf den Kalender der Webserver unseres Hompagehosters kontaktiert und da kam dann auch ne Zertifikatswarnung in Outlook, obwohl der Kalender ging und der Exchange nicht im Internet steht. Also Outlook tut schon komische Dinge, ich musste das ganze Windows Profil neu machen. Ich würde aus dieser Sache ableiten das du zum testen vielleicht einen sauberen Testbenutzer mit eigenem frischen Windows Profil nehmen solltest und keine bestehende Konfiguration ändern.

PS: Frank möge mich bitte korrigieren wenn ich mir irgendwo Blödsinn zusammen reibe, ich habe auch nur einen Exchange.
Trommel
Trommel 28.07.2022 aktualisiert um 10:50:42 Uhr
Goto Top
Zitat von @Vision2015:
PS. hast du mal alle alten Zertifikate gelöscht, und die Bindung im IIS überprüft?

Also im IIS ist das richtige Zertifikat zugewiesen (also das neue). Alte habe ich im Admin Center nicht gelöscht, habe aber keine Bindings oder so. Es gibt kein Zertifikat, was die entsprechende Domain enthält.

Soweit ich weiß kann auch nur ein Zertifikat zugewiesen werden und nicht viele einzelne.
Ich hatte da bei meiner Recherche einen Post von @Dani gesehen, der ja auch gesagt hat, dass man nicht das SAN-Zertifikat bei jeder neuen Domain aktualisieren kann, weswegen er den SRV Record empfohlen hat (den es in dieser Umgebung eben nicht gibt...)

Zitat von @ukulele-7:
Der PC auf dem Outlook läuft ist Mitglied einer Domäne. Startest du Outlook ohne irgendeine Konfiguration sucht es sich den Autodiscover Eintrag für autodiscover.pcdomain.tld und trifft dann idealerweise auf den Mailserver Eintrag servername.serverdomain.tld wobei die Domain meist die selbe ist. Er bekommt dann die Serverkonfiguration per Autodiscover. Er prüft dann das Zertifikat vom IIS das natürlich servername.serverdomain.tld und autodiscover.pcdomain.tld enthalten sollte.

Bist Du Dir sicher, dass er sich autodiscover.pcdomain.tld sucht. Bei mir gibts die jedenfalls nicht. Die interne Domäne ist aber auch keine externe (kein local.. aber so ähnlich face-wink ) Irgendwie bekommt er vom AD die Info mit Verweis auf den Exchange. Dort sind ja die Mailserver intern/extern konfiguriert, also xxx.serverdomain.tld. Kann ja auch vom eigentlichen Servernamen abweichen (zb.: verbindung.kunde.de). Dafür gibts auch ein Zertifikat. Das selbe Zertifkat beinhaltet autodiscover.kunde.de und alle autodiscover.restlichedomains.de. Das im IIS von mir zugewiesene Zertifikat beinhaltet also auch nicht die eigentliche interne Domäne (also laut Deinem Beispiel autodiscover.pcdomain.tld), für interne Domains kannste Dir ja kein Zertifikat ausstellen lassen. Das könntest Du ja höchstens selber ausstellen.

Zitat von @ukulele-7:
Der angemeldete Windows-Benutzer ist der Domäne und dem Exchange bekannt. Hat er im Exchange ein Konto wird das sofort konfiguriert. Die E-Mail Domain spielt aber nach meinem Verständnis bis hier hin keine Rolle. Oder ich hab das Problem nie gehabt weil ich per Default auch die Adresse username@pcdomain.tld vergebe allerdings ist das auch nicht die primäre Adresse des Windows-Benutzers. Der E-Mail Server weißt sich also mit seinem Zertifikat gegenüber dem Client als der Server mit dem Namen servername.serverdomain.tld aus, nicht als der E-Mail Server der Domain domainalt.tld oder domainneu.tld.

Naja aber meine Tests beweisen ja genau das Gegenteil.

Zitat von @ukulele-7:
Ich hatte vor nicht allzu langer Zeit große Probleme bei denen MS dann hier eingegriffen hat. Weder das Problem noch die "Lösung" war leicht nach zu vollziehen (bis heute kann ich das nicht genau sagen). Ich hatte mit meinem Outlook danach selbst mehr Probleme als der Rest hier: Trotz Split DNS wurde bei jedem Klick auf den Kalender der Webserver unseres Hompagehosters kontaktiert und da kam dann auch ne Zertifikatswarnung in Outlook, obwohl der Kalender ging und der Exchange nicht im Internet steht.

Also ich kenne das von kleineren Umgebungen, wo der Exchange auch nicht am Netz steht, dass da immer der Zertikatsfehler mit dem Provider kommt. Afaik soll der Exchange laut MS eben von außen erreichbar sein, also Autodiscover und so sauber von außen auflösen. Dort wurden die Meldungen iirc immer per Registry (ShowCertErrors) ausgeblendet.

Zitat von @ukulele-7:
Also Outlook tut schon komische Dinge, ich musste das ganze Windows Profil neu machen. Ich würde aus dieser Sache ableiten das du zum testen vielleicht einen sauberen Testbenutzer mit eigenem frischen Windows Profil nehmen solltest und keine bestehende Konfiguration ändern.

Habe es auf unterschiedlichen Geräten probiert, eins davon war brandneu und ganz frisch.

Zitat von @ukulele-7:
PS: Frank möge mich bitte korrigieren wenn ich mir irgendwo Blödsinn zusammen reibe, ich habe auch nur einen Exchange.

Mache jetzt auch nicht Exchange 24/7 deswegen frage ich ja, um zu verstehen, wie das Outlook sich verhält oder ggf. meine Fehler reingedrückt zu bekommen face-wink Wer nicht fragt...

Trommel
ukulele-7
ukulele-7 28.07.2022 aktualisiert um 11:35:42 Uhr
Goto Top
Stimmt ganz richtig war das nicht, ich habe einen autodiscover DNS Eintrag für pcdomain.tld aber natürlich auch für emaildomain.tld sowie externdomain.tld. Der E-Mail Server läuft extern (bzw. lief, jetzt nur noch VPN) wie intern über mail.externdomain.tld und das Zertifikat hat zusätzlich noch autodiscover.externdomain.tld . Dann wird Outlook vermutlich nicht nach autodiscover.pcdomain.tld beim Start suchen, möglich das das vom AD kommt.