quercus
Goto Top

Exchange Autodiscover 2 Standorte eine Domain

Hallo Zusammen,

Frage an die Exchange Spezialisten 😉

Gegeben
2 x Standorte mit je 1 x Exchange Server, keine Dag
1 x Domain.yx
Mailadresse lautet Vorname.nachname.domain.yxz
Strato als Domain Standort, möglichkeiten Host A oder cname, eintrag gegeben.

Frage wie kann man am besten dieses mit autodiscover für die Domain.yxz einrichten, das über letsencrypt die entsprechenden Zertifikate für autodiscover + mail.domain.yxz erstellt werden können je Standort

besten Dank vorab schon mal für tipps und Hilfestellungen.

Mfg Quercus

Content-ID: 2272604893

Url: https://administrator.de/forum/exchange-autodiscover-2-standorte-eine-domain-2272604893.html

Ausgedruckt am: 26.12.2024 um 16:12 Uhr

NordicMike
NordicMike 24.03.2022 um 13:29:08 Uhr
Goto Top
Es sind zwei Varianten möglich:

1) jeweils ein Zertifikat für beide Server z.B.

Server A)
mail.domain.xyz
autodiscover.domain.xy
server1.domain.xy

Server B)
mail.domain.xyz
autodiscover.domain.xyz
server2.domain.xy

Oder auch

2) Ein Zerfikat für beide Server, die alle 4 Namen haben:
mail.domain.xyz
autodiscover.domain.xyz
server1.domain.xy
server2.domain.xy
Quercus
Quercus 24.03.2022 um 14:12:54 Uhr
Goto Top
Hallo NordicMike,

Mein Zertifikat wird über Lets Encrypt erstellt alle 90 Tage automatisch am jeweiligen Server.
Somit ist Lösung 2 nicht möglich, da Letsencypt dann meckert wenn 2 mal autodiscover.domain.yxz vergeben wird.

somit auch lösung 1 nicht umsetzbar face-sad
Dani
Dani 24.03.2022 um 15:04:16 Uhr
Goto Top
Moin,
aus meiner Sicht bleiben nur die Möglichkeit, das Ganze über DNS Challenge zu realisieren. Somit spielt es keine Rolle auf welchen Server die DNS-Einträge autodiscover und mail der jeweiligen DNS Zone zeigen. Die gängigen Tools und Bibliotheken unterstützen bisher Strato nicht. Entweder bisher keiner genutzt oder es gibt keine verfünftige API.

a) Falls es eine API gibt, mit Hilfe von z.B. Posh-ACMP ein Modul entwickeln.
b) Domain zu einem der unterstützten Anbietern umzuziehen.


Gruß,
Dani
NordicMike
NordicMike 24.03.2022 um 15:23:32 Uhr
Goto Top
Lösung 2 wäre umsetzbar, da ein Server das Zertifikat abholt und es dem zweiten Server rüber kopiert wird.

Falls eine WAF davor hängt, kann auch diese das Zertifikat für mail. und autodiscover. halten.

Über DNS Challenge machen wir es, für ca 50 Serer, ohne, dass diese von aussen erreichbar sind.
Quercus
Quercus 24.03.2022 um 16:00:52 Uhr
Goto Top
Hi NordiMike
Zu Lösung 2 wie könnte das automatisiert laufen mit Zertifikat kopieren auf 2ten Exchange.
Zu DNS Challenge auch bei Strato möglich?
Über Links oder dergleichen, Hilfestellungen wäre ich dankbar.
Da mit DNS Challenge keine Erfahrungen bisher gesammelt habe.
Mfg
NordicMike
NordicMike 24.03.2022 um 16:32:12 Uhr
Goto Top
wie könnte das automatisiert laufen mit Zertifikat kopieren auf 2ten Exchange.
Mit Export und Import über Powershell:
https://www.alitajran.com/install-exchange-certificate-with-powershell/

Zu DNS Challenge auch bei Strato möglich?
Das weiss ich leider nicht, aber 1und1 (ionos) kann es. Wenn es Strato nicht kann, wechsele :c)

Da mit DNS Challenge keine Erfahrungen bisher gesammelt habe
Wir haben ein Linux Script dafür geschrieben, aber da kannst du bestimmt was googeln, da gibt es sicherlich, ohne nachzusehen, 1000de von Anleitungen.

Grüße
Quercus
Quercus 25.03.2022 um 09:29:15 Uhr
Goto Top
Hi NordicMike,

Danke mal für deine Tipps, aber so wirklich weiter bringen mich diese nicht.
import link geht auch nur manuell da jedesmal tumbprint sich ändert.
export geht ebenso nicht da vorab das Passwort importiert werden muss für die pfx Zertifkat.

DNS Challange sollte wenn dann unter Windows laufen in verbindung mit Strato cname oder TXT wobei hier dann jedesmal der Key geändert werden muss so wie ich das lese...

TXT der Präfix "_acme-challenge" sein bei Strato

Howto

Zu Lösung 2 wie könnte das automatisiert laufen mit Zertifikat kopieren auf 2ten Exchange, wenn es an einem Server über win-acme bei letsencrypt erstellt wird.

ich verzeweifel grad nachdem ich gestern und heute freizeit mit lesen verbringe um das Problem zu lösen face-sad
NordicMike
NordicMike 25.03.2022 um 11:49:12 Uhr
Goto Top
Ich denke du benötigt erst einmal allgemeine Hilfe in Powershell. Ändernde Thumbprints und Passwörter sind da das kleinste Problem. Der Weg ist noch weit :c)
Quercus
Quercus 25.03.2022 um 12:08:21 Uhr
Goto Top
ich bin immer lernwillig face-wink

solang man dementsprechend auch links oder hilfestellungen bekommt.

was leider bei dem Thema nicht war sondern hinweise die zu noch mehr suchen ausarteten. womit ich nun 10 std meiner Freizeit verbraten hab.
was nicht das Ziel war...
schönes wochenende trotzdem und danke für die tips's
NordicMike
NordicMike 25.03.2022 aktualisiert um 12:27:59 Uhr
Goto Top
solang man dementsprechend auch links oder hilfestellungen bekommt.
Kein Problem. Der Haupteinstiegslink ist immer https://google.de
Das soll jetzt keine Ironie sein, sondern das ist auch der Link, den ich immer verwende.

Du wirst ihn, um so ein Script fertig zu stellen, ein paar hundert mal benutzen. Später, wenn Routine drinnen ist, vielleicht nur noch 20 mal. Als es noch kein Internet gab hat man für die Programmierung dicke Referenzhandbücher verwendet, das ist jetzt mit Google einfacher geworden. Es gibt natürlich auch für jeden Befehl eine offizielle Referenzquelle. Aber am Anfang tut man sich etwas leichter, wenn man Lösungen findet, die jemand schon mal veröffentlicht hat.

Hier mal ein Schnippsel aus meinen Scripts, da sieht man auch wie man Thumbprints ausließt:

Add-PSSnapin "Microsoft.Exchange.Management.PowerShell.SnapIn"  
$error.clear()
#get old cert
$Cert_Current = Get-ExchangeCertificate | Where-Object {$_.Subject -like "CN=server1.contoso.de"}  
echo "Done reading"  
#Enable new cert for SMTP,IIS (Replaces current SMTP Cert)
Import-ExchangeCertificate -FileName "c:\cert\server1.contoso.de.pfx" -Confirm:$false | Enable-ExchangeCertificate -Services "IIS,POP,IMAP,SMTP" -force  
echo "Done importing"  
if ( $Error )
	{
	echo $error
	echo "Import or Enable of the new Certificate Failed"  
	} else {
   	 echo $error
	 Remove-ExchangeCertificate $Cert_Current.Thumbprint -Confirm:$true
	 remove-item -path c:\cert\server1.contoso.de.pfx -force
	}
Dani
Dani 26.03.2022 um 14:58:59 Uhr
Goto Top
Moin,
was leider bei dem Thema nicht war sondern hinweise die zu noch mehr suchen ausarteten. womit ich nun 10 std meiner Freizeit verbraten hab. was nicht das Ziel war...
meinst du wirklich, dass ist in 1-2 Stunden erledigt? Weit gefehlt, je nachdem wie fit du mit PowerShell und Zertifikate bist, sind 10 Stunden nur ein Tropfen. Evtl. ist es weiterhin günstiger ein SAN Zertifkat jährlich zu kaufen und einzuspielen.

Falls dein Interesse weiterhin ungebrochen ist, beschreibe ich grob den Ablauf an Hand unseres Frameworks:
  • Grundsätzlich solltest du ein Push Architektur verfolgen. Sprich der Server, welcher das SSL-Zertifikat abruft, kopiert die Dateien nicht auf das eigentlichen Zielsystem. Das Zielsystem holt sich die Dateien selbst.
  • Abruf des Zertifikats bei LE via DNS Challenge.
  • Du nutzt für den Abruf einen dedizierten, abgesicherten Windows (Server) und somit kannst du auf Bibliotheken ala Posh-ACMP zurückgreifen. Welche Domain Anbieter aktuell supportet werden siehst du hier. Entweder deine Domain umziehen oder noch "kurz" ein Plugin für Strato schreiben. Voraussetzung dafür ist, dass Strato eine API hat.
  • Der dedizierte Server sollte ausschließlich das SSL-Zertifikat alle x Tage abrufen, im notwendigen Format (z.B. PFX) speichern und mit einem Passwort speichern.
  • Das Passwort speicherst du natürlich nicht im Klartext, sondern mit Hilfe von PSCredentials. Am besten lässt du das Powershell Skript im Kontext eines, extra dafür eingerichteten Benutzers, laufen. Somit kann das PS Credentials nicht ohne weiteres einfach von anderen Benutzern ausgelesen werden. Des weiteren stellt das Passwort für die PFX Datei auch ein Manipulationsschutz für das Zertifikat dar.
  • Der Exchange Server holt sich das Zertifikat auf dem dedizierten Server ggf. ab, führt verschiedene Prüfungen (PFX Passwort korrekt, Prüfsumme, Subject etc.) durch und spielt diese ein.

Auf dem Weg erneuern wir auf jedes Quartal mehrere 100erte Zertifikate.


Gruß,
Dani
Quercus
Lösung Quercus 28.03.2022 um 08:08:20 Uhr
Goto Top
Besten Dank Dani,

ich werd mir das in einer ruhigen Minute durch den Kopf gehen lassen face-sad
denn das ein aufwand der nicht zur relation meiner Stunden steht, grad da Win-acme Zertifikate automatisch abrufen kann und installiert. Ausnahme man hat 2 Exchange und dann das Problem mit Autodiscover face-big-smile

was mir dann sagt ein Exchange könnte auch reichen muss da nur meinen Cheffe überzeugen face-big-smile

Gruß Quercus