Exchange Autodiscover 2 Standorte eine Domain

Hallo Zusammen,

Frage an die Exchange Spezialisten 😉

Gegeben
2 x Standorte mit je 1 x Exchange Server, keine Dag
1 x Domain.yx
Mailadresse lautet Vorname.nachname.domain.yxz
Strato als Domain Standort, möglichkeiten Host A oder cname, eintrag gegeben.

Frage wie kann man am besten dieses mit autodiscover für die Domain.yxz einrichten, das über letsencrypt die entsprechenden Zertifikate für autodiscover + mail.domain.yxz erstellt werden können je Standort

besten Dank vorab schon mal für tipps und Hilfestellungen.

Mfg Quercus

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 2272604893

Url: https://administrator.de/contentid/2272604893

Ausgedruckt am: 25.11.2024 um 02:11 Uhr

12 Kommentare

Neuester Kommentar

Es sind zwei Varianten möglich:

1) jeweils ein Zertifikat für beide Server z.B.

Server A)
mail.domain.xyz
autodiscover.domain.xy
server1.domain.xy

Server B)
mail.domain.xyz
autodiscover.domain.xyz
server2.domain.xy

Oder auch

2) Ein Zerfikat für beide Server, die alle 4 Namen haben:
mail.domain.xyz
autodiscover.domain.xyz
server1.domain.xy
server2.domain.xy

Hallo NordicMike,

Mein Zertifikat wird über Lets Encrypt erstellt alle 90 Tage automatisch am jeweiligen Server.
Somit ist Lösung 2 nicht möglich, da Letsencypt dann meckert wenn 2 mal autodiscover.domain.yxz vergeben wird.

somit auch lösung 1 nicht umsetzbar

Moin,
aus meiner Sicht bleiben nur die Möglichkeit, das Ganze über DNS Challenge zu realisieren. Somit spielt es keine Rolle auf welchen Server die DNS-Einträge autodiscover und mail der jeweiligen DNS Zone zeigen. Die gängigen Tools und Bibliotheken unterstützen bisher Strato nicht. Entweder bisher keiner genutzt oder es gibt keine verfünftige API.

a) Falls es eine API gibt, mit Hilfe von z.B. Posh-ACMP ein Modul entwickeln.
b) Domain zu einem der unterstützten Anbietern umzuziehen.

Gruß,
Dani

Lösung 2 wäre umsetzbar, da ein Server das Zertifikat abholt und es dem zweiten Server rüber kopiert wird.

Falls eine WAF davor hängt, kann auch diese das Zertifikat für mail. und autodiscover. halten.

Über DNS Challenge machen wir es, für ca 50 Serer, ohne, dass diese von aussen erreichbar sind.

Hi NordiMike
Zu Lösung 2 wie könnte das automatisiert laufen mit Zertifikat kopieren auf 2ten Exchange.
Zu DNS Challenge auch bei Strato möglich?
Über Links oder dergleichen, Hilfestellungen wäre ich dankbar.
Da mit DNS Challenge keine Erfahrungen bisher gesammelt habe.
Mfg

wie könnte das automatisiert laufen mit Zertifikat kopieren auf 2ten Exchange.

Mit Export und Import über Powershell:
https://www.alitajran.com/install-exchange-certificate-with-powershell/

Zu DNS Challenge auch bei Strato möglich?

Das weiss ich leider nicht, aber 1und1 (ionos) kann es. Wenn es Strato nicht kann, wechsele :c)

Da mit DNS Challenge keine Erfahrungen bisher gesammelt habe

Wir haben ein Linux Script dafür geschrieben, aber da kannst du bestimmt was googeln, da gibt es sicherlich, ohne nachzusehen, 1000de von Anleitungen.

Grüße

Hi NordicMike,

Danke mal für deine Tipps, aber so wirklich weiter bringen mich diese nicht.
import link geht auch nur manuell da jedesmal tumbprint sich ändert.
export geht ebenso nicht da vorab das Passwort importiert werden muss für die pfx Zertifkat.

DNS Challange sollte wenn dann unter Windows laufen in verbindung mit Strato cname oder TXT wobei hier dann jedesmal der Key geändert werden muss so wie ich das lese...

TXT der Präfix "_acme-challenge" sein bei Strato

Howto

Zu Lösung 2 wie könnte das automatisiert laufen mit Zertifikat kopieren auf 2ten Exchange, wenn es an einem Server über win-acme bei letsencrypt erstellt wird.

ich verzeweifel grad nachdem ich gestern und heute freizeit mit lesen verbringe um das Problem zu lösen

Ich denke du benötigt erst einmal allgemeine Hilfe in Powershell. Ändernde Thumbprints und Passwörter sind da das kleinste Problem. Der Weg ist noch weit :c)

ich bin immer lernwillig

solang man dementsprechend auch links oder hilfestellungen bekommt.

was leider bei dem Thema nicht war sondern hinweise die zu noch mehr suchen ausarteten. womit ich nun 10 std meiner Freizeit verbraten hab.
was nicht das Ziel war...
schönes wochenende trotzdem und danke für die tips's

solang man dementsprechend auch links oder hilfestellungen bekommt.

Kein Problem. Der Haupteinstiegslink ist immer https://google.de
Das soll jetzt keine Ironie sein, sondern das ist auch der Link, den ich immer verwende.

Du wirst ihn, um so ein Script fertig zu stellen, ein paar hundert mal benutzen. Später, wenn Routine drinnen ist, vielleicht nur noch 20 mal. Als es noch kein Internet gab hat man für die Programmierung dicke Referenzhandbücher verwendet, das ist jetzt mit Google einfacher geworden. Es gibt natürlich auch für jeden Befehl eine offizielle Referenzquelle. Aber am Anfang tut man sich etwas leichter, wenn man Lösungen findet, die jemand schon mal veröffentlicht hat.

Hier mal ein Schnippsel aus meinen Scripts, da sieht man auch wie man Thumbprints ausließt:

Add-PSSnapin "Microsoft.Exchange.Management.PowerShell.SnapIn"  
$error.clear()
#get old cert
$Cert_Current = Get-ExchangeCertificate | Where-Object {$_.Subject -like "CN=server1.contoso.de"}  
echo "Done reading"  
#Enable new cert for SMTP,IIS (Replaces current SMTP Cert)
Import-ExchangeCertificate -FileName "c:\cert\server1.contoso.de.pfx" -Confirm:$false | Enable-ExchangeCertificate -Services "IIS,POP,IMAP,SMTP" -force  
echo "Done importing"  
if ( $Error )
	{
	echo $error
	echo "Import or Enable of the new Certificate Failed"  
	} else {
   	 echo $error
	 Remove-ExchangeCertificate $Cert_Current.Thumbprint -Confirm:$true
	 remove-item -path c:\cert\server1.contoso.de.pfx -force
	}

Moin,

was leider bei dem Thema nicht war sondern hinweise die zu noch mehr suchen ausarteten. womit ich nun 10 std meiner Freizeit verbraten hab. was nicht das Ziel war...

meinst du wirklich, dass ist in 1-2 Stunden erledigt? Weit gefehlt, je nachdem wie fit du mit PowerShell und Zertifikate bist, sind 10 Stunden nur ein Tropfen. Evtl. ist es weiterhin günstiger ein SAN Zertifkat jährlich zu kaufen und einzuspielen.

Falls dein Interesse weiterhin ungebrochen ist, beschreibe ich grob den Ablauf an Hand unseres Frameworks:

Grundsätzlich solltest du ein Push Architektur verfolgen. Sprich der Server, welcher das SSL-Zertifikat abruft, kopiert die Dateien nicht auf das eigentlichen Zielsystem. Das Zielsystem holt sich die Dateien selbst.
Abruf des Zertifikats bei LE via DNS Challenge.
Du nutzt für den Abruf einen dedizierten, abgesicherten Windows (Server) und somit kannst du auf Bibliotheken ala Posh-ACMP zurückgreifen. Welche Domain Anbieter aktuell supportet werden siehst du hier. Entweder deine Domain umziehen oder noch "kurz" ein Plugin für Strato schreiben. Voraussetzung dafür ist, dass Strato eine API hat.
Der dedizierte Server sollte ausschließlich das SSL-Zertifikat alle x Tage abrufen, im notwendigen Format (z.B. PFX) speichern und mit einem Passwort speichern.
Das Passwort speicherst du natürlich nicht im Klartext, sondern mit Hilfe von PSCredentials. Am besten lässt du das Powershell Skript im Kontext eines, extra dafür eingerichteten Benutzers, laufen. Somit kann das PS Credentials nicht ohne weiteres einfach von anderen Benutzern ausgelesen werden. Des weiteren stellt das Passwort für die PFX Datei auch ein Manipulationsschutz für das Zertifikat dar.
Der Exchange Server holt sich das Zertifikat auf dem dedizierten Server ggf. ab, führt verschiedene Prüfungen (PFX Passwort korrekt, Prüfsumme, Subject etc.) durch und spielt diese ein.

Auf dem Weg erneuern wir auf jedes Quartal mehrere 100erte Zertifikate.

Gruß,
Dani

Besten Dank Dani,

ich werd mir das in einer ruhigen Minute durch den Kopf gehen lassen

denn das ein aufwand der nicht zur relation meiner Stunden steht, grad da Win-acme Zertifikate automatisch abrufen kann und installiert. Ausnahme man hat 2 Exchange und dann das Problem mit Autodiscover