Exchange Autodiscover 2 Standorte eine Domain
Hallo Zusammen,
Frage an die Exchange Spezialisten 😉
Gegeben
2 x Standorte mit je 1 x Exchange Server, keine Dag
1 x Domain.yx
Mailadresse lautet Vorname.nachname.domain.yxz
Strato als Domain Standort, möglichkeiten Host A oder cname, eintrag gegeben.
Frage wie kann man am besten dieses mit autodiscover für die Domain.yxz einrichten, das über letsencrypt die entsprechenden Zertifikate für autodiscover + mail.domain.yxz erstellt werden können je Standort
besten Dank vorab schon mal für tipps und Hilfestellungen.
Mfg Quercus
Frage an die Exchange Spezialisten 😉
Gegeben
2 x Standorte mit je 1 x Exchange Server, keine Dag
1 x Domain.yx
Mailadresse lautet Vorname.nachname.domain.yxz
Strato als Domain Standort, möglichkeiten Host A oder cname, eintrag gegeben.
Frage wie kann man am besten dieses mit autodiscover für die Domain.yxz einrichten, das über letsencrypt die entsprechenden Zertifikate für autodiscover + mail.domain.yxz erstellt werden können je Standort
besten Dank vorab schon mal für tipps und Hilfestellungen.
Mfg Quercus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2272604893
Url: https://administrator.de/forum/exchange-autodiscover-2-standorte-eine-domain-2272604893.html
Ausgedruckt am: 26.12.2024 um 16:12 Uhr
12 Kommentare
Neuester Kommentar
Es sind zwei Varianten möglich:
1) jeweils ein Zertifikat für beide Server z.B.
Server A)
mail.domain.xyz
autodiscover.domain.xy
server1.domain.xy
Server B)
mail.domain.xyz
autodiscover.domain.xyz
server2.domain.xy
Oder auch
2) Ein Zerfikat für beide Server, die alle 4 Namen haben:
mail.domain.xyz
autodiscover.domain.xyz
server1.domain.xy
server2.domain.xy
1) jeweils ein Zertifikat für beide Server z.B.
Server A)
mail.domain.xyz
autodiscover.domain.xy
server1.domain.xy
Server B)
mail.domain.xyz
autodiscover.domain.xyz
server2.domain.xy
Oder auch
2) Ein Zerfikat für beide Server, die alle 4 Namen haben:
mail.domain.xyz
autodiscover.domain.xyz
server1.domain.xy
server2.domain.xy
Moin,
aus meiner Sicht bleiben nur die Möglichkeit, das Ganze über DNS Challenge zu realisieren. Somit spielt es keine Rolle auf welchen Server die DNS-Einträge autodiscover und mail der jeweiligen DNS Zone zeigen. Die gängigen Tools und Bibliotheken unterstützen bisher Strato nicht. Entweder bisher keiner genutzt oder es gibt keine verfünftige API.
a) Falls es eine API gibt, mit Hilfe von z.B. Posh-ACMP ein Modul entwickeln.
b) Domain zu einem der unterstützten Anbietern umzuziehen.
Gruß,
Dani
aus meiner Sicht bleiben nur die Möglichkeit, das Ganze über DNS Challenge zu realisieren. Somit spielt es keine Rolle auf welchen Server die DNS-Einträge autodiscover und mail der jeweiligen DNS Zone zeigen. Die gängigen Tools und Bibliotheken unterstützen bisher Strato nicht. Entweder bisher keiner genutzt oder es gibt keine verfünftige API.
a) Falls es eine API gibt, mit Hilfe von z.B. Posh-ACMP ein Modul entwickeln.
b) Domain zu einem der unterstützten Anbietern umzuziehen.
Gruß,
Dani
wie könnte das automatisiert laufen mit Zertifikat kopieren auf 2ten Exchange.
Mit Export und Import über Powershell:https://www.alitajran.com/install-exchange-certificate-with-powershell/
Zu DNS Challenge auch bei Strato möglich?
Das weiss ich leider nicht, aber 1und1 (ionos) kann es. Wenn es Strato nicht kann, wechsele :c)Da mit DNS Challenge keine Erfahrungen bisher gesammelt habe
Wir haben ein Linux Script dafür geschrieben, aber da kannst du bestimmt was googeln, da gibt es sicherlich, ohne nachzusehen, 1000de von Anleitungen.Grüße
solang man dementsprechend auch links oder hilfestellungen bekommt.
Kein Problem. Der Haupteinstiegslink ist immer https://google.deDas soll jetzt keine Ironie sein, sondern das ist auch der Link, den ich immer verwende.
Du wirst ihn, um so ein Script fertig zu stellen, ein paar hundert mal benutzen. Später, wenn Routine drinnen ist, vielleicht nur noch 20 mal. Als es noch kein Internet gab hat man für die Programmierung dicke Referenzhandbücher verwendet, das ist jetzt mit Google einfacher geworden. Es gibt natürlich auch für jeden Befehl eine offizielle Referenzquelle. Aber am Anfang tut man sich etwas leichter, wenn man Lösungen findet, die jemand schon mal veröffentlicht hat.
Hier mal ein Schnippsel aus meinen Scripts, da sieht man auch wie man Thumbprints ausließt:
Add-PSSnapin "Microsoft.Exchange.Management.PowerShell.SnapIn"
$error.clear()
#get old cert
$Cert_Current = Get-ExchangeCertificate | Where-Object {$_.Subject -like "CN=server1.contoso.de"}
echo "Done reading"
#Enable new cert for SMTP,IIS (Replaces current SMTP Cert)
Import-ExchangeCertificate -FileName "c:\cert\server1.contoso.de.pfx" -Confirm:$false | Enable-ExchangeCertificate -Services "IIS,POP,IMAP,SMTP" -force
echo "Done importing"
if ( $Error )
{
echo $error
echo "Import or Enable of the new Certificate Failed"
} else {
echo $error
Remove-ExchangeCertificate $Cert_Current.Thumbprint -Confirm:$true
remove-item -path c:\cert\server1.contoso.de.pfx -force
}
Moin,
Falls dein Interesse weiterhin ungebrochen ist, beschreibe ich grob den Ablauf an Hand unseres Frameworks:
Auf dem Weg erneuern wir auf jedes Quartal mehrere 100erte Zertifikate.
Gruß,
Dani
was leider bei dem Thema nicht war sondern hinweise die zu noch mehr suchen ausarteten. womit ich nun 10 std meiner Freizeit verbraten hab. was nicht das Ziel war...
meinst du wirklich, dass ist in 1-2 Stunden erledigt? Weit gefehlt, je nachdem wie fit du mit PowerShell und Zertifikate bist, sind 10 Stunden nur ein Tropfen. Evtl. ist es weiterhin günstiger ein SAN Zertifkat jährlich zu kaufen und einzuspielen.Falls dein Interesse weiterhin ungebrochen ist, beschreibe ich grob den Ablauf an Hand unseres Frameworks:
- Grundsätzlich solltest du ein Push Architektur verfolgen. Sprich der Server, welcher das SSL-Zertifikat abruft, kopiert die Dateien nicht auf das eigentlichen Zielsystem. Das Zielsystem holt sich die Dateien selbst.
- Abruf des Zertifikats bei LE via DNS Challenge.
- Du nutzt für den Abruf einen dedizierten, abgesicherten Windows (Server) und somit kannst du auf Bibliotheken ala Posh-ACMP zurückgreifen. Welche Domain Anbieter aktuell supportet werden siehst du hier. Entweder deine Domain umziehen oder noch "kurz" ein Plugin für Strato schreiben. Voraussetzung dafür ist, dass Strato eine API hat.
- Der dedizierte Server sollte ausschließlich das SSL-Zertifikat alle x Tage abrufen, im notwendigen Format (z.B. PFX) speichern und mit einem Passwort speichern.
- Das Passwort speicherst du natürlich nicht im Klartext, sondern mit Hilfe von PSCredentials. Am besten lässt du das Powershell Skript im Kontext eines, extra dafür eingerichteten Benutzers, laufen. Somit kann das PS Credentials nicht ohne weiteres einfach von anderen Benutzern ausgelesen werden. Des weiteren stellt das Passwort für die PFX Datei auch ein Manipulationsschutz für das Zertifikat dar.
- Der Exchange Server holt sich das Zertifikat auf dem dedizierten Server ggf. ab, führt verschiedene Prüfungen (PFX Passwort korrekt, Prüfsumme, Subject etc.) durch und spielt diese ein.
Auf dem Weg erneuern wir auf jedes Quartal mehrere 100erte Zertifikate.
Gruß,
Dani