leon123
Goto Top

Exchange Download Domain auf Autodiscover setzen?

Hi zusammen,

es geht um eine Exchange 2016 Installation wo ich das Thema mit der Download Domain mit owa noch nicht erledigt ist.

Da die Installation in sehr naher Zukunft ins O365 wandert habe ich jetzt nicht so die Lust darauf ein neues Zertifikat anzufordern.

Ich habe im Netz gelesen, dass wohl der eine oder andere Admin das einfach auf die Autodiscover Domain gesetzt hat.

Gibt es hier Nachteile oder Themen die mir damit auf die Füße fallen könnten?

Vielen Dank!
Grüße
Leon

Content-ID: 5485928941

Url: https://administrator.de/forum/exchange-download-domain-auf-autodiscover-setzen-5485928941.html

Ausgedruckt am: 26.12.2024 um 13:12 Uhr

Vision2015
Vision2015 19.01.2023 um 19:03:57 Uhr
Goto Top
Moin...
Zitat von @leon123:

Hi zusammen,

es geht um eine Exchange 2016 Installation wo ich das Thema mit der Download Domain mit owa noch nicht erledigt ist.
ich verstehe nicht so richtig... bitte was ist eine Download Domain, und was hat OWA da zu tun?!?!
also was willste genau?

Da die Installation in sehr naher Zukunft ins O365 wandert habe ich jetzt nicht so die Lust darauf ein neues Zertifikat anzufordern.
nun, wenn es extern sein soll, wirst du das aber müssen...

Ich habe im Netz gelesen, dass wohl der eine oder andere Admin das einfach auf die Autodiscover Domain gesetzt hat.
äh was hat du wo gelesen?
du meinst eher Let’s Encrypt... macht aber auch arbeit das zu installieren

Gibt es hier Nachteile oder Themen die mir damit auf die Füße fallen könnten?
nein.
du bekommst für keine 40 euro nen ordentliches zertifikat für deinen exchange.

Vielen Dank!
Grüße
Leon
Frank
leon123
leon123 19.01.2023 um 19:07:29 Uhr
Goto Top
Hallo Frank,

ich rede von dieser Lücke:
https://aka.ms/HC-DownloadDomains

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1730


Aktuell fällt mir auf anhieb der Norbert ein. Habs aber schon öfters gelesen:
https://www.frankysweb.de/community/postid/3699/
NordicMike
NordicMike 19.01.2023 um 20:52:47 Uhr
Goto Top
So ein kostenloses Letsencrypt Zertifikat ist doch in wenigen Minuten eingerichtet und funktioniert auch mit Exchange.
leon123
leon123 19.01.2023 aktualisiert um 21:34:52 Uhr
Goto Top
Aufs Geld kommts mir da jetzt nicht an. ich kauf auch ein Wildcard das spielt jetzt erstmal keine Rolle.

ABER: Ich möchte da jetzt eigentlich nicht mehr so viel rumspielen, denn es gibt noch einen Reverse Proxy auf Linux Basis wo sich (NOCH) keiner so wirklich auskennt und auch mit der Firewall muss ich mich erst noch auseinandersetzen weil ich auf eine ganz andere geschult bin. Beide brauchen auch das Zertifikat.

Daher wäre mir jetzt lieber das auf Autodiscover zu setzen damit die Lücke mal erledigt ist bis in 4 Wochen die Migration zu O365 erledigt ist.

Daher hat jemand eine Idee ob man das mit dem Autodiscover machen kann oder eher schlecht?


Übrigens der Franky macht das hier auch: https://www.frankysweb.de/exchange-health-checker-empfehlungen-per-scrip ...
Dani
Dani 19.01.2023 um 21:43:50 Uhr
Goto Top
Moin,
Daher wäre mir jetzt lieber das auf Autodiscover zu setzen damit die Lücke mal erledigt ist bis in 4 Wochen die Migration zu O365 erledigt ist.
die Lücke wird glaub bald zwei Jahre alt.... und du eierst nun rum wegen vier Wochen?!

ABER: Ich möchte da jetzt eigentlich nicht mehr so viel rumspielen, denn es gibt noch einen Reverse Proxy auf Linux Basis wo sich (NOCH) keiner so wirklich auskennt und auch mit der Firewall muss ich mich erst noch auseinandersetzen weil ich auf eine ganz andere geschult bin. Beide brauchen auch das Zertifikat.
Wenn sicher keiner auf dem Reverse Proxy auskennt und die Firewall ein graues Loch ist, woher weißt du dann dass das Zertifikat dort benötigt wird?! Unabhängig davon könnte es auch noch Content Rules geben, die steuern welche Files/Folders sowie Parameter erlaubt sind. Da könnt der Verweis auf die Subdomain autodiscover ein Schuss in Ofen werden.

Daher hat jemand eine Idee ob man das mit dem Autodiscover machen kann oder eher schlecht?
Nein habe ich nicht. Wir haben dafür eine dedizierte Adresse genommen.

In dem Fall schlage ich vor, du fragst ihn und nicht uns.


Gruß,
Dani
leon123
leon123 19.01.2023 um 22:18:45 Uhr
Goto Top
Hmm... naja ist ja nicht so, dass ich auf der Brennsuppe dahergeschwommen bin und schon ungefähr verstehe was auf der Firewall passiert, allerdings werde ich hier nichts ändern bis ich mich eingearbeitet habe, denn Status Quo "sollte" ja okay sein.

Ja davor ging mich das Ding nichts an, jetzt schon...

Wenn das mit dem Autodiscover einfach und schnell erledigt wäre, warum nicht machen... dann ist ja alles super ;)
CH3COOH
CH3COOH 20.01.2023 um 09:07:03 Uhr
Goto Top
Guten Morgen

Zitat von @leon123:

Wenn das mit dem Autodiscover einfach und schnell erledigt wäre, warum nicht machen... dann ist ja alles super ;)
Ich habe das damals bei ersten Kunden einfach auf die Adresse vom OWA selbst gelegt. Gab kein Ärger bisher und es läuft face-wink
Gruß
ArnoNymous
ArnoNymous 16.02.2023 um 10:18:17 Uhr
Goto Top
Zitat von @CH3COOH:

Ich habe das damals bei ersten Kunden einfach auf die Adresse vom OWA selbst gelegt. Gab kein Ärger bisher und es läuft face-wink

Damit hast du aber genau nichts gekonnt, weil so die Sicherheitslücke weiterhin ausgenutzt werden kann.
ArnoNymous
ArnoNymous 16.02.2023 um 10:38:05 Uhr
Goto Top
Ich habe mehrere Exchange, bei denen das über autodiscover läuft und bisher keinerlei Probleme feststellen können.