Exchange Server und DynDNS
Guten Tag!
ich habe eine Frage bezüglich unseren Exchange Servers.
Wir haben ein Multidomain Zertifikat eingebunden mit folgenden Domains:
DOMAIN.de
mail.DOMAIN.de
autodiscover.DOMAIN.de
Und wir haben eine DynDNS Adresse:
DOMAIN.dyndns.org
Lokal hört der Server auf mail.DOMAIN.de, das funktioniert wunderbar, es erscheint auch keine Zertifikatsfehlermeldung. Das Zertifikat ist also richtig eingebunden.
Wenn wir von extern drauf zugreifen wollen, haben wir bis dato immer unsere DynDNS Adresse als Servernamen genutzt. Das hat auch gut funktioniert, wenn auch mit Zertifikatsfehlermeldungen.
Nun bekommen wir unsere Accounts auf unseren iPhones aber nicht mehr eingerichtet, da der Servername DOMAIN.dyndns.org nicht mit dem Namen im Zertifikat mail.DOMAIN.de übereinstimmt.
Wir müssen also bei der Account Einrichtung auf unseren iPhones unter "Server" mail.DOMAIN.de eintragen.
Jetzt dachte ich mir, dass ich im DNS unseres Domain-Hosters einfach alle Anfragen, die an mail.DOMAIN.de gehen, an DOMAIN.dyndns.org weiterleite. Allerdings funktioniert das nicht so, wie ich es mir dachte.
Es soll also so aussehen:
iPhone -> mail.DOMAIN.de -> DOMAIN.dyndns.org -> unsere öffentliche IP Adresse - > Port 443 - > unser Exchange Server
Die Portweiterleitung funktioniert.
Habt ihr einen Tipp für mich?
LG
kaiser-css
ich habe eine Frage bezüglich unseren Exchange Servers.
Wir haben ein Multidomain Zertifikat eingebunden mit folgenden Domains:
DOMAIN.de
mail.DOMAIN.de
autodiscover.DOMAIN.de
Und wir haben eine DynDNS Adresse:
DOMAIN.dyndns.org
Lokal hört der Server auf mail.DOMAIN.de, das funktioniert wunderbar, es erscheint auch keine Zertifikatsfehlermeldung. Das Zertifikat ist also richtig eingebunden.
Wenn wir von extern drauf zugreifen wollen, haben wir bis dato immer unsere DynDNS Adresse als Servernamen genutzt. Das hat auch gut funktioniert, wenn auch mit Zertifikatsfehlermeldungen.
Nun bekommen wir unsere Accounts auf unseren iPhones aber nicht mehr eingerichtet, da der Servername DOMAIN.dyndns.org nicht mit dem Namen im Zertifikat mail.DOMAIN.de übereinstimmt.
Wir müssen also bei der Account Einrichtung auf unseren iPhones unter "Server" mail.DOMAIN.de eintragen.
Jetzt dachte ich mir, dass ich im DNS unseres Domain-Hosters einfach alle Anfragen, die an mail.DOMAIN.de gehen, an DOMAIN.dyndns.org weiterleite. Allerdings funktioniert das nicht so, wie ich es mir dachte.
Es soll also so aussehen:
iPhone -> mail.DOMAIN.de -> DOMAIN.dyndns.org -> unsere öffentliche IP Adresse - > Port 443 - > unser Exchange Server
Die Portweiterleitung funktioniert.
Habt ihr einen Tipp für mich?
LG
kaiser-css
Please also mark the comments that contributed to the solution of the article
Content-ID: 454933
Url: https://administrator.de/contentid/454933
Printed on: October 4, 2024 at 02:10 o'clock
5 Comments
Latest comment
Hallo,
Richtig:
Feste IP-Adresse für Internet verwenden.
Ggf. den Vertrag oder Anbieter wechseln.
DNS-Einstellung für mail.domain.de auf diese IP ändern und fertig.
Fummel:
Man kann z.B. durch ein ausgehendes VPN mit Mini-Server im Rechenzentrum mit fester IP eine feste IP simulieren.
Quasi eine Port-Weiterleitung auf DynDNS.
Stefan
Richtig:
Feste IP-Adresse für Internet verwenden.
Ggf. den Vertrag oder Anbieter wechseln.
DNS-Einstellung für mail.domain.de auf diese IP ändern und fertig.
Fummel:
Man kann z.B. durch ein ausgehendes VPN mit Mini-Server im Rechenzentrum mit fester IP eine feste IP simulieren.
Quasi eine Port-Weiterleitung auf DynDNS.
Stefan
Hallo kaiser-css,
ich kann hier StefanKittel nur zustimmen, du wirst mit dieser Konfiguration langfristig keine Freude haben.
Da die Zertifikate (PKI) letztlich nicht nur zur Verschlüsselung sondern auch zur Authentifizierung des Servers genutzt werden, bringt dir hier eine "Weiterleitung" (wie auch immer die technisch aussehen würde, gibt ja mehrere Möglichkeiten) nicht viel.
Clients lehnen Zertifikate generell ab, wenn der CN im Zertifikate nicht mit der Serveradresse übereinstimmt. Das ist aktuell der Fall bei Dir.
Hinzu kommt, dass es nicht ratsam ist einen Mailserver mit dynamischen IP-Adressen zu betreiben, da empfangende Mailserver oft einen Reverse-DNS-Lookup machen und dann den passenden DNS-Eintrag für die dynamische, nur temporäre zugewiesene IP-Adresse nicht finden.
Einen Server mit "simulierter fester IP" über VPN o.ä. zu betreiben würde ich generell nicht empfehlen, das ist wirklich nur gefummel, wie StefanKittel schon beschrieben hat.
Eine feste IP v4 kostet heute wirklich nicht mehr die Welt und kann selbst auf einer FritzBox recht einfach eingerichtet werden (wobei ich generell nicht empfehlen würde einen Mailserver direkt hinter die Fritzbox zu klemmen, eigentlich sollte da mindestens ne Firewall dazwischen am besten jedoch ne komplette UTM)
ich kann hier StefanKittel nur zustimmen, du wirst mit dieser Konfiguration langfristig keine Freude haben.
Da die Zertifikate (PKI) letztlich nicht nur zur Verschlüsselung sondern auch zur Authentifizierung des Servers genutzt werden, bringt dir hier eine "Weiterleitung" (wie auch immer die technisch aussehen würde, gibt ja mehrere Möglichkeiten) nicht viel.
Clients lehnen Zertifikate generell ab, wenn der CN im Zertifikate nicht mit der Serveradresse übereinstimmt. Das ist aktuell der Fall bei Dir.
Hinzu kommt, dass es nicht ratsam ist einen Mailserver mit dynamischen IP-Adressen zu betreiben, da empfangende Mailserver oft einen Reverse-DNS-Lookup machen und dann den passenden DNS-Eintrag für die dynamische, nur temporäre zugewiesene IP-Adresse nicht finden.
Einen Server mit "simulierter fester IP" über VPN o.ä. zu betreiben würde ich generell nicht empfehlen, das ist wirklich nur gefummel, wie StefanKittel schon beschrieben hat.
Eine feste IP v4 kostet heute wirklich nicht mehr die Welt und kann selbst auf einer FritzBox recht einfach eingerichtet werden (wobei ich generell nicht empfehlen würde einen Mailserver direkt hinter die Fritzbox zu klemmen, eigentlich sollte da mindestens ne Firewall dazwischen am besten jedoch ne komplette UTM)