masterphil
Goto Top

Windows Domäne als Subodmain

Hallo Zusammen,

wir richten eine neue Windows Domäne ein und möchten nicht wie bisher .local verwenden, sondern die interne Windows Domäne als Subodomain der Webseite verwenden (z. B. ad.firma.de). Unter anderem soll ein Exchange Server 2016 installiert werden. Generell habe ich für die Konfiguration ein paar Fragen:

-muss für die Konfiguration dieser Domäne was beachtet werden, oder geht alles den "gewohnten Gang" wie beim Einrichten einer .local Domain?

Der Exchange 2016 soll OWA über owa.firma.de verfügbar machen. Hier soll nicht wie bisher ein Zertifikat einer eigenen CA verwendet werden, sondern ein offizielles:

-kann man durch einen bestimmten DNS Eintrag die OWA Seite über owa.firma.de verfügbar machen, ohne https:// einzutippen?
-kann als Zertifikat eines für eine Webseite verwendet werden, in dem ich dann owa.firma.de angebe oder muss ein SAN Zertifikat verwendet werden? Genügt es das in den Exchange zu importieren und die Dienste daran zu binden oder ist vor Zertifikatbestellung bei z. B. GoDaddy / RapidSSL eine andere Vorgehensweise erforderlich? Cert. Request erstellen?
-welche DNS Einträge müssen für die saubere Nutzung von Autodiscover von außerhalb (z. B. Einrichtung EAS auf einem Smartphone) gesetzt werden?

Vielen Dank!

Content-ID: 299293

Url: https://administrator.de/forum/windows-domaene-als-subodmain-299293.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

emeriks
emeriks 16.03.2016 aktualisiert um 18:16:11 Uhr
Goto Top
Hi,
-kann man durch einen bestimmten DNS Eintrag die OWA Seite über owa.firma.de verfügbar machen, ohne https:// einzutippen?
Du meinst, OWA über HTTP statt HTTPS veröffentlichen? Damit Du Dir das Zertifikat sparen kannst?
-kann als Zertifikat eines für eine Webseite verwendet werden, in dem ich dann owa.firma.de angebe oder muss ein SAN Zertifikat verwendet werden?
Du brauchst ein ganz normales SSL Zertifikat incl. privatem Schlüssel. Das Zertifikat muss meines Wissens sowohl den FQDN als auch den NetBIOS-Namen als alternative Namen enthalten. Da bei Euch dann externer FQDN = interner FQDN ist also nur ein FQDN. Optional auch noch die IP-Adresse(n).

E.
agowa338
agowa338 16.03.2016 um 18:17:53 Uhr
Goto Top
-muss für die Konfiguration dieser Domäne was beachtet werden, oder geht alles den "gewohnten Gang" wie beim Einrichten einer .local Domain?
Sollen die Server von extern Erreichbar sein? Falls ja, muss dein DNS auch öffentlich verfügbar und am DNS für firma.de muss diesem die Sub-domain zugewiesen werden. Falls nein, musst du halt für z. B. den Exchange auch am Öffentlichen DNS einen A, AAAA Record manuell anlegen (Achja und MX für firma.de nicht vergessen face-wink).
Der Exchange 2016 soll OWA über owa.firma.de verfügbar machen. Hier soll nicht wie bisher ein Zertifikat einer eigenen CA verwendet werden, sondern ein offizielles:
-kann man durch einen bestimmten DNS Eintrag die OWA Seite über owa.firma.de verfügbar machen, ohne https:// einzutippen?
Einfach einen HTTP 301 bei Port 80 anfragen zurückgeben und an "https://owa.firma.de" weiterleiten.
-kann als Zertifikat eines für eine Webseite verwendet werden, in dem ich dann owa.firma.de angebe oder muss ein SAN Zertifikat verwendet werden? Genügt es das in den Exchange zu importieren und die Dienste daran zu binden oder ist vor Zertifikatbestellung bei z. B. GoDaddy / RapidSSL eine andere Vorgehensweise erforderlich? Cert. Request erstellen?
Also du wirst schon einen Cert Request erstellen müssen, außer du hast schon ein Zertifikat für owa.firma.de bzw. *.firma.de das kannst du dann natürlich verwenden.
MasterPhil
MasterPhil 16.03.2016 aktualisiert um 20:53:40 Uhr
Goto Top
Zitat von @agowa338:

Sollen die Server von extern Erreichbar sein? Falls ja, muss dein DNS auch öffentlich verfügbar und am DNS für firma.de muss diesem die Sub-domain zugewiesen werden. Falls nein, musst du halt für z. B. den Exchange auch am Öffentlichen DNS einen A, AAAA Record manuell anlegen (Achja und MX für firma.de nicht vergessen face-wink).
Nur der Exchange soll von außen erreichbar sein - ganz klassich über einen Host A auf die öffentliche IP mit Port Forwarding 80 und 443. MX wird hier nicht genutzt, die E-Mails werden von Postfächern mit POPCON abgeholt.
Einfach einen HTTP 301 bei Port 80 anfragen zurückgeben und an "https://owa.firma.de" weiterleiten.
Wenn ich die Adresse ohne https:// aufrufen, lande ich ja normalerweise auf der IIS Default WebSite (vorausgesetzt Port 80 wird weitergeleitet). Dann muss ich einen Redirect auf die https://owa.firma.de/owa einrichten? Da muss ich dann google bemühen, am IIS habe ich bisher wenn es nicht nötig war nicht viel konfiguriert.
Also du wirst schon einen Cert Request erstellen müssen, außer du hast schon ein Zertifikat für owa.firma.de bzw. *.firma.de das kannst du dann natürlich verwenden.
Wir haben noch kein öffentliches Zertifikat. Das werden wir dann bei irgendeiner Stelle kaufen. Mir ging es nur darum, wie so ein Vorgang genau abläuft, da wir bis dato keine Erfahrung haben. Wir haben bis jetzt einen eigenen Request erstellt und das Zertifikat dann über eine eigene CA auf dem DC erstellt. Zum logischen Verständnis für mich interessiert mich eben ob ein "Standard" Zertifikat ausreicht, welches nur die entsprechende öffentliche DNS Adresse enthält, oder ob Alternative Names (z. B. der interne DNS Namen) angegeben werden müssen und ob das Zertifikat dann einfach über den Assistenten importiert werden kann. Wobei das Zertifikat natürlich auch intern funktionieren soll, damit von Outlook keine Zertifikatsfehler kommen - daher denke ich dann muss tatsächlich ein SAN Zertifikat her, wo sowohl die externen als auch die internen DNS Namen eingetragen sind. Oder gibt es sogar extra Zertifikate für so Exchange Geschichten?
agowa338
agowa338 16.03.2016 aktualisiert um 23:11:41 Uhr
Goto Top
Nur der Exchange soll von außen erreichbar sein - ganz klassich über einen Host A auf die öffentliche IP mit Port Forwarding 80 und 443. MX wird hier nicht genutzt, die E-Mails werden von Postfächern mit POPCON abgeholt.
Gut, dann musst du bei der Active Directory Installation nur als Domäne "ad.firma.de" angeben (FQDN von OWA wäre z. B. "owa.ad.firma.de").
Also du wirst schon einen Cert Request erstellen müssen, außer du hast schon ein Zertifikat für owa.firma.de bzw. *.firma.de das kannst du dann natürlich verwenden.
Wir haben noch kein öffentliches Zertifikat. Das werden wir dann bei irgendeiner Stelle kaufen. Mir ging es nur darum, wie so ein Vorgang genau abläuft, da wir bis dato keine Erfahrung haben. Wir haben bis jetzt einen eigenen Request erstellt und das Zertifikat dann über eine eigene CA auf dem DC erstellt. Zum logischen Verständnis für mich interessiert mich eben ob ein "Standard" Zertifikat ausreicht, welches nur die entsprechende öffentliche DNS Adresse enthält, oder ob Alternative Names (z. B. der interne DNS Namen) angegeben werden müssen und ob das Zertifikat dann einfach über den Assistenten importiert werden kann. Wobei das Zertifikat natürlich auch intern funktionieren soll, damit von Outlook keine Zertifikatsfehler kommen - daher denke ich dann muss tatsächlich ein SAN Zertifikat her, wo sowohl die externen als auch die internen DNS Namen eingetragen sind. Oder gibt es sogar extra Zertifikate für so Exchange Geschichten?
Im Zertifikat müssen im falle des OWA folgende Namen stehen:
  1. Der DNS Name (FQDN): owa.ad.firma.de
  2. Der DNS Alias Name (FQDN): owa.firma.de
  3. Der NetBios Name: owa
Ach ja, Ich denke, dass diese auch im exchange Konfiguriert werden müssen.

Ein Zertifikat bekommst du von z. B. hier. Wenn du zufälligerweise einen Linux server hast erleichtert das die Anleitung, die nötigen schritte stehen jeweils unter "how do I generate this?". Falls nicht, entweder kurz eine VM installieren und die befehle nacheinander ausführen.
Hiermit wandelst du es abschließend ins Windows Format um:
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

P. S. Die Datei "account.key" ist sozusagen dein Benutzeraccount, also für ab dem zweiten Zertifikate Schritt 1.1. überspringen und gleich bei 1.2 starten.
emeriks
emeriks 17.03.2016 um 08:25:49 Uhr
Goto Top
Wenn das Zertifikat direkt auf dem Exchange Server installiert werden soll, dann fehlen doch noch die Namen des Exchange Servers? Oder heißt dieser etwa OWA? Ich glaube kaum.
MasterPhil
MasterPhil 17.03.2016 aktualisiert um 09:44:00 Uhr
Goto Top
Zitat von @emeriks:

Wenn das Zertifikat direkt auf dem Exchange Server installiert werden soll, dann fehlen doch noch die Namen des Exchange Servers? Oder heißt dieser etwa OWA? Ich glaube kaum.
Das meinte ich - dann benötige ich wohl wie oben geschrieben ein SAN Zertifikat wo ich sowohl die internen DNS Namen sowie die externen eintrage, damit ich das Zertifikat für intern und extern verwenden kann, sprich Outlook innerhalb / außerhalb der Domäne und OWA.

Interessieren würde mich dann noch welche DNS Einträge ich setzen muss damit ich auch extern autodiscover verwenden kann, z. B. EAS am Smartphone. Wahrscheinlich muss ich eine subdomain autodiscover.firma.de anlegen. Nur wie / wohin lasse ich den Eintrag verweisen damit der Client die XML finden kann?
agowa338
agowa338 17.03.2016 um 17:33:21 Uhr
Goto Top
Ich dachte dein exchange und owa wären auf dem gleichen Server installiert mit dem Hostname "owa". Und natürlich müssen wie oben erwähnt alle namen im Zertifikat sein.