support-m
Goto Top

Zugriff mit Alias nicht möglich

Hallo zusammen,
ich habe eine Frage zu einer DNS bzw. Alias Problematik.

Wir haben ein Kundensystem mit MailStore übernommen. Das ganze ist ein Server 2019 Standard, der neben MailStore-Server auch gleichzeitig noch Domaincontroller und Fileserver ist. Es geht dabei um ein Kleinstnetzwerk mit 4-5 Computern. Wir haben uns MailStore nun angenommen und dort kürzlich die Version aktualisiert.

Der vorherige Dienstleister hat den Server nicht umbenannt, als sie die Domäne aufgezogen haben. Der hieß noch so generisch, wie wenn man ihn frisch installiert. Die haben dann einen Alias via netdom konfiguriert, mit dem alle DNS-relevante Netzlaufwerke usw gemappt wurden. Soweit so ok.

So, das Problem ist nun folgendes: Ich will mich mit dem MailStore-Client Programm mit den Server verbinden und will dafür weder den generischen Namen, noch den Alias-Namen nutzen. Ich will stattdessen einen neuen MailStore-spezifischen Alias.

Wenn ich aber versuche, mit dem MailStore-Client-Programm von den Clients aus mich bei MailStore an zu melden, funktioniert das nur mit dem generischen Namen und dem per netdom konfigurierten Alias. Mit einem anderen Alias kommt die Verbindung nicht zustande.

Es konnte keine Verbindung hergestellt werden, da der Zielcomputer die Verbindung verweigerte <ip>:8460
Sieht eher nach einem Firewallproblem aus, aber die ist inzwischen aus. Mit dem anderen Alias geht es aber wie gesagt.

Was ich versucht habe:
Neuen CNAME Alias im AD DNS hinterlegt mit Verweis auf den generischen Namen
Neuen CNAME Alias im AD DNS hinterlegt mit Verweis auf den vom vorherigen Dienstleister per netdom geänderten Namen
Neuen A-Record mit einem anderen Namen auf die IP des Servers
Neue Forward-Lookupzone mit dem Alias erstellt mit einem A-Record auf die IP des Servers (so mache ich das beim Autodsicover von Exchange z.B.)
Neuen Alias-Namen per Netdom erstellt (ohne ihn primary zu machen)

In all den Fällen, bekomme ich keine Verbindung mit dem gewünschten Alias zu stande und in allen Fällen habe ich sowohl beim Server als auch beim Client ein ipconfig /flushdns und ipconfig /registerdns dazwischen durchgeführt. Der Server wurde nach den Änderungen auch schon neu gestartet.

Wenn ich einen der vorhandenen Aliase nehme, wird auf ein ungültiges Zertifikat hingewiesen, also dachte ich, dass auf den Zertifikat vielleicht der Alias-Name als DNS-Alias hinterlegt ist, aber auch das ist nicht der Fall. Auf dem Zertifikat gibt es nur den generischen Namen des Servers, woraus ich schlussfolgere, dass es mit dem Alias des vorherigen Dienstleisters auch nicht gehen dürfte, was es aber wie gesagt tut.

Ich bin nun etwas ratlos und weiß nicht, was ich noch tun kann. Habe ich irgendetwas übersehen? In MailStore selber habe ich auch keine virtuellen Verzeichnisse oder sowas gefunden oder sowas wie bei einer Nextcloud, wo die DNS-Namen für die Zugriffe freigegeben sein müssen usw.

Ich kenne das Verhalten beim Drucken, habe das aber noch nicht für derelei Zugriffe festgestellt. Ich habe trotzdem nun noch einen Registry-Wert (DisableStrictNameChecking) gesetzt wie hier beschrieben:
https://community.spiceworks.com/how_to/150369-printer-sharing-via-cname ...
Der OptionalNames war schon gesetzt.

Weiß jemand Rat?

Vielen Dank im Voraus

MfG

Content-Key: 2124335236

Url: https://administrator.de/contentid/2124335236

Printed on: July 20, 2024 at 14:07 o'clock

Member: em-pie
em-pie Mar 11, 2022 at 15:34:32 (UTC)
Goto Top
Moin,

also grundsätzlich kann der Mailstore mit im DNS vergebenen ALIASen arbeiten.
Rennt hier wie geschmiert.

im DNS haben wir den Alias (CNAME)
  • mailstore.domain.tld
angelegt.

Das Zertifikat, ausgestellt von unserer internen CA, hat primär den Namen "Server 4711" sowie als alternativen
  • server4711
  • server4711.domain.tld
  • mailstore
  • mailstore.domain.tld

Das Zertifikat selbst wurde dann via MailStoreServerConfig.exe installiert sowie der Dienst neugestartet.

Das war es eigentlich.
Per GPO wird dann die clientconfig (Outlook-Plugin) mit mailstore.domain.tld publiziert.

Gruß
em-pie
Member: StefanKittel
StefanKittel Mar 11, 2022 at 15:36:04 (UTC)
Goto Top
Moin,

kann ich bestätigen.
In den Mailstore-Service-Eigenschaften kannst Du neben des SSL-Zertifikates auch noch weiteres einstellen.
Vieleicht auch den Servernamen? Ich habe es gerade nicht vor mir.

Stefan
Member: em-pie
em-pie Mar 11, 2022 at 18:33:44 (UTC)
Goto Top
@StefanKittel

Nee, da ist nichts. Hab vor meinen Post extra noch einmal nachgeschaut, ob es irgendwas in diese Richtung gibt.


Könnte natürlich sein, dass da irgendwas in der Windows Firewall eingerichtet ist…
Member: support-m
support-m Mar 15, 2022 at 13:23:09 (UTC)
Goto Top
Hallo zusammen,
danke für eure Antworten. Keine Ahnung, was das für ein Zertifikat ist, was dort benutzt wurde. Ich werde bei nächster Gelegenheit eine ordentliche CA aufziehen und ein ordentliches Zertifikat installieren. Vielleicht liegt es ja daran.

Wir setzen ESET als Drittsoftware ein und haben die Firewall testweise mal komplett deaktiviert, aber wie gesagt, das ändert nichts am Verhalten.

Danke

MfG