Hallo Zusammen,
hoffe wieder hier Unterstützung zu finden ...
Umfeld:
+ AD Forest/Domain 2008 R2
+ Exchange 2010/2013 Coexsistenz (Exchange 2010 SP2 RU12 und Exchange 2013 CU11)
+ Keine Migration zu Exchange 2013 durchgeführt, nur Initial Setup.
+ Aktuell DirectAccess mit Ausnahme für OutlookAnywhere
+ AD integrierte Windows PKI 2008 R2 (3-stufig), Kein Zertifikat von einer externen CA
+ Einrichtung Exchange 2016 geplant:
SiteA = 2x Exchange2016 Nodes [(CAS Primär/Public) / MBX} mit 1x DAG und Split-DNS Roundrobin auf mail.PublicDomain.tld, autodiscover.PublicDomain.tld
SubSitesBCD = 2-3x Exchange Nodes ((CAS Subsites)/MBX) ohne DAG
TLS Kommunikation Ex intern und auch extern GW
Aufgabenbeschreibung:
Bisher konnte ich Erfahrungen mit einer zentral und offen geführten Exchange Umgebung sammeln. Aktuell stellt sich die CoEx 2010/2013 Umgebung zentral/dezentral mit Servern an weiteren Standorten und auch restriktiver dar. Da die Ex2013 Erst-Installation"unfertig" und nicht dokumentiert abgeschlossen wurde und auch keine Migration gestartet wurde, möchte ich eine saubere Ex2016 Einrichtung selbst vornehmen und die Migration durchführen.
Problemstellung:
Unklarheiten bei der technischen Umsetzung und "best practice" Ansätze.
Fragen:
I. Zertifikate
1. SHA256 ...
I. Zertifikate
1. SHA256 ...
Wenn neue Zertifikate dann mit SHA256 ... wie
hier beschrieben
a. Ist bei einer PKI Umstellung von SHA1 auf SHA256 mit größeren Problemen zu rechnen?
b. Erfahrungswerte oder wie kann dies geprüft werden?
2. Interne/Externe URL ...
Grundsätzlich würde ich bei den von extern (Public) erreichbaren CAS's die URL 'Intern/Extern' auf o.b. mail/autodiscover setzen und bei allen anderen 'Intern' auf den eigentlichen Hostnamen belassen ...
a. Ist das Allgemein und in der CoEX 2010/2016 möglich oder müssen auch die 'Intern' URL der Ex Server der SubSites angepasst werden und wenn wie?
3. WildCard oder SAN (Subject Alternative Names) ...
WildCard Zertifikate werden meines Erachtens unterstützt (hatte ich bisher auch), aber aus Sicherheitsgründen sollen nur SAN eingesetzt werden ...
a. Welche DNS-Namen sind alle im Feld 'Subject Alternative Names' einzubringen am CAS (Primär/Public)?
b. Vermute eher nein, aber muss der eigentliche Hostname der CAS's (Primär/Public) auch ins Zertifikat Feld SAN?
c. Welche DNS-Namen sind alle im Feld 'Subject Alternative Names' einzubringen an den CAS (Subsites)?
d. Müssen die DNS-Namen aller akzeptierten Domänen (mail.PublicDomain2.tld, autodiscover.PublicDomain2.tld, etc.) auch ins Feld, wenn der MailFlow/DNS Reccords auf die primären CAS's
zielen?
II. Outlook Anywhere
1. Autodiscover und Absicherung Zugriff in Verbindung mit DirectAccess (aktuell EAS mit Device-Block und OA ohne Autodiscover) ...
a. Wie kann man OA oder EAS als Funktion erhalten, aber sicherstellen das nur eigene Geräte diese nutzen können?
Also Eingabe EMail/PWD >> AutoDiscover >> Überprüfung ist eigenes Gerät (vermutlich Zertifikat) >> Zugriff
Damit bei bestehenden, unterbrochenen oder fehlerhaften Direct Access Tunnel der Outlook Client grundsätzlich die 'Public' URL nutzt, soll die OA-Funktion am Server oder Postfach des
Benutzers grundsätzlich nicht abgeschaltet werden.
Vielen Dank im Voraus für jede Art der Zusammenarbeit und "Sorry für die Formatierung"
Manfred Schüler