Fragen bzgl. Zertifikate und 2 Server DAG mit TMG/ISA

1. offizieller Beitrag

    Liebe Exchange Experten,


    wir stehen bald vor der Aufgabe, einen Exchange 2007 zu 2010 zu migrieren.


    Habe diesbezüglich ein paar Fragen, besonders zu der Zertifikatssituation. Anbei mal ein Schaubild, wie ich mir das ungefähr vorstelle (Witness Server mal ausgenommen)


    Geplant ist eine 2 Server DAG mit "vorgeschalteten" Loadbalancer (unter VMWare - haben da momentan den Kemp VLM-1000 ins Auge gefasst). OWA, ActiveSync und Outlook Anywhere soll auch mit dem bestehenden ISA 2006 oder neuen TMG Server veröffentlicht werden. (Momentan läuft wie gesagt ein 2007er Server auch mit ISA zur Veröffentlichung von OWA usw.)


    Die erste Frage die mich beschäftigt, wieviele Zertifikate brauch ich denn für solch eine Konfig und welche Namen müssen rein?


    Jeweils 1 für die 2 Exchange Server und dann für den ISA? Oder reicht mir eins für alles und ich importiere das eine Zertifikat auf allen Server (Ex2010, TMG, Loadbalancer)?


    Namen die unbedingt reingehören, wären anhand des Schaubildes für mich (xyz.de interne AD; abc.de öffentlicher Name):


    exchange01.xyz.de
    exchange02.xyz.de
    (autodiscover.xyz.de)


    autodiscover.abc.de
    mail.abc.de
    legacy.abc.de


    Für unsere Zertifizierungsstelle kommen auch nur FQDN in Frage - erwähne es, weil es öfter mal mit angegeben wird.


    Der CAS-Arry Name muss angeblich ja nicht mit rein, ist das in dieser Konstellation auch korrekt? Irgendwie scheints mir da unterschiedliche Empfehlungen zu geben?


    Soo, ich weiß, ziemlich viel Text und bestimmt schon alles mal irgendwie besprochen, aber will da einfach auf Nummer sicher gehen..



    Danke schön.


    Viele Grüße.


    P.S. Hat jemand schon Erfahrung mit dem Kemp LB für VMWare? Wenn ja positiv oder negativ? Meinungen gerne auch als PN.

    • Offizieller Beitrag

    Moin,


    das sind viele Fragen auf einmal, aber perfekt ist das Schaubild.


    Zu KEMP: Öfter eingesetzt, gute Erfahrungen, einfache Konfig (mit guter Anleitung und gutem Support oder vorkonfiguriert) und bringt Farbe ins RZ. :)


    Zu den Namen:
    Den Autodiscover-Eintrag brauchst Du für die Domäne, die in der E-Mail-Adresse steht. Wenn Deine Mail-Domäne "abc.de" ist, wird kein Client "autodiscover.xyz.de" ausprobieren! Warum auch, denn da Du den SCP umstellen musst, kannst Du auch gleich "xyz.de" eintragen - ohne Autodiscover davor.


    Grundsätzlich solltest Du Dir aber überlegen, ob Du nicht lieber eine SplitDNS-Konfig machst, als intern und extern den gleichen Namen benutzt.


    Zum CAS-Array-Namen gibt es eigentlich sehr einfach aussagen: Der CAS-Array-Name kommt NICHT mit ins Zertifikat (bei Dir also "cas.xyz.de", aber Du brauchst einen zweiten Namen für den LB - z.B. exchange.xyz.de. Und DIESER Name kommt mit ins Zertifikat, weil das der Name ist, den Deine Clients für die HTTPS-Verbindungen bekommen (OAB, EWS).


    Dein LB bekommt also für die eine IP-Adresse zwei Namen eingetragen: cas.xyz.de (für die RPC-Verbindungen, das ist dann auch der RPCClientAccessServer in den Datenbanken) und exchange.xyz.de (für HTTPS, das wird als internalURL in den verschiedenen Webseiten hinterlegt).


    Für intern also:
    exchange.xyz.de (= HTTPS-Verbindungen)
    exchange01.xyz.de (ist nicht unbedingt erforderlich für den Anwender, aber eventuell für Proxy-Funktionen)
    exchange02.xyz.de (ist nicht unbedingt erforderlich für den Anwender, aber eventuell für Proxy-Funktionen)


    Für extern:
    autodiscover.abc.de
    mail.abc.de
    legacy.abc.de


    Würdest Du Dich für SplitDNS entscheiden, dann sähe das so aus:
    mail.abc.de (= alle HTTPS-Verbindungen)
    exchange01.xyz.de (ist nicht unbedingt erforderlich für den Anwender, aber eventuell für Proxy-Funktionen)
    exchange02.xyz.de (ist nicht unbedingt erforderlich für den Anwender, aber eventuell für Proxy-Funktionen)
    autodiscover.abc.de
    legacy.abc.de


    Mit passenden SRV-Einträgen könnte man noch autodiscover wegstreichen. Die Exchange-Server müssen nicht unbedingt rein, d.h. ganz am Ende könnte man auch zu einer Lösung mit zwei Namen kommen: mail. und legacy.

    Hi,


    wow das war ja eine fixe Antwort, danke :-).


    SplitDNS bedeutet in dem Fall, dass ich sowohl für ExternalURL und InternalURL mail.abc.de definieren muss?


    Ist auf jeden Fall eine Überlegung wert.