SAN Zertifikate - Die Frage nach den Namen

1. offizieller Beitrag

    Tach zusammen,


    ich habe eine Exchangeumgebung welche mittlerweile 3 Domains beherbergt.


    Damit das Autodiscover auch von extern funktioniert, was bisher nur für eine Domain nötig war, muss ja ein entsprechender Eintrag im Zone-File der Domain existieren.


    Da ich nun alle 3 Domains abdecken will komme ich jetzt in die Verlegenheit ein SAN-Zertifikate zu verwenden. (Derzeit verwende ich ein Wildcard Zertifikat (*.domain1.com))


    Nun stellt sich für mich die Frage welche Namen es abdecken soll.


    Derzeit komme ich auf folgende


    - Outlook HTTP-Proxy Adresse:
    -- anywhere.domain1.com
    -- anywhere.domain2.com
    -- anywhere.domain3.com


    - Autodiscover Adresse
    -- autodiscover.domain1.com
    -- autodiscover.domain2.com
    -- autodiscover.domain3.com


    - exchange adresse
    -- exchange.domain1.com
    -- exchange.domain2.com
    -- exchange.domain3.com


    - OWA
    - webmail.domain1.com (wird für alle 3 Domains verwendet)


    - CAS Array Adresse (nur intern)
    - cas.domain1.com



    Gibt's sonst noch was was ich hinzufügen müsste/sollte?



    Die exchange.XXX Adressen nutze ich nicht wirklich, es gibt allerdings DNS-Einträge da sie afaik auch für's autodiscover verwendet werden. ?!?
    Die Frage ist ob ich mir die sparen kann oder ob die auflösbar bleiben sollten.



    Danke
    Marcel

    • Offizieller Beitrag

    Moin,


    irgendwann bekommen wir für die Frage mal Geld, dann lohnt sich das hier wirklich (soll heißen, die Frage kommt öfter)!


    1. Split DNS nutzen, das reduziert die Anzahl der notwendigen DNS-Namen radikal


    2. Du brauchst mindestens genauen einen Namen, der alles, was HTTPS ist an die LB-Adresse schiebt. Diese Adresse wird dann auch für internes Autodiscover verwendet.


    3. Wenn Du keine mobilen Clients hast, kannst Du extern den Autodiscover-Eintrag durch einen SRV-Eintrag ersetzen. Da mobile Clients das aber nicht können, brauchst Du noch pro Mail-Domäne einen Eintag "autodiscover.MAILDOM".


    4. Der Name für das CAS-Array muss nicht im Zertifikate stehen, sollte ein anderer Name sein und wird nicht für HTTPS verwendet.


    Zusammengefasst:
    - Pflicht ist ein Name (Voraussetzung: Split DNS)
    - Soll ist dazu jeder Autodiscover-Name für externe Mail Domäne (Voraussetzung: Externes Autodiscover ist von mobilen Geräten erforderlich)

    • Offizieller Beitrag

    Hallo,


    Zitat


    MarcelF schrieb am 17.12.:
    Da ich nun alle 3 Domains abdecken will komme ich jetzt in die Verlegenheit ein SAN-Zertifikate zu verwenden. (Derzeit verwende ich ein Wildcard Zertifikat (*.domain1.com))


    Ich frage mich nur, warum du auf SAN gehen willst, wenn du eh ein Wildcart Cert extern hast.


    Schönen Gruß nach München!


    8-)