Hallo zusammen,
ich habe eine Frage an die echten Spezialisten:
Folgende Situation:
Wir haben eine kleinere Firma übernommen, die allerdings ausschließlich mit O365 arbeitet. Damint die Zusammenarbeit insbesondere die Teams/Kalenderintegration funktioniert scheint eine Hybridinstallation der einzige Weg zu sein (vss. Exchange on Premise bleibt!).
Bei der Prüfung der Voraussetzungen treten riesige Probleme auf:
Der Exchange-Verbund ist zur Zeit vom Internet getrennt, die Verbindung zum Rest der Welt läuft über eine Ironport , die in der DMZ steht und mobile Devices sind Blackberry-Enterprise Server angebunden. Nachdem wir dann eig. einen Edge-Server in der DMZ einsetzen wollten um unsere "Trennung zwischen innen und außen" aufrecht zu erhalten wurde uns von dieser Version aufgrund des Mailflows und der damit verbundenen Probleme abgeraten.
Unsere Exchange-Server komplett ins Internet zu stellen scheint uns keine gute Lösung zu sein, so wollten wir die Microsoft-Server, die hier in Frage kommen im Regelwerk der Firewall entsprechend freischalten. Das nächste Problem ist, und dabei bräuchte ich einen Rat: Der Dienstleister sagt, dass alle Exchange-Server (sprich die inneren, die z.Zt. mit einem selbstsignierten Zertifikat arbeiten) dann alle über ein offizielles Zertifikat, welches ALLE unsere Maildomänen enthält, ausgestattet sein müssen. Wir haben an die 300 Domänen, von denen ca. 50 aktiv genutzt werden, also ganz abgesehen von Aufwand dieses Zertifikat zu erzeugen und den damit verbundenen Kosten, stellen sich die Fragen, ob ein Zertifikat überhaupt so viele SANs aufnehmen kann und was das überhaupt für einen Sinn macht, in meinem Verständnis müsste es doch reichen ein offizielles Zertifikat meinetwegen der Haupt-Domäne zu installieren um einen sicheren Kanal zu Microsoft zu gewährleisten.
Vielen Dank schon jetzt an die Kollegen, die die Frage bis hierher durchgelesen haben und ich hoffe, dass jemand Erfahrung mit einer Hybriden Infrastruktur hat, die mehr als 2 oder 3 Domänen beinhaltet!
Dankeschön im voraus!
Nachdem wir dann eig. einen Edge-Server in der DMZ einsetzen wollten um unsere "Trennung zwischen innen und außen" aufrecht zu erhalten wurde uns von dieser Version aufgrund des Mailflows und der damit verbundenen Probleme abgeraten.
Dazu müßte man jetzt wissen, wie euer Mailflow aussehen soll. Aber ja, das "kann" durchaus komplex werden.
Der Dienstleister sagt, dass alle Exchange-Server (sprich die inneren, die z.Zt. mit einem selbstsignierten Zertifikat arbeiten) dann alle über ein offizielles Zertifikat, welches ALLE unsere Maildomänen enthält, ausgestattet sein müssen. Wir haben an die 300 Domänen, von denen ca. 50 aktiv genutzt werden, also ganz abgesehen von Aufwand dieses Zertifikat zu erzeugen und den damit verbundenen Kosten, stellen sich die Fragen, ob ein Zertifikat überhaupt so viele SANs aufnehmen kann und was das überhaupt für einen Sinn macht, in meinem Verständnis müsste es doch reichen ein offizielles Zertifikat meinetwegen der Haupt-Domäne zu installieren um einen sicheren Kanal zu Microsoft zu gewährleisten.
Hat der Dienstleister auch verraten, warum das notwendig sein sollte? Schaut so ein Dienstleister auch mal bei Microsoft O365 und wundert sich, dass da keine Millionen Namen im Zertifikat stehen? ;)
Also meines Wissens nach ist das nicht notwendig, da ein Zertifikat für den Transport benötigt wird (das muss ein öffentliches sein und würde im Falle eines Edge Servers auch dort auf dem Edge liegen müssen) und eins für Autodiscover. Dabei ist im Normalfall nur eine autodiscoverdomain und ein Hostname notwendig. Viele schreiben weitere autodiscoverdomains rein, weil sie http redirect nicht kapieren oder wollen.
HTH
Norbert
@norbertfe Hallo Norbert, erstmal vielen Dank für die schnelle Antwort.
Leider ist dieser Dienstleister einer der größeren in DE. ☹️ - Ich denke er ist nicht geeignet uns in diesem Projekt zu unterstützen.
Unser Mailfluss soll so aussehen, dass der gesamte Mailverkehr von und nach extern über unseren Mailfilter (Ironport) läuft.
Der Interne wird sicher über die entsprechenden O365-Konnectoren direkt laufen.
Unser Mailfluss soll so aussehen, dass der gesamte Mailverkehr von und nach extern über unseren Mailfilter (Ironport) läuft.
Der Interne wird sicher über die entsprechenden O365-Konnectoren direkt laufen.
Und wo ist das Problem? Ihr wollt also centralized Mailflow mit eurem alten relay. Dann muss ein neuer Edge in die dmz und der ist der Endpunkt für die o365 smtp Kommunikation. Ich seh da grad nicht, was da so kompliziert ist. Kompliziert wäre es, wenn ihr schon Edge hättet und den für die Weiterleitung an weitere interne Systeme braucht.
@norbertfe hmm - Ursprünglich dachten wir, wir könnten unser System der Trennung von internen und externen Netzen durch die Verwendung des Edge Servers aufrecht erhalten und die Problematik mit den Zertifikaten auf diesen zu verlagern und die internen Server quasi unangetastet lassen (incl. der selbstsignierten Zertifikate) aber das wurde uns verneint. Es hieß alle Server müssen gültige ext. Zertifikate haben und O365 muss auch mit den internen Servern kommunizieren können, daher sind wir bei unseren Planungen wieder von der Edge/DMZ-Lösung abgekommen.
Da müßt ihr ein wenig "unterscheiden" bzw. der Dienstleister. ;)
Für SMTP könnt ihr den Edge in der DMZ nutzen. Heißt, der Mailflow sieht dann etwa so aus:
Internet--->Ironport--->interne Exchangeserver (und wenn der Empfänger in der Cloud liegt)---->Edge Server ----> O365
Wenn jetzt ein Cloudnutzer eine Mail ins Internet schickt und Centralized Mailflow aktiv ist, dann sieht das so aus:
O365-->Edge Server--->interne Exchangeserver ----> Ironport ----> Internet
Dafür wird ein Zertifikat benötigt. Ich meine, es sollte theoretisch auch ein privates Zert ausreichen.
Zumindest bei mir läuft das in ähnlicher Form genau so.
Für https ist tatsächlich ein öffentliches Zertifikat benötigt und eine saubere Autodiscover Konfiguration und Zugriff auf die internen Server (ggf. über eine WAF veröffentlicht). Und nein, in dem Zertifikat muss natürlich nicht jede Domain enthalten sein, sondern normalerweise eine autodiscover-domain (generisch oder die Hauptdomain) und ein Hostname. Alles andere kann man mit http Redirect für die 50-xx Domains erledigt werden.
HTH
Norbert