Auch hier immer wieder gerne Franky:
https://www.frankysweb.de/exchange-autodiscover-whitepaper-aktualisierte-version/
Kurzfassung:
Von EXTERN:
exchange.firma.de &
autodiscover.firma.de müssen in deinem öffentlichen DNS auf die IP-Adresse des WAN-Interfaces der Sophos zeigen (derselbe Port auf dem du die Webserver-Protection für diese Adressen eingerichtet hast).
Von INTERN:
exchange.firma.de &
autodiscover.firma.de müssen in deinem internem DNS-Server auf die INTERNE IP des Exchange zeigen. Typischerweise wird das in einer Exchange-Umgebung idealerweise auf den DCs gemacht.
Also, zwei neue DNS-Zonen.
Eine für
exchange.firrma.de & eine für
autodiscover.firma.de
In beiden Zonen legst du jeweils einen einzigen A-Record an. Domäne: (einfach leer lassen). IP: Die interne IP des Exchange-Servers.
Anschließend sicherstellen dass alle virtuellen Verzeichnisse des Exchange-Servers (für ecp, owa, powershell, OAB, mapi usw.) sowohl für den INTERNEN als auch den EXTERNEN Zugriff auf
https://exchange.firma.de/[LandingPage] zeigen. Dito für Outlook Anyhwere, welches aus $Gründen nicht bei den virtuellen Verzeichnissen eingestellt wird.
Falls du noch einen Exchange 2013 oder älter hast, muss mapi über die PowerShell eingestellt werden (niemals manuell am IIS eines Exchange rumpfuschen; IMMER über die ECP bzw. Exchange-Commandlets!)
Selbstverständlich** brauchst du ein kommerzielles bzw. öffentlich signiertes Zertifikat welches sowohl autodiscover. als auch exchange. beinhaltet. Wildcard geht auch, ist aber ggf. unnötig teuer für zwei Subdomains.
Auf das Zertifikat wird der Dienst IIS gebunden (auch über die ECP machen! Nicht am IIS pfuschen!)
Wenn du alle diese Einstellunge in einem Abwasch gemacht hast, den Exchange der Einfachheit halber neu starten, damit das auch überall greift.
**Let's Encrypt ist imho bissl zu viel Gefuddel um es auf einem Exchange zuverlässig zum Laufen zu bekommen, von daher kommerziell. Vergiss selbstsignierte Zerts bzw. solche aus einer eigenen CA. Kommerziell und gut.
[alternativ könntest du
theeeeoretisch auch LE-Zertifikate durch die Sophos beziehen lassen & diese alle 3 Monate manuell auf dem Exchange erneuern... ist aber Pfusch und ist schnell vergessen.]
Nun ist es so, das ich hier eine Glasfaster Leitung hinsetzen lassen habe, die alle anderen WAN Anbindungen überflüssig machen, da Ausfall vom Provider über Backup innherhalb des Hauses wohl sein sollte.
Sollte(tm) ist gut. Nur ein Sith spricht in Absolutismen oder so. Ich würde einen Harry kriegen keine redundante Internetleitung zu haben, zumal die Ausfallgründe einer Internetleitung extrem zahlreich sein können wie auch die Entstörzeiten und die Ungewissheit
wann die Leitung denn entstört ist.
Bagger reißt das Glasfaserbündel deines einzigen ISPs auf? Kannst gleich mal alle Leute nach Hause schicken. Morgen auch. Home Office ist auch nicht, weil der Exchange in der Firma steht, an den wir nicht ran kommen.
Vom Anbieter geliefertes Glasfasermodem ist im Arsch? "Sorry, haben wir nicht auf Lager und es muss Modell X sein". Alle nach Hause schicken.
Ach ja, Telefonie geht auch nicht mehr weil das jetzt alles VoIP ist.
Wie teuer war gleich noch mal eine zweite Leitung eines anderen ISPs?
Auf SLAs kannst du erfahrungsgemäß einen Scheißdreck geben. Mach dich nicht unnötig unabhängig von etwas, worüber du sehr einfach Kontrolle haben kannst. Dass es jetzt noch nicht so gut funktioniert und du deswegen es vereinfachen willst, ist falsch verstandenes KISS.
In dem Fall fragen die Clients den Forwarder nach example.tld, der Forwarder holt sich das Ergebnis ab und sieht dann in seiner Liste der RPZs, dass er für diese Domain ein anderes Ergebnis zurück soll und ersetzt die öffentliche durch die interne IP.
