Hallo,

wir haben aktuell für unser Exchange 2016 Load Balancing auf den Kemp Loadmaster umgestellt. Mit Sophos UTM und WAF war es an einigen Stellen zu hakelig und lies sich teilweise gar nicht umsetzen.

Mit dem Loadmaster funktioniert soweit alles gut. Allerdings gibt es bei der Anmeldung mit Client-Zertifikate per ActiveSync ein paar Probleme oder Fragen.

Es gibt insgesamt 4 Mail-Domänen. Die Zertifikate sowie die Mailserver-Konfiguration werden per MDM verteilt. Der Mailserver ist für alle Maildomänen derselbe.

Also gibt es z.B. folgende Konstellationen:

user1@mail1.de

user2@mail1.de

user1@mail2.de

user1@mail3.de

Der Mailserver ist immer mailserver@mail1.de

Laut Kemp Support soll für jede Domäne, bei der die Anmeldung zertifikatsbasiert erfolgt, eine SSO Domäne und dann auch ein eigener Virtual Service angelegt werden. Sonst kann logischerweise das Kerberos Ticket nicht richtig erstellt werden, da die Mail-Domäne aus dem Zertifikat zur SSO-Domäne passen muss.

Jeder Virtual Service hat aber wieder auch eine eigene IP Adresse. Dies macht es dann unmöglich eine Mailserver-Adresse für alle Domänen festzulegen.

Denke ich zu umständlich, hat jemand noch eine Idee dazu oder gibt es einfach keine andere Möglichkeit?

Danke und Gruß

Matthias