Aug 29 2011

DNS Einträge für die Teildelegation zu Office 365 (Update Okt. 2014)

veröffentlicht in Kategorie Office365  

Obwohl Microsoft Standardmäßig für (Small-)Business Tarife eine Volldelegation vorschlägt, ist es trotz allem möglich und auch sehr oft sehr sinnvoll auch in einem solchen (Small-)Business nur eine teilweise Redelegation zu den Office 365 Servern vorzunehmen. Dazu muss die richtige Domänenverwaltung ausgewählt und dann folgende DNS Einträge bei Ihrem Domänenprovider eingerichtet werden. (Aktualisiert am 12.10.2014)

Gleich am Anfang bei der Einrichtung der eigenen Domäne in Office365 wird man gefragt, ob man die DNS Verwaltung Office365 überlassen möchte (= die Volldelegation mit den Microsoft Nameserver NS1 bis NS4.bdm.microsoftonline.com) oder ob man sich selber darum kümmern möchte ( = Teildelegation mit den eigenen Nameservern des bisherigen Providers).

So schaut das in Office365 ganz konkret aus:

Volldelegation oder Teildelegation, hier wirds ausgewählt

Volldelegation oder Teildelegation, hier wirds ausgewählt (Klick macht Groß)

Bei der Teildelegation, der zweiten, der Rot markierten Option bleiben die Nameserver (also NS1,NS2) Ihres Providers aktiv, es wird *nicht* zu ns1 bis ns4.bdm.micrsoftonline.com umgeschalten. Damit haben Sie zum einem weiterhin volle Kontrolle über Ihre Domäne über das Admin Interface Ihres Providers und zum anderen laufen Sie so nicht in das nervige Problem, dass es bei der Umstellung zu den Microsoft NS Fehlermeldungen gibt, weil diese nicht RFC konform antworten.

Kurz gesagt: die Teildelegation ist zwar etwas umfangreicher bei der Einrichtung, dafür funktioniert sie aber problemlos und man hat bessere Kontrolle über die Domäne. Anstatt die NS Einträge zu Microsoft umzubiegen, bauen wir einfach nur die für den Betrieb von Office365 benötigten DNS Einträge im Admininterface Ihres Providers nach. Bei den Enterprise Tarifen gibt es diese Auswahl nicht, die werden immer in Teildelegation eingerichtet, das ist auch gut so.

Notwendige DNS Einträge zur Exchange Konfiguration:

Der MX Eintrag:

Zur teilweisen Delegation von eMail und für das funktionieren von Exchange benötigen wir zwingend einen MX Eintrag höchster Priorität. Beispiel:

.meinedomain.de MX Prio 10 meinedomain-de.mail.protection.outlook.com

Hinweis: Höchste Priorität heisst niedrigste Nummer im Feld Priorität. Eine Prio 10 ist eine höhere Prio als eine Prio 20. Die höchstmögliche Prio wäre also eine 0, die 0 wird allerdings von vielen Domänenprovidern nicht angeboten, drum nimmt man statt dessen halt z.b. eine Prio 1. Ob das nun Prio 0, 1, oder 10 oder was auch immer ist, ist egal, solang der MX Eintrag für Office 365 die höchste Prio aller eventuell sonst noch vorhandenen MX Einträge besitzt.

Der CNAME Eintrag für Autodiscover:

Damit die Einrichtung der eMail Konten in Outlook auf dem Desktop oder für mobile Geräte möglichst unkompliziert von statten gehen kann, ist ein CNAME Record für autodiscover einzutragen:

autodiscover.meinedomain.de CNAME autodiscover.outlook.com

Bei einigen Providern (1&1, Strato z.b.) muss erst eine Subdomain angelegt weren, bevor der CNAME gesetzt werden kann. Falls der eigene Provider partout keine CNAME Einträge erlaubt, kann man sich als kurzfristige Notlösung mit einem A Record für autodiscover auf welche IP Adresse auch immer autodiscover.outlook.com gerade auflöst behelfen.

Optional: Der SPF Eintrag:

Ein SPF Record wird empfohlen, um den MS Mailserver als erlaubten Sender zu verifizieren:

.meinedomain.de TXT v=spf1 include:spf.protection.outlook.com -all

Achtung: obiges Beispiel legitimiert ausschliesslich outlook.com, wenn Sie eMails auch noch über andere Server unter meinedomäne.de versenden, müssen Sie den SPF entsprechend ändern/erweitern! Weitere Informationen zum Thema SPF findet man unter http://www.openspf.org oder unter http://www.spf-record.de und sehr praktisch: einen Wizard zur Erstellung von SPF Einträgen gibt es hier: http://wizard.easyspf.com/

NEU: der MSOID CNAME Eintrag

Seit kurzem wird dieser Eintrag von Office365 verlangt und zuerst wusste keiner so richtig, was er eigentlich soll:

msoid.meinedomain.de CNAME clientconfig.microsoftonline-p.net

Inzwischen ist das Rätsel gelöst: wenn sich Client-Software mit Office365 verbindet (der Lync Client, Outlook, Powershell, der Azure Dirsync Client etc, werden die User Credentials an einen “Loginserver” übertragen. Welcher das ist, das wird mit diesem MSOID CNAME Eintrag festgelegt, in diesem Beispiel also clientconfig.microsoftonline-p.net. Fehlt der Eintrag komplett, wird ein Standardserver in den USA benutzt, das Login dauert länger, bis der tatsächlich zuständige gefundene Endpunkt gefunden und das Login ausgeführt wird. Ist ein falscher Endpunkt gesetzt, wird das Login scheitern.

 

Notwendige DNS Records für Lync

Wir brauchen zum einen 2 CNAME Einträge:

sip.meinedomain.de CNAME sipdir.online.lync.com
lyncdiscover.meinedomain.de CNAME  webdir.online.lync.com

mit diesen 2 CNAME Einträgen ist die Grundfunktion des Lync Clients erst mal gesichert. Für die sogenannten “Federations”-Funktionen (wie z.b. Integration in Outlook usw.) braucht es jedoch noch einen zusätzlichen SRV Eintrag:

.meinedomain.de SRV _sipfederationtls._tcp 100 sipfed.online.lync.com

Woher nimmt man die korrekten Angaben?

Sobald eine Domäne in Office 365 verifiziert wurde, kann man sich die notwendigen DNS Einstellungen innerhalb von Office 365 anzeigen lassen:

(Small-) Business

Domänen Verwaltung SmallBiz & P Pläne

Domänen in SmallBiz & P Plänen, Schritt 3&4 wie bei Große Unternehmen & E (nächstes Bild)

Click auf Verwalten führt zur Liste der benötigten Einträge

Domne anhaken und ckick auf “DNS verwalten” führt dann zur Liste der benötigten Einträge

 Enterprise:

das Selbe nochmal für die Enterprise Tarife: Anzeigen der notwendigen DNS EInträge.

das Selbe nochmal für die Enterprise Tarife: Anzeigen der notwendigen DNS EInträge.

 

Liste der Standardeinträge

Egal wie, letztendlich landet man dann hier und erhält die Liste der vorzunehmenden DNS Einträge
(hier am Beispiel eine meiner Domänen im Small-Business Tarif)

xy

Liste der benötigten Einträge.. was genau alles angezeigt wird ist abhängig vom gewählten “Domänenzweck”

Weiterführende Infos zu diesem Thema

 

11 responses so far

11 Responses to “DNS Einträge für die Teildelegation zu Office 365 (Update Okt. 2014)”

  1. […] In Arbeit.. Siehe auch: Teilweise Redelegation einer Domäne zu Office365 […]

  2. […] Gerade wer auch Lync nutzen will, liest sich am besten auch noch den Artikel über die anderen DNS Einträge für Office365 in einer Teildelegation durch. Aber bitte dran denken, der MX Eintrag muss weiterhin auf den alten Provider […]

  3. […] Tipps zur DNS Einrichtung für Lync siehe hier: http://www.mountainprophet.de/2011/08/29/dns-eintrage-fur-die-teildelegation-zu-office-365/ […]

  4. […] empfehlen das mal an einem Wochenende vorher zu erledigen und dann bei Ihrem Registrar gemäß der Vorgehensweise für eine Teil-Redelegation die Nameserver für den Betrieb von Office 365 einzurichten (MX, CNAME usw.), das spart ein […]

  5. adminon 29 Dec 2011 at 13:58

    Post wurde aktualisiert und zeigt nun die die neuen Lync DNS Einträge sowie die neue Domänenverwaltung..

  6. adminon 24 Mar 2013 at 09:42

    Screenshot für aktuelles Wave15 Admin Interface hinzugefügt und Artikel aktualisiert..

  7. adminon 08 Sep 2013 at 00:08

    Erklärung zum MSOID CNAme Eintrag hinzugefügt

  8. Daniel Melanchthonon 01 Dec 2013 at 16:57

    Hi,

    ich bin gerade wieder auf diese Anleitung gestossen. Wir haben mittlerweile auch für die Teildelegierung in Small Business Premium die Dokumentation erweitert und das Szenario wird auch entsprechend unter stützt: http://office.microsoft.com/de-de/office365-suite-help/hinzufugen-ihrer-domane-zu-office-365-wenn-sie-ihre-eigenen-dns-eintrage-verwalten-mochten-HA102818653.aspx.

    Eine Übersicht der möglichen DNS-Konfugurationsoptionen sind hier zu finden: http://office.microsoft.com/de-de/wie-office-365-dns-eintrage-verwaltet-HA103834284.aspx.

    Have Fun!
    Daniel

  9. adminon 01 Dec 2013 at 17:00

    Danke fürs Update, Daniel!

  10. adminon 04 Jan 2014 at 07:24

    Beitrag aktualisiert. Die Teildelegation wird inzwischen auf offiziell von Microsoft für die SmallBusiness Tarife supported.

  11. ziscoon 15 Jan 2014 at 10:24

    Wir haben Probleme beim autodiscover (Outlook 2010, Lync 2013) bei einigen Rechnern. Für Outlook konnte ich das so lösen, dass ich die permanente Netzwerkverbindung der Domäne deaktivierte und via Internetfreigabe am HTC Rader und WLAN eine Verbindung ausserhalb der Domäne herstellen konnte. Lync verweigert aber trotzdem eine Auflösung via autodiscover.
    Muss am Domänen-/Exchange-Server auch was umgestellt werden, damit die Teildelegierung korrekt funktioniert?

Trackback URI | Comments RSS

Kommentar dazu? (Geht anonym und ganz ohne Anmeldung)