Outlook 2016 auf Nicht-Domänenrechner an Exchange 2016 anbinden?

[peterg 11]

Hallo Exchange-Experts,

 

ich würde unseren Exchange 2016 gerne sauber konfigurieren, da scheinbar was mit dem Autodiscover nicht passt.

 

Die Konfiguration ist bei uns auch evtl. etwas "ungewöhnlich". Wir sind zwei gemeinnützige Vereine mit unterschiedlichen E-Mail Domains, welche sich einen Server inkl. Exchange 2016 teilen. Vor der Exchange-Installation habe ich im Netz mal nach einer möglichen Umsetzung gesucht und mir wurde folgendes geraten, was ich auch so umgesetzt habe (siehe unten – bisherige Konfiguration).

 

Was möchten wir: Wir haben jetzt noch eine Verwaltungskraft, welche teilweise bei einem Verein (mit einem Domänenrechner) und aber auch noch teilweise in einer "Außenstelle" arbeitet (mit einem Rechner ohne Domänenanbindung). Es wäre super, wenn die Verwaltungskraft in der Außenstelle Zugriff auf Ihre Mails hat. Ich möchte daher Outlook mit dem Exchange-Konto verbinden, wobei der Rechner nicht Mitglied der Domäne ist. Geht das überhaupt?

 

Zudem haben wir Office 2016 bei der Außenstelle. Hier ist Autodiscover ja quasi Pflicht.

Es kommt bei der Einrichtung von Outlook immer die Fehlermeldung, dass der Server nicht erkannt wird. Auch funktioniert der MS Remote Connectivity Analyzer hinsichtlich "Autodiscover" nicht.

 

Vorab:
Outlook Web Access funktioniert von jedem Rechner (auch auf Nicht-Domänenrechner) überall auf der Welt.
Outlook am Rechner kann auch außerhalb des Netzwerks mit jeder Internetverbindung eingerichtet werden, wenn der Rechner vorher an die Domäne angebunden wurde.

 

Bisherige Konfiguration:
Ich habe eine sog. Service-Domain "abc-service.de" und als Sub-Domain "outlook.abc-service.de", sowie "autodiscover.abc-service.de" angelegt. Als interne und externe Adresse am Exchange habe ich "outlook.abc-service.de" eingetragen. Die Pfade funktionieren auch. Damit soll/ist der Server von "außen" erreichbar.

 

Wir haben also "Verein1@domainA.de", "Verein2@domainB.de", "outlook.abc-service.de"
"autodiscover.abc-service.de".

 

Beim Nameserver von "abc-service.de" habe ich einen HOST A Eintrag für "autodiscover.abc-service.de" und outlook.abc-service.de auf die feste IP des Server eingetragen.

 

Beim Nameserver von "Verein1@domainA.de" habe ich einen CNAME Eintrag von "autodiscover.domainA.de" zu "autodiscover.abc-service.de" angelegt.

 

Beim Nameserver von "Verein2@domainB.de" habe ich einen CNAME Eintrag von "autodiscover.domainB.de" zu "autodiscover.abc-service.de" angelegt.

 

Zudem ist am Exchange ein Multidomain-Zertifikat mit folgenden Einträgen installiert:
outlook.abc-service.de
autodiscover.abc-service.de
autodiscover.domainA.de
autodiscover.domainB.de

 

Gebe ich im Browser  https://outlook.abc-service.de/autodiscover/autodiscover.xml ein, so wird die Authentifizierung abgefragt. Nach Eingabe der Daten kommt die Fehlermeldung:

<Autodiscover>
<Response>
<Error Time="12:26:05.7398351"Id="366275129">
<ErrorCode>600</ErrorCode>
<Message>Ungültige Anforderung</Message>
<DebugData/>
</Error>
</Response>
</Autodiscover>

 

Wo liegt der Fehler? Ich komme nicht drauf. Sind die "Weiterleitungen" an die Service Domain bei Autodiscover nicht möglich?

 

Es wäre super, wenn mir hier jemand einen Tipp geben könnte.

 

Gruß,
Pit

bearbeitet 23. November 2016 von peterg

[Dukel 436]

Ich wollte jetzt nicht alles lesen, aber um Rechner aus anderen Domänen oder einer Workgroup zu verbinden musst du Outlook Anywhere (Im Outlook) konfigurieren.

[peterg 11]

Hallo,

 

Outlook 2016 verbindet sich nur über autodiscover.  Aber auch wenn ich die Daten manuell eingebe kommt eine Fehlermeldung, dass der Server nicht gefunden wird. Ich habe es auch schon bei meinem Rechner mit Outlook 2013 vergeblich versucht.

 

Gruß,

Peter

bearbeitet 23. November 2016 von peterg

[Dukel 436]

Outlook Anywhere!

Es hat nichts mit Autodiscover zu tun.

 

http://www.msxfaq.de/exchange/clients/oaclient.htm

[NorbertFe 1.799]

Für Outlook 2016 _muss_ Autodiscover fehlerfrei konfiguriert werden, da eine manuelle Konfiguration von Outloook Anywhere oder Mapi/http nicht mehr möglich ist.

 

Bye

Norbert

[peterg 11]

Tja, fehlerfrei! Das ist wohl das Problem. Ich habe keine Ahnung was ich noch machen kann.

 

Die Notlösung ist natürlich OWA. Das funktioniert ja einwandfrei. Aber mich wurmt es schon.

 

Ich habe gerade mal die Methode mit dem XML-File ausprobiert (Method 2 - HowToOutlook). Damit funktioniert tatsächlich Outllok 2016, aber die öffentlichen Ordner/Kalender werden nicht gefunden (in OWA natürlich schon). E-Mail senden/empfangen, Kalendereinträge funktioniert (kann ich ja gleich mit OWA prüfen). Also auch nicht der Hit, aber interessant. :-(

 

Mal sehen ob noch jemand einen heißen Tipp hat.

 

Gruß,

Peter

[NorbertFe 1.799]

Autodiscover der einzelnen Domains brauchst du doch eigentlich nicht auf einen cname zu legen. Versuch mal direkt auf die ip des Servers. Was sagt der Remote connectivity analyzer?

[peterg 11]

Hallo, ich habe nun den CNAME Eintrag gelöscht und autodiscover.domainA.de mit einem A-Record mit der festein IP-Adresse verbunden. Anbei der Analyzer-Test (Outlook Autodiscover-Test) als PDF. Da blicke ich nicht mehr durch. Scheinbar paßt was nicht mit den Zertifikat bei unserem Provider nicht.

 

Ich bin langsam bereit einen Profi das Thema beheben zu lassen. Kannst Du jemanden empfehlen. Natürlich alles auf Rechnung.  Es kann ja nicht alles so falsch sein, da ja viel funktioniert.

 

Gruß,

Pit

 

Microsoft Connectivity Analyzer.pdf

[NorbertFe 1.799]

Dein Autodiscover funktioniert nicht "richtig".

 

Was definitiv nicht paßt:

Validating the certificate name.

Certificate name validation failed.

Additional Details

The Microsoft Connectivity Analyzer couldn't parse the common

name from certificate subject OU=Domain Control Validated.

 

Wie lautet denn der common Namen deines Zertifikats?

[peterg 11]

Hallo,

 

als CN habe ich damals die Service-Domain "outlook.abc-service.de"  (ist der Antragsteller des Zertifikats) eingetragen (also nicht domainA.de oder domainB.de oder abc-service.de), da wir ja zwei unterschiedliche Mail-Domains auf den Exchange haben. Über die Service-Domain ist der Exchange erreichbar. Das mit der Service-Domain hat sich für mich schon plausibel angehört, wenn man zwei unterschiedliche Mail-Domains hat.

 

Gruß,

Pit

bearbeitet 24. November 2016 von peterg

[NorbertFe 1.799]

Steht der cn auch als san drin?

[peterg 11]

Hallo,

 

nein! Als SAN stenen nur die drei "autodiscover"-Adressen drin.

 

SAN:

autodiscover.abc-service.de
autodiscover.domainA.de
autodiscover.domainB.de

 

CN:

outlook.abc-service.de
 

Gruß,

Peter

bearbeitet 25. November 2016 von peterg

[Dukel 436]

Wenn SAN gesetzt ist muss der CN auch im SAN stehen.

[NorbertFe 1.799]

Genau das war der Hintergrund der Frage. ;)

[peterg 11]

Hallo,

 

ist die Lösung wirklich so einfach? Nur noch einen SAN-Eintrag im Zertifikat ergänzen (also ein neues Zertifikat ausstellen lassen). Wie kann ich das eigetlich im aktullen Zertiifkat prüfen? Müßte der "Aussteller" nicht dann automatisch den CN auch als SAN setzen? Ich habe beim Zertifikat neben dem CN halt einfach auch die SANs beim Beatragen angegeben.

 

Ich habe hier auch einen interessanten Artikel gefunden "Autodiscover with multiple domains and single name certificate". Damit habe ich etwas rumgespielt, wobei ich die internen DNS-Einträge schon so gemacht hatte (Split-DNS). Laut dem Artikel benötigt man nur einen Namen im Zertifikat. Ist das dann egal ob trotzdem noch SANs drin sind?

 

Beim internen DNS (unsere Domäne heißt: domäne.local) gibt es nun unter den Forward-Lookupzonen eine zusätzliche primäre Zone "outlook.abc-service.de" mit einem Host-A Eintrag auf den Exchange Server.

Zudem ist unter domäne.local/_tcp der SRV-Eintrag _autodiscover._tcp.outlook.abc-service.de mit dem Port 443 vorhanden.

 

Irgendwie fehlen mir auch die Einträge für die eigentlichen Domains "domainA.de" und "domainB.de" am intenen DNS. Werden am internen DNS keine Einträge dafür benötigt? Z.B. eine interne Zone "domainA.de" mit dem SRV Eintrag?

 

 

Beim externen DNS (Mail-Domain "outlook.abc-service.de") habe ich dann den SRV Eintrag

_autodiscover._tcp.outlook.abc-service.de auf die feste IP hinzugefügt und den A-Record Eintrag "autodiscover.abc-servce.de" gelöscht. Somit gibt es dort nun den SRV-Eintrag und einen A-Record for "outlook.abc-service.de" auf die feste IP.

 

Jetzt frage ich mich auch, was für Einträge (A-Record, CNAME, SRV) müssen bei den externen DNS-Servern der eigentlichen Domains "domainA.de" und "domainB.de" vorhanden sein um hier irgendwie auf "outlook.abc-service.de" weiterzuleiten?

 

--> Funktioniert aber immer noch nicht :-(

 

Alles in allem kenne ich mich da einfach nicht aus und probiere nur rum. Ich bin schon froh, dass so alles läuft. Ich bin nun soweit, dass wir einen Profi das Thema lösen lassen. Ich bin sonst noch weiter gefrustet. Das kostet dann ein paar Euros, aber dann paßt auch alles. Ich kann hier noch Stunden damit verbringen und möchte auch nicht weiter eure Zeit verschwenden.

 

Könnt Ihr mir jemanden empfehlen, der das remote machen kann?

 

Gruß,

Pit

bearbeitet 26. November 2016 von peterg