Outlook Anywhere - Autodiscover mehere Domains

[David1099 10]

Guten Morgen zusammen,

 

Ich habe aktuell ein Problem mit Exchange 2010 und Outlook Anywhere, vielleicht habt Ihr dazu noch eine zündende Idee? J Der Beitrag von Altith Anar vom 29.06 trifft nicht ganz meine Frage.

 

Exchange 2010  Hauptdomain.de mit öffentlichem Zertifikate  für *.hauptdomain.de

 

Outlook Anywhere läuft mit @hauptdomain.de einwandfrei.

Jetzt haben wir eine weitere Domain: nebendomain.de welche bei einigen Usern als Hauptadresse im Exchange eingetragen ist, damit diese als nebendomain.de versenden.

 

Wenn diese User jetzt ein Outlook Anywhere eingerichtet bekommen, wird beim starten von Outlook Anywhere eine Zertifikatssicherheitsabfrage angezeigt für autodiscover.nebendomain.de angezeigt.

In den Einstellungen für Exchange-Proxy Einstellungen ist die Hauptdomain angegeben, daher das als Std. beim User die Nebendomain angegeben ist wird anscheint das autodiscover mit der Nebendomain zusammen gesetzt.  Was zu einem zusätzlichen Dialog führt.

 

Kann ich diesen Pfad ändern, so das autodiscover über die Hauptdomain angefragt wird, oder ansonsten die Meldung unterdrücken lassen?

 

Eine alternative hierfür wäre ein SAN-Zertifikat, wir haben gerade ein *.hauptdomain.de für 3 Jahre gekauft, daher würde ich es gerne zunächst nutzen.

 

Danke für die Rückmeldungen

[testperson 1.527]

Hi,

 

wenn es nur um Clients mit Outlook für die Nebendomain geht (kein EAS), dann kannst du im DNS des Providers einen SRV Record setzen, der Autodiscover zur Hauptdomain schickt. Alternativ sollte auch ein CNAME autodiscover.nebendomain.de -> autodiscover.hauptdomain.de funktionieren.

 

Gruß

Jan

[David1099 10]

Okay, ist ja eine Idee. Der Sicherheitshinweis der beim Outlook Anywhere gezeigt wird ist aber auch autodiscover.nebendomain.de, selbst wenn ich es umleite wird ja nicht gültig, oder? 

 

Man müsste hinbekommen, dass die Autodiscover abfrage auf die Hauptdomain anfragt wird, damit auch die Rückmeldung kommt das, dass Zertifikat gültig ist, oder ist das ein denkfehler von mir?

bearbeitet 1. Juli 2015 von David1099

[NorbertFe 1.799]

Gibt es einen "Hosteintrag autodiscover.nebendomain.de"? Falls ja muß dieser Name auch ins Zertifikat. Alternativ als Service-Record wie oben erwähnt, dann muß aber der Hosteintrag im DNS weg und deine Handys für die Neben-Domain User finden dann die Einstellungen nicht mehr automatisch.

 

Bye

Norbert

[David1099 10]

Der SRV-Eintrag war die Lösung! VIelen Dank für die schnelle Unterstützung!

[SimonFB 10]

Ich schließe mich hier einmal an - die Problematik ist bei mir sehr ähnlich.

 

Ausgangssituation:

-Exchange 2007.

-Eine GbR, mehrere Firmen, noch mehr Domains.

-Ein Mailserver, von Aussen erreichbar über 62.***.***.*** bzw. "mail.****ingenieure.com"

 

Bisher saßen quasi alle (>100) Mitarbeiter im Haus, die CA für das selbstsignierte Zertifikat wird über die AD vertrauenswürdig. Alles schick.

 

Nun gibt es 6 neue Mitarbeiter die von unterwegs RPC-over-Http(s) nutzen sollen. Habe also das Zertifikat auf den Notebooks installiert, den Proxy eintragen und: lief. Exakt bis zum ersten Neustart von Outlook (2013). Dann hat Outlook bei jedem Start über das (unkonfigurierte) Autodiscover den Proxy-Eintrag verworfen.

Also habe ich bei All-Inkl für die Unterdomäne ****projekt.com einen SRV Eintrag im DNS vorgenommen:
Name: _autodiscover._tcp Typ: SRV Prio: 0 Data: 0 443 mail.****ingenieure.com

Seitdem funktioniert das Autodiscover problemlos.

 

Nun bekomme ich aber beim Start die Fehlermeldung:

Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyservers vor. Der Name des Sicherheitszertifikates ist ungültig oder entspreicht nicht dem Namen der Zielwebsite 'mail.****ingenieure.com'.

 

Mein Problem ist aber: Im Zertifikat sind meiner Meinung nach alle möglichen beteiligten Domains als 'Alternative Antragstellernamen' eingetragen:

DNS-Name=mail01
DNS-Name=mail01.internedomaene.ads

DNS-Name=mail.***ingenieure.com

DNS-Name=****projekt.com

DNS-Name=autodiscover.****projekt.com

 

Hat jemand einen Tipp für mich wie meine Fehlersuche weitergeht?

 

Viele Grüße,

Simon

[testperson 1.527]

Hi,

 

wo ist denn im Zertifikat autodiscover.****ingenieure.com? Generell sollte es mit den Einträgen im Zertifikat auch ohne SRV Record gehen, sofern die DNS Einstellungen und die virtuellen Verzeichnisse passen. Vermutlich gibt es irgendwo noch einen autodiscover Eintrag für die nicht funktionierende Domain oder ein Wildcard Eintrag.

 

Aber auch hier könnte es nicht schaden, ein vertrauenswürdiges Zertifikat zu kaufen.

 

Gruß

Jan

[SimonFB 10]

wo ist denn im Zertifikat autodiscover.****ingenieure.com?

Steht mit drin, neben etwa 40 anderen Einträgen. :rolleyes: Hatte nur nicht alle zitiert.

 

 

Generell sollte es mit den Einträgen im Zertifikat auch ohne SRV Record gehen, sofern die DNS Einstellungen und die virtuellen Verzeichnisse passen.

Da muss ich mit einer Wissenslücke glänzen. Wäre der "richtige" Weg dann eine Subdomain "autodiscover.****projekt.com" mit A-Record auf 62.***.***.***?

 

 

Vermutlich gibt es irgendwo noch einen autodiscover Eintrag für die nicht funktionierende Domain oder ein Wildcard Eintrag.

Bei All-Inkl sehe ich für die "****projekt.com" nichts. Oder meinst du eine andere Stelle?

 

 

Aber auch hier könnte es nicht schaden, ein vertrauenswürdiges Zertifikat zu kaufen.

Ja, auf jeden Fall! Das wird aber noch ein bißchen dauern,er Kunde expandiert und kommt alle 4 Wochen mit neuen Domains um die Ecke.

 

Grüße aus Berlin,

Simon

[testperson 1.527]

Bei All-Inkl gibt es meine ich immer einen Wildcard Eintrag im DNS. Was passiert denn wenn du autodiscover.***projekt.com anpingst? Meldet sich der Webserver? Wenn dem so ist, solltest du entweder den Wildcard im DNS entfernen (lassen) oder einen A-Record für Autodiscover setzen.

[SimonFB 10]

Stimmt, die Wildcard ist drin. Ich habe heute morgen den SRV-Record rausgeworfen und durch einen A-Record für Autodiscover ersetzt. Inzwischen sind die Änderungen im DNS angekommen, ein NsLookup auf den Autodiscover liefert die richtige 62.***.***.*** IP. Autodiscover funktioniert auch. Die Zertifikatswarnung bleibt aber leider.

[testperson 1.527]

Hi,

 

was passiert denn wenn du OWA aufrufst? Was für ein Zertifikat zeigt der IE dann an?

 

Gruß

Jan

[SimonFB 10]

Sowohl über https://mail.***ingenieure.com/owa,als auch über https://autodiscover.****projekt.com/owa bekomme ich das erwartete Zertifikat.

Was mir aber gerade beim Testen aufgefallen ist: Unverschlüsselt über Tcp-Port 80 stellen wir einen anderen Dienst zur Verfügung. Aber aufgrund der Zertifikatswarnung würde ich das als Fehlerursache ausschließen.

[NorbertFe 1.799]

Was bekommst du denn, wenn du nur die Domain mit https aufrufst, also ohne autodiscover?

[SimonFB 10]

Hallo Norbert,

 

vielen Dank für diese gut platzierte Frage. Tatsächlich stoße ich hier auf einen Zertifikatsfehler, weil All-Inkl sich mit einem Zertifikat für *.kasserver.com meldet.

 

Wenn ich nun die Reihenfolge der Abfragen beachte, scheitert der zweite Schritt, bevor der Dritte zielführend wäre.

1. SCP im AD => kann extern nicht klappen.

2. https://****projekt.com/autodiscover/autodiscover.xml => muss auch scheitern, da der Webspace nichts mit dem Exchange zu tun hat. Führt aber zu o.g. Zertifikatsfehler.

3. https://autodiscover.****projekt.com/autodiscover/autodiscover.xml=> Sollte sauber auflösen, wenn Zertifizierungsstelle vertrauenswürdig.

 

Und das sagt der Remote Connectivity Analyzer dazu:

Und an Euch beide meinen herzlichen Dank für Eure Geduld und Unterstützung bis hierher!

[NorbertFe 1.799]

Hast du kein "gekauftes" Zertifikat?