Autodiscovery (Extern)

[Knaeckebrot93 0]

Guten Tag zusammen,

 

wir haben zurzeit in der Firma das Problem, dass Exchange autodiscovery über intern einwandfrei funktioniert, es aber übers Internet Probleme gibt.

 

Das Problem ist, dass wir eine Website auf strato gehostet haben die z.B. unter test.de erreichbar ist.

Um Owa etc nutzen zu können wurde auf strato noch eine Subdomain remote.test.de erstellt, welche auf die öffentliche Ip der Firma selbst zeigt.

 

Unsere Emails versenden und empfangen wir alle mithilfe "Benutzername@test.de" .

 

Wenn ich nun aber über https://testconnectivity.microsoft.com/ einen Autodiscovery test fahre versucht Outlook (bzw. der Microsoft test) immer auf "https://test.de :443/Autodiscover/Autodiscover.xml zuzugreifen. Da die Website test.de aber auf Strato selbst gehostet ist, wird logischerweise nicht auf unseren Exchange Server, sondern auf einen Server von Strato für Autodiscovery zugegriffen und der Autodiscovery test schlägt jedes mal fehl.

 

So wie ich gelesen habe entnimmt Outlook für Autodiscovery den CAS immer aus der Email Adresse (der Teil nach dem @) .

Wie kann ich nun am besten vorgehen um auch aus dem Internet heraus Autodiscovery nutzen zu können habt ihr da Ideen?

Ist es vlt irgendwie möglich im Exchange die Standart Domain für Autodiscovery von "test.de" auf "remote.test.de" zu ändern ?

bearbeitet 2. März 2016 von Knaeckebrot93

[testperson 1.538]

Hi,

 

eine Subdomain autodiscover analog zur remote.test.de anlegen und im Zertifikat ebenfalls den FQDN autodiscover.test.de inkludieren.

Alternativ ginge es noch über einen SRV Record. Würde ich aber nicht machen.

 

Gruß

Jan

[Knaeckebrot93 0]

Hi, danke für deine Antwort.

 

Auf Strato habe ich bereits zum testen die Subdomain autodiscover.test.de angelegt, welche auf unsere öffentliche IP Verweist.

Der Microsoft Test bzw. OWA, Outlook etc. verwenden aus irgendwelchen Gründen aber trotzdem nur "test.de" anstelle von "autodiscover.test.de" für Autodiscovery.

[testperson 1.538]

Evtl. pfuscht Strato dazwischen, indem es tatsächlich eine autodiscover.xml an der Stelle gibt die dann auf die Strato Mail Server weiterleitet.

Ein Screenshot der Fehler beim MS Test könnte helfen.

[Knaeckebrot93 0]

Ich habe mich geirrt.

 

Es wird über den Connectivitätstest erst versucht auf test.de zuzugreifen. Unter dieser Domain gibt der Test aus The "Autodiscover service couldn't be contacted successfully by any method."

 

Anschließend versucht es der Test über autodiscover.test.de. Da auch dieser Punkt ein rotes Kreuz hatte dachte ich zunächst auch hierüber wäre kein Dienst erreichbar, allerdings wird darüber der Exchange erreicht und es gibt ein Zertifikatsproblem, dass sich wie folgt außert:

 

Schritt 1: Attempting to resolve the host name autodiscover.test.de in DNS.

            

The host name resolved successfully.

 

Schritt 2: Testing TCP port 443 on host autodiscover.test.de to ensure it's listening and open.

               The port was opened successfully.

 

Schritt 3: Testing the SSL certificate to make sure it's valid.

                The SSL certificate failed one or more certificate validation checks.

 

Unterpunkte von Schritt 3:

                The Microsoft Connectivity Analyzer is attempting to obtain the SSL certificate from remote server autodiscover.test.de on port 443.

                The Microsoft Connectivity Analyzer wasn't able to obtain the remote SSL certificate.

Additional Details:

The certificate couldn't be validated because SSL negotiation wasn't successful. This could have occurred as a result of a network error or because of a problem with the certificate installation.

 

 

Es scheint sich also um ein Zertifikatsproblem zu handeln.

 

Nun habe ich auf unserem Exchange nochmal nachgesehen und habe bemerkt, dass im Zertifikat statt "autodiscover.test.de"  "AutoDiscover.test.de" eingetragen wurde.

Sind Domains die in einem Zertifikat eingetragen wurde Case Sensitive, und könnte das bereits das Problem sein?

[testperson 1.538]

Ist das Zertifikat von einer eigen CA im Unternehmen oder ist es ein gekauftes?

Der Exchange ist up2date?

[Knaeckebrot93 0]

Das Zertifikat ist selbstsigniert von einer CA im Unternhemen ( Wurde direkt über die Exchange 2013 Weboberfläche erstellt) .

 

Ja der Exchange ist auf dem neusten Stand.

 

PS: Ich habe beim Microsoft Connectivity Test den Haken bei Ignore trust for SSL Aktiviert, daher sollten meinem Verständnis nach ja auch selbstsignierte Zertifikate durch den Test akzeptiert werden.

bearbeitet 2. März 2016 von Knaeckebrot93

[testperson 1.538]

Die Zertifikatskette (falls vorhanden) ist am Exchange installiert?

Der Haken "Ignore SSL Trust" ist beim Analyzer gesetzt?

443 wird direkt auf den Exchange genattet?

Die Zertifikate sind SHA1 oder SHA256?

Der Exchange (IIS) nimmt <TLS1.0 Verbindungen an?

[Knaeckebrot93 0]

Also Zertifikatskette ist meiner Meinung nach keine vorhanden, ich bin bei Zertifikaten leider aber echt kein heller Kopf :( .

Da das Zertifikat über die Exchange 2013 Weboberfläche erstellt bzw. installiert wurde und das Zertifikat bei allen anderen Domains die darin eingetrage wurden einwandfrei funktioniert denke ich mal es ist unnötig da weitere Zertifikatsketten einzutragen ( Wir haben in der Firma ja auch keine PKI o.ä.) .

 

Der Haken im Analyser wurde gesetzt.

Für 443 wurde eine Portweiterleitung am Router erstellt die auf den Exchange zeigt.

Unterzeichnungs algorithmus ist : PKCS #1 SHA-1 mit RSA-Verschlüsselung

<TLS 1.0 muss ich gleich mal nachgucken , habe jetzt nur grade für die nächsten 2 Std einen Termin.

[testperson 1.538]

Also ist es ein self-signed Zertifikat. Dann nimm ein paar € in die Hand und lass dir z.B. von PSW ein SAN Zertifikat austellen.

[Knaeckebrot93 0]

Ist das für einen reibungslosen Ablauf wirklich nötig?

Wir sind halt eine kleinere Firma und da ist es kein großer Auwand bei den paar Clients mal ab und zu bei Änderungen das Zertifikat neu zu installieren.

Wenn du mir jetzt aber sagst, dass die Probleme durch das Selbststignierte zertifikat entstehen könnten würde ich natürlich auch ein von einer öffentlichen CA unterschriebenes Zertifikat bestellen.

[testperson 1.538]

In deinem Fall:

 

- Konfiguriere SplitDNS

- Pass ggfs. die URLs der virtuellen Verzeichnisse an

- Binde ein Zertifikat einer trusted CA ein

[Nobbyaushb 1.362]

Ist das für einen reibungslosen Ablauf wirklich nötig?

Wir sind halt eine kleinere Firma und da ist es kein großer Auwand bei den paar Clients mal ab und zu bei Änderungen das Zertifikat neu zu installieren.

Wenn du mir jetzt aber sagst, dass die Probleme durch das Selbststignierte zertifikat entstehen könnten würde ich natürlich auch ein von einer öffentlichen CA unterschriebenes Zertifikat bestellen.

Self-Signed-Cert sind gar nicht supportet.

 

Entweder eigene PKI (und dann richtig) oder besser ein gekauftes Cert.

 

Die gibt es mittlerweile für kleines Geld und alle Probleme sind weg.

 

Sicherstellen, das deine internen und externen URL gleich sind, Split-DNS hat Jan schon angesprochen.

 

Was sagt der Strato-Support zu deinem Problem?

 

Wenn man an den externen URL schraubt kann das bis zu 48h dauern, bis die durch die weltweiten DNS-Server durch sind.

 

bearbeitet 5. März 2016 von Nobbyaushb

[xergo 0]

Es muss nicht einmal das UCC Zertifikat sein. Habe auch kürzlich eines gekauft für unter 50 Euro mit 1 Jahr Laufzeit.

 

Ob das Zertifikat auf "autodiscover.test.de" oder "AutoDiscover.test.de" ausgestellt wird ist egal. Ich glaube Groß- /Kleinschreibung spielt keine Rolle. Habe gerade bei uns geschaut und dort ist das Zertifikat auch auf AutoDiscover.domain.de ausgestellt.

 

Grüße

[NorbertFe 1.809]

3jahre 99€ ist so der Normalpreis. Wer Kauf denn Zertifikate für 1jahr?