Jump to content

Outlook Anywhere - Zwischenzertifikat abfrage


Direkt zur Lösung Gelöst von NorbertFe,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

 

vor 28 Minuten schrieb Vinc211:

Habe die Änderungen gemacht und den SRV Eintrag beim Provider gelöscht und nur autodiscover.domain.tld hinzugefügt bekomme das Problem aber weiterhin.

Welchen Eintrag hast du denn gelöscht? Den Domain Einträg oder den SRV Eintrag? Was passiert eigentlich, wenn du https://domain.tld/autodiscover/autodiscover.xml in einem Browser aufrufst?

bearbeitet von NorbertFe
Link zu diesem Kommentar

Es gab einen SRV Eintrag mit protokoll etc. Habe ihn gegen den A Record autodiscover.domain.tld ersetzt.

 

Wenn ich https://owa.domain.tld/autodiscover/autodiscover.xml aufrufe bekomme ich:

<Autodiscover><Response><Error Time="14:32:10.9370600" Id="2929850477"><ErrorCode>600</ErrorCode><Message>Ungültige Anforderung</Message><DebugData/></Error></Response></Autodiscover>

Also das was ich erwartet habe.

bearbeitet von Vinc211
Link zu diesem Kommentar

Du sollst auch nicht owa.domain.tld aufrufen, sondern https://domain.tld/autodiscover/autodiscover.xml

Menno. Bisschen Mitdenken wäre schon hilfreich. :)

Abgesehen davon, ist das so schwer zu verstehen, dass Outlook immer die selbe Reihenfolge abarbeitet und logischerweise dein SRV Record nie für das Problem verantwortlich war? ;)

bearbeitet von NorbertFe
Link zu diesem Kommentar

Intern und extern die selbe Antwort mit dem selben Zertifikat? Also landest du immer beim Provider. Damit wären wir wieder bei den drei Möglichkeiten, die man in dem Fall hat:

1. Dein Webserver beim Provider antwortet korrekt mit 404 auf Dinge die er nicht kennt. Wie und ob das geht, kann ich dir nicht sagen.

2. Dein Webserver reagiert überhaupt nicht auf ssl, was heutzutage aber ggf. auch keine besonders kluge Idee ist, aber evtl. schnell fürs Troubleshooting funktionieren würde (vorausgesetzt du hast kein hsts auf der Seite konfiguriert)

3. Du löschst den Domain Eintrag, dann kann _niemand_ mehr https://domain.tld aufrufen und das bedeutet, dass der _gemeine_ User eben https://www.domain.tld eintippen muss. (die billigste Lösung die immer geht, aber nicht immer auf Gegenliebe stößt bei erwähnten Nutzern)

 

Bye

Norbert

bearbeitet von NorbertFe
Link zu diesem Kommentar

okay ich muss mich korrigieren.

internes netz und externes netz bekomen per https://owa.domain.tld/autodiscover/autodiscover.xml Den Fehler 600

https://domain.tld/autodiscover/autodiscover.xml leitet mich auf unserer Website https://www.domain.tld/autodiscover/autodiscover.xml und zeigt einen 404 nothing found here.

https://exchange.domain.tld/autodiscover/autodiscover.xml von intern ist ebenfalls auf Fehler 600

https://exchange.domain.tld/autodiscover/autodiscover.xml von extern zeigt mir: Diese Verbindung ist nicht sicher. SEC_ERROR_UNKNOWN_ISSUER und dann kann ich per Ausnahme das Zertifikat des Providers erlauben.

 

Und ja der DC ist SSL fähig. IIS ist installiert.

bearbeitet von Vinc211
Link zu diesem Kommentar
  • Beste Lösung

Warum heißt dein Exchange eigentlich intern anders als extern? Warum gibts kein Split-DNS? Dann wäre das eventuell einfacher verständlich.

Wenn du dir die Reihenfolge des Autodiscoverprozesses vorn im Thread mal anschaust, dann dürfte doch verständlich werden, dass Outlook zuerst zu Nummer 1 (dem SCP) geht, allerdings funktioniert das NUR im internen LAN. Danach kommt Nr. 2 an die Reihe und das ist eben _immer_ https://domain.tld/autodiscover/autodiscover.xml (wobei domain.tld der Emaildomain des USERS entspricht). Erst danach kommt Nr. 3 https://autodiscover.domain.tld zum Tragen. Ist das jetzt verständlicher? Wenn dir also Nr. 2 einen Fehler liefert, dann geht Outlook nicht einfach weiter zu Nr. 3 sondern präsentiert dir den Fehler (dein fehlerhaftes Zertifikat).

 

Wie du das unterbinden kannst, hab ich dir im Posting weiter oben bereits geschrieben. Wenn du wissen willst, ob es wirklich daran liegt, dann kannst du am Client die nicht benötigten Autodiscoverschritte per GPO deaktivieren. Das würde ich dir aber nur empfehlen, wenn du das für ALLE Clients hinbekommst (eher selten der Fall) und zweitens, wenn du den Server nicht im Griff hast (ich hab ja noch Hoffnung). Alternativ kauf dir einfach jemanden ein der dir hilft.

 

So ich hoffe, das war jetzt verständlich.

 

Bye

Norbert

Link zu diesem Kommentar

Naja, das eigentliche PRoblem ist ja nicht vorhanden. Ich bin davon ausgegangen das die Angezeigte Meldung wichtig ist. Sie ist es ja allerdings nicht, da Sur eine Information für den nicht funktionierenden weg darstellt. Somit muss ich auf die GPO Lösung zurückgreifen oder den Eintrag für *.domain.de löschen. (Den Post wo du dies beschreibst, erschien mir allerdings erst jetzt).

Link zu diesem Kommentar

Ja, aber das hab ich gefühlt vor einem Jahr auch schon geschrieben. ;) Du kannst natürlich auch deinen Webserver korrekt konfigurieren. ;) Dann mußt du nix löschen. Und GPO ist in dem Fall einfach der falsche Weg, weil du das für Handys und Konsorten ja nicht verwenden kannst. Und Nein ich gewöhne meinen Nutzern nicht das Wegklicken von Zertifikatsproblemen an.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...