Probleme bei Outlook über HTTPS

[Dutch_OnE 39]

Guten Morgen,

 

ich möchte Outlook über HTTPS verwenden. Es funktioniert auch, allerdings mit einer Einschränkung.

 

Ausstattung:

Windows 2008 R2 Server mit Exchange 2010.

Selbsterstelltes Zertifikat

 

Mail-Domäne ist kunde.com

DynDNS Name ist kunde.dyndns.org

Mails werden über POP3 abgeholt, d.h. MX Eintrag liegt beim Provider

 

Das selbst erstelle Zertifikat ist auf den DynDNS Namen aufgestellt. Dieses und die Stammzertifizierungsstelle wurden auf dem Client installiert.

 

Outlook über https funktioniert damit soweit.

 

Das Problem:

Die Seite kunde.com hat einen Webshop und verwendet ein eigenes RapidSSL Zertifikat.

Nun kommt beim Outlook Start nach einiger Zeit der Sicherheitshinweis: autodiscover.kunde.com

 

Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein

 

Das Zertifikat ist ja auch für kunde.com ausgestellt, während die "HTTPS Verbindung" über kunde.dyndns.org kommt. Wenn ich den Vorgang bestätige funktioniert alles im Outlook.

 

Was kann ich machen, um diese Meldung nicht mehr zu erhalten?

 

autodiscover deaktivieren?

das Rapid Zertifikat zusätzlich auf dem Exchange ablegen?

autodiscover auf die andere URL umbauen?

...

 

Gruß Daniel

[RobertWi 81]

Moin,

 

ein Outlook-Client, der nicht Domänen-Mitglied ist, versucht "autodiscover.mail-domäne" aufzurufen um darüber Autodiscover zu machen.

 

Entweder baut ihr das Zertifikat neu und nehmt den Autodiscover-Eintrag dort auch mit auf.

 

Oder ihr macht einen SRV-Eintrag in DNS.

 

Hier schreibt Frank alles zum Thema Autodiscover, den SRV-Eintrag findest Du da auch:

MSXFAQ.DE - Autodiscover

[Dutch_OnE 39]

Hallo Robert,

 

ich habe in meinem DNS die Domäne kunde.local und dyndns.org.

Wenn ich das richtig verstanden habe, muss der srv Eintrag in die externe Domäne kunde.com.

 

D.h. ich lege diese Domäne dann an meinem Server zusätzlich an und lege dort den SRV rein oder?

 

Ich hatte das gerade gemacht und erreicht, dass die website kunde.com aus dem LAN nicht mehr zu erreichen ist. Muss da dann noch ein www Eintrag mit hinzu?

bearbeitet 12. Dezember 2012 von Dutch_OnE

[RobertWi 81]

Moin,

 

Du hast den Fehler mit internen Clients? Warum sind die nicht AD-Mitglied?

 

Normalerweise ist das ein "externes" Problem, dann also auf dem DNS für das Internet zu machen.

[Dutch_OnE 39]

Hallo Robert,

 

Ein Mitarbeiter arbeitet zeitweise von Unterwegs. Sein Notebook ist im auch AD eingebunden. Das Outlook mit RPCoverHTTPS funktioniert auch, aber es kommt halt der Zertifikatsfehler.

 

Als HTTPS Pfad ist kunde.dyndns.org eingetragen, dass autodiscover sucht aber nach kunde.com und für kunde.com gibt es ein weiteres Zertifikat (Webshop) welches zum Provider geht und nicht zum Exchange Server.

 

Wenn ich nun auf dem lokalen Server beim Kunden die Domäne Kunde.com im DNS mit dem srv/autodiscover Eintrag anlege, können alle Rechner aus dem LAN nicht mehr auf die Internetseite kunde.com zugreifen.

 

Frage1: Ist die Vorgehensweise überhaupt so richtig?

Frage2: Macht es Sinn in dieser Domäne einen zusätzlichen www Eintrag mit Verweis zum Provider anzulegen?

Frage3: Der Autodiscover sucht immer kunde.com. Kann man diesen z.B. zu kunde.dyndns.org ändern? kunde.com ist natürlich auch die Mail-domain-

 

GRuß

Daniel

[Sunny61 806]

Ich hatte das gerade gemacht und erreicht, dass die website kunde.com aus dem LAN nicht mehr zu erreichen ist. Muss da dann noch ein www Eintrag mit hinzu?

 

Jepp, Host-Eintrag mit www auf die IP des Webservers eintragen.

[RobertWi 81]

Zu den Fragen

 

1. Kann man ohne nähere Infos zum gesamten Netzwerk nicht beantworten.

2. Vermutlich ist es erforderlich, aber siehe Antwort 1. (allerdings schadet es auch nichts)

3. Siehe meinen Eingangslink; das kann im Outlook geändert werden, aber nur lokal auf dem Outlook-Client

[Dutch_OnE 39]

Folgendes habe ich gemacht:

 

http://stephan-mey.de/autodiscovery-dns-eintrag-srv-erstellen/

 

die DNS Domäne habe ich wie die Maildomäne, also kunde.com genannt.

Bei Host der diesen Dienst anbietet, habe ich kunde.dyndns.org geschrieben.

 

Outlook baut die Verbindung auf und nach 1 Minute kommt die Zertifikatsfehlermeldung.

 

Der autodiscover Eintrag geht auf kunde.com nimmt das Zertifikat und stellt fest das kunde.com ungleich https://kunde.dyndns.org ist und erwartet dann eine Bestätigung dass er damit weiterarbeiten darf.

 

Was ich nicht verstehe:

Bei einem anderen Kunden habe ich das gleiche, bis auf das ich für die Adresse owakunde.de eine thawte Zertifikat verwende. Diese Mail Domäne gibt es natürlich auch nicht so, aber wenn ich dann im Outlook https://owakunde.de eingebe, funktioniert es ohne diese Fehlermeldung.

[RobertWi 81]

Wenn die Meldung erst nach einer Minute kommt, ist das Problem mit hoher Wahrscheinlichkeit nicht bei Autodiscover, sondern eher bei der OAB- oder der EWS-Url zu suchen.

 

Nutze die "E-Mail-Autokonfiguration testen..."-Funktion von Outlook, um die übertragenen URLs für Autodiscover, OAB, Abwesenheitsassistent und Verfügbarkeitsdienst zu prüfen. Diese URLs müssen zum Zertifikat passen.

[Dutch_OnE 39]

Hallo Robert,

 

ich habe mit dem DNS Eintrag die Gefahr andere Dienste zu dieser Domäne zu beeinflussen. Daher werde ich Deinen anderen Vorschlag verfolgen und das Zertifikat erweitern.

 

Einträge:

- der DynDNS Name

- die Maildomäne.com

- die lokale Domäne.local

- der Servername

- Servername.lokale_Domäne.local

- autodiscover.lokale_Domäne.local

- autodiscover.Maildomäne.com

 

Habe ich noch was vergessen?

 

Gruß Daniel

[RobertWi 81]

Ob Du was vergessen hast, können wir aus der Ferne nicht sagen, da wir Deine Infrastruktur nicht kennen.

 

Du hast da aber eher zu viel drin.

 

Aber da das ja ein internes Zertifikat ist, ist das nicht so schlimm. Bei Fehlern baust Du halt ein neues.