Passwortabfrage für Postfach anderer Mail Domäne

[CoolAce 17]

Hallo zusammen,

 

ich bin etwas ratlos und finde auch nach längerem Suchen nicht nach was genau ich googeln muss.

 

Ich habe folgendes Problem, ich habe einen Exchange2013 mit CU6 und Outlook 2013 sowie eine Active Directory Domäne domäne1.de,

weiterhin sind im Internet 2 Domänen registriert, die Domäne1.de und die Störung.de Domäne, beide sind entsprechend auf dem Exchange konfiguriert und passen soweit.

 

Ich habe auf dem Exchange ein Postfach info@Störung.de angelegt und dem Benutzer User1 über die Postfachstellvertretung den Vollzugriff auf das Postfach gegeben sowie auf das Postfach

Abteilung@Domäne1.de, klappt wunderbar  er bekommt alle Mails von user1@domäne1.de, Abteilung@Domäne1.de und sieht die info@Störung.de Mails, keine Passwortabfrage und nichts, ideal Admin Glücklich.

 

Wenn der Benutzer nun von zu Hause, ohne VPN, Outlook startet kommt eine Abfrage von Benutzername und Kennwort, ist OK und passt, dann beginnt Outlook die Postfächer zu aktualisieren

und prompt kommt dauernd für info@Störung.de eine Passwortabfrage die ich nicht wegbekomme, wenn ich diese wegklicke kommt die automatisch nach ein paar Minuten wieder.

Alle anderen Postfächer die in der Domäne1.de sind funktionieren.

 

Die Störung.de haben wir erst vor 1 Woche gekauft, sonst haben wir keine Domänen mehr.

 

Was habe ich vergessen zu konfigurieren ??

 

Gruß

 

Coolace

 

[RobertWi 81]

Moin,

 

hast Du im DNS für die Domäne "störung.de" einen SRV-Eintrag für Autodiscover konfiguriert?

 

Wenn nein: Enthält das Zertifikat vom Exchange auch den Namen "autodiscover.störung.de"?

 

Bei zweimal Nein hast Du die Ursache wahrscheinlich gefunden.

[CoolAce 17]

Das ist ein guter Tipp, ich kontrolliere ihn mal

Muss das Zertifikat unbedingt die Domäne enthalten ?

[RobertWi 81]

Jein.

 

Mit einen SRV-Eintrag für Autodiscover sind auch andere Lösungen denkbar. Das kann aber wieder nicht jedes mobile Gerät.

[CoolAce 17]

Vielen Dank für die Information und Unterstütztung

[CoolAce 17]

Hat soweit super geklappt und war auch des Rätsel Lösung, ich habe nur festgestellt das er beim Starten dann mittels Sicherheitshinweis festellt das der Name auf dem Sicherheitszertifikat ungültig ist, was ja logisch ist

da er nicht mit drauf ist. Kann man die Meldung irgendwie abstellen, außer ein teures Zertifikat kaufen ?

und wenn ja was für ein Zertifikat genau brauch ich da ?  ich schätze mal ein Wildcard Zert. geht nicht

[RobertWi 81]

Moin,

 

ein Wildcard Zertifikat geht in Deinem Fall natürlich nicht, weil es ja andere Seconde Level Domänen sind.

 

Dann brauchst Du ein Zertifikat, dass mehre Namen hat, SAN oder UCC genannt.

[CoolAce 17]

Ich habe einen Redirect des DNS Eintrags  gemacht auf Domäne1.de.

 

Da outlook 2013 hier ja die Meldung "zertifikat der name auf dem sicherheitszertifikat ist ungültig xxx" bringt ist die Frage ob ich diese Meldung auch ohne Anschaffung eines solchen Zertifikats unterdrücken kann ?

[RobertWi 81]

Nein. Man kann die Fehlermeldung mit einem nicht-vertrauenswürdigen Herausgeber beheben, aber die Meldungen in Bezug auf ungültigen Namen oder abgelaufenes Zertifikat lassen sich nicht unterdrücken.

 

Du musst dafür sorgen, dass das Zertifikat als fehlerfrei vom Client anerkannt wird.

 

Was ist denn ein "Redirect im DNS"? Ein CNAME-Eintrag?

[CoolAce 17]

Da gebe ich dir Recht das wir um es sauber zu lösen ein Zertifikat kaufen sollten welches *.Domäne1.de und *.Störung.de beinhaltet, ist aber recht teuer für eine kleine Firma.

Ja, ich hab einfach auf den autodiscover Eintrag von Domäne1.de verwiesen.

 

Ich hab mal folgendes getestet, ich habe in der Registry den Wert ExcludeHttpsAutodiscoverDomain eingefügt und die Meldung ist weg, hab aber den Sinn dieses Keys nicht verstanden.

[RobertWi 81]

Na ja. 200 Euro pro Jahr für 3 Namen sollte sich auch eine kleine Firma leisten können.

 

Alternativ, wenn Du alle Clients kennst und kontrollieren kannst, kannst Du auch mit einer internen CA arbeiten. Die kostet nur ein wenig Zeit und stellt Dir dann jedes gewünschte Zertifikat aus,

 

Mit dem Registrykey hast Du den Autodiscover-Vorgang für diese Domäne komplett abgeschaltet. Du wirst dann damit keine neue Verbindung mehr herstellen können und bereits bestehende bekommen keinerlei Änderungen mit, solange sie keinen Zugriff auf das AD haben.

[CoolAce 17]

Ok, Danke für die Information. Eine neue Verbindung kann ich von extern schon herstellen, das klappt aber Sie werden wahrscheinlich keine Änderungen von extern mitbekommen

zumindest die Mails sehen sie

[RobertWi 81]

Mit "neue Verbindung" war das Anlegen eines neuen Profiles oder Postfaches gemeint. Bei diesem Vorgang findet auch ein Autodiscover-Vorgang statt, den Du deaktiviert hast.

 

Mit "Änderungen" waren administrative Änderungen gemeint, z.B. werden die Leute keine zusätzlichen Postfächer via Automapping bekommen.

[CoolAce 17]

Vielen Dank für die Unterstützung und zahlreichen Informationen.

OK, dann habe ich das verstanden und gilt wenn ich es richtig verstehe aber nur für externe Verbindungen über das Internet, über das LAN mit AD Bindung funktioniert das aber weiterhin ?

[RobertWi 81]

Wenn der Client im AD ist und Zugriff auf das AD hat, nimmt er zuerst den Service Connection Point, in dem man jede beliebige URL eintragen kann - da dann zum Zertifikat passt.