Autodiscover / Zertifikatsfehlermeldung / SBS2011

[SBK 3]

Hallo Leute,

 

Ich habe mehrere SBS2011 erfolgreich installiert und hatte bisher nie das geringste Problem bezüglich Autodiscover. Aber bei einer Installation beisse ich mir die Zähne aus.

 

Also mal vorweg ich habe ein öffentliches Zertifikat für owa.domäne.ch gekauft und eingebunden. OWA läuft perfekt und alle Autodiscover-URL's sind auf owa.domäne.ch gemäss https://support.microsoft.com/en-us/kb/940726 angepasst. Bisher hat dies immer auf anhieb geklappt, nicht aber bei dieser Installation.

 

Da das Outlook eine Zertifikatsfehlermeldung autodiscover.domain.ch angezeigt hat, bin ich auf folgenden Artikel gestossen: http://www.thirdtier.net/2011/06/setting-up-autodiscover-for-sbs-2011/ dort wird empfohlen den CNAME-Eintrag autodiscover und alle Wildcardeinträge *.domäne.ch beim Provider zu entfernen. Anschliessend sollte man den SRV-Record im DNS anlegen. Muss ich diesen DNS-Eintrag für die interne Domain domain.local wie auch beim externen Provider domain.ch anlegen?

 

Alle internen Clients sind in der Domäne, ausser ein paar externe Aussendienstler welche über Outlook Anywhere zugreifen.

 

Würde es die Problematik entschärfen wenn ich ein Wildcard-Zertifikat für *.domain.ch kaufen würde, da dies dann sowohl für autodiscover.domain.ch wie auch für owa.domain.ch gelten wurde?

 

Bin für ein paar klärende Antworten dankbar...

 

Gruss SBK

 

 

 

[Nobbyaushb 1.471]

Moin,

welche Namen hast du im Cert stehen, nur owa.Domain.ch?

 

Wildcard ist m.E. zu teuer dafür, du brauchst nur zwei Namen, owa (oder wie auch immer) und autodiscover

 

Und natürlich sauberes Split-DNS.

 

;)

[Alith Anar 40]

Mit ein bischen googlen, findest du sehr Preiswerte SAN Zertifikate die neben der Root auch 3 Subdomains beinhalten.

3 Domains reichen vollkommen aus.

 

Intern sollte es mit der Konfioguration kein Problem geben. Ich habe bei mir auch nur extern autodiscover als Dienst(Service) konfiguriert.

 

Standardmässig meldet sich der SBS mit remote.**** im Inetrnet. Hast du da alles korrekt eingetragen?

bearbeitet 15. Juni 2015 von Alith Anar

[SBK 3]

Ich habe das Zertifikat owa.domain.ch (psw.net Lite für 39€ und für 3 Jahre) gekauft. Intern hatte ich bisher nie ein Problem, bei diesem Server resp. Outook erscheint aber jeweils eine Zertifikatsfehlermeldung.

 

Alle nachfolgenden Dienste habe ich überprüft und verweisen korrekt auf owa.domain.ch und wenn ich owa.domain.ch eingebe, lande ich auch auf dem SBS-Server resp. OWA, alles korrekt also.

 

Get-OwaVirtualDirectory | fl *url*
Get-EcpVirtualDirectory | fl *url*
Get-ActiveSyncVirtualDirectory | fl *url*
Get-OabVirtualDirectory | fl *url*
Get-WebServicesVirtualDirectory | fl *url*
Get-ClientAccessServer | fl *uri*

 

Merkwürdigerweise zeigt mir das Outlook aber ein Zertifikat des Providers an (Kreativmedia.ch) wenn kein Autodiscover-CNAME-Eintrag vorhanden ist und wenn ich einen anlege zeigt, er mir autodiscover.domain.ch an und nicht owa.domain.ch.

 

Den Autodiscover-SRV-Record muss ich in der local-Domain anlegen oder nicht?

 

Gruss SBK

bearbeitet 15. Juni 2015 von SBK

[Alith Anar 40]

Auf jeden Fall musst du den Service Record (oder die autodiscover Subdomain) bei deinem externen Domainbetreuer hinterlegen, damit die Informationen auch vom Internet herraus abrufbar sind (und an die richtige URL leiten).

 

Intern sollte eigentlich alles konfiguriert sein und läuft über den IIS als Autodiscover Webseite.

Da musst du manuell nichts ändern.

[SBK 3]

Normalerweise habe ich intern nie das geringste Problem, aber bei diesem Server resp. Autodiscover muss irgendwo der Wurm drin sein. Muss wohl nochmals alle Autodiscover-Dienste durchchecken.

 

Wie sieht es aus wenn ich ein Multidomain Zertifikat für 3 Subdomains kaufe domain.ch, remote.domain.ch und autodiscover.ch kaufe? Dann erübrigt sich der SRV-Eintrag richtig?

 

Hast Du einen Tipp wo man ein günstigstes Multidomain-Zertifikat kaufen kann? Besten Dank im voraus!

bearbeitet 15. Juni 2015 von SBK

[Alith Anar 40]

Auch schon PSW.net MultidomainZertifikat Bronce für 100 Euro bei 3 Jahren Laufzeit ...

Unabhängig vom Zertifikat benötigst du aber entweder einen URL Eintrag auf autodiscover (dann muss der mit im Zertifikat enthalten sein) oder einen SRV Eintrag (dann geht es auch ohne den Eintrag).

Du musst aber kein neues Zertifikat kaufen. Es geht genauso mit dem was du jetzt schon hast.

 

Was zeigt den bei dir

get-owavirtualdirectory |fl internalurl, externaurl an?

[SBK 3]

Da erscheint https://remote.domain.ch/owa/ eigentlich identisch wie bei anderen Installationen wo es intern einwandfrei klappt....

[NorbertFe 2.041]

Also eigentlich braucht er einen a-Record. Oder was genau meinst du mit Url Eintrag?

[Alith Anar 40]

Wenn die URL aber remote.<xyz.ch> lautet, warum holst du dir dann ein Zertifikat OWA.<xyz.ch> ... ?

 

Wenn du so ein Zertifikat für jede deiner bisherigen SBS Installationen geholt hast, dürfte davon keine einzige korrekt funktionieren.

 

Wenn du in der SBS Konsole bist und dort per Assistent den Punkt "Internet Adresse einrichten" kannst du evtl die Adresse ändern, so das die URL auf OWA geändert wird. Danach sollte auch das Autodiscovery im internen Netz wieder funktionieren. Hier ist dann aber eine DNS Änderung beim externen Provider nötig. Die Autodiscover Fehlermeldung von Intern kannst du in der Regel ignorieren. und den Rechnernamen ja notfalls manuell im Outlook festlegen.

und was steht bei 

get-autodiscovervirtualdirectory | fl internalurl, externalurl


@Norbert:

in der Standardkonfig (ohne Änderung) meldet sich Exchange beim SBS immer mit remote.<domain> (darüber reagiert auch Anyconnect, Remote Access etc.). Das wird auch so in den Einstellungen und im internen DNS alles installiert. Ein Zertifikat, das nur auf owa.<domain> läuft, bringt dir also ohne Änderungen an den Einstellungen gar nichts.

 

Einen Host A Record benötigt er eigentlich nicht, das dies bei der Installation schon mit eingerichtet wird für den internen DNS (remote.<domain.tld> - URL lautet remote.<domain.tld>/Autodiscover/autodiscover.xml)

[NorbertFe 2.041]

Ich weiß in etwa wie ein Exchange beim SBS funktioniert. ;) ich wollte hinterfragen, was du mit Url Eintrag meinst. Und autodiscover nicht als a Record anzulegen auch beim SBS führt afair auch zu komischem Verhalten bei Clients die keinen srv Record auswerten.

[Alith Anar 40]

Sorry, war nicht so gemeint. Mir durchaus bewusst, das du weißt wie der Exchange funktioniert (mit Sicherheit deutlich besser als ich) ;)

 

Dann hilft aber das Zertifikat nicht weiter. das das ja nur auf owa. .... läuft.

[SBK 3]

Wenn die URL aber remote.<xyz.ch> lautet, warum holst du dir dann ein Zertifikat OWA.<xyz.ch> ... ?

 

Ich habe owa.domain.ch, gewählt, da dies kürzer und prägnanter als remote.domain.ch ist. Alle Autodiscoverdienste habe ich - wie unter https://support.microsoft.com/en-us/kb/940726 beschrieben - auf owa angepasst. Also AutoDisocverVirtualDirecotry, ClientAcessServer, WebServicesVirtualDirectory, OABVirtualDirectory zeigen auf owa.domain.ch/autodiscover/autodiscover.xm, resp. owa.domain.ch/oab oder owa.domain.ch/ews/exchange.asmx.

 

Bisher habe ich den Eintrag owavirtualdirectory auf remote.domain.ch belassen, da dies im KB-Artikel nicht beschrieben war. Aber danke für den Hinweis, ich werde die Gelegenheit Nutzen alle Autodiscover-Dienste wie unter http://www.msxfaq.de/e2007/casurls.htm beschreiben nochmals durchzuchecken und auf owa.domain.ch anzupassen und werde auch gleich ein SAN-Zertifikat für owa.domain.ch, autodiscover.domain.ch und remote.domain.ch ausstellen, dann hoffe ich die Zertifikatsfehler definitiv auszuschalten.

 

Gruss SBK

Einen Punkt verstehe ich aber immer noch nicht. Unter http://www.thirdtier.net/2011/06/setting-up-autodiscover-for-sbs-2011/ steht "Get rid of any CNAME or A records for “autodiscover”, and any wildcard “*” records in the public DNS zone". This is a critical step.

 

Gilt diese Aussage nur wenn man ein Zertifikat für einen einzigen Namen hat oder wieso darf man keine Autodiscover-Einträge oder Wildcard-Einträge in der Public DNS Zone haben?

[NorbertFe 2.041]

Das hilft dir auch nicht, weil du damit nur Autodiscover-Vorgänge von Clients nutzen könntest, die auch srv-Records abfragen können. Und das ist meines Wissens nach nur Outlook (für Windows) ab Version 2007 SP irgendwas.

 

Bye

Norbert

[SBK 3]

Zur Info: Habe soeben ein Multidomain-Zertifikat für owa, remote und autodiscover gekauft und eingebunden und auf der Public DNS den Autodiscover-Eintrag erfasst. Alles läuft ohne jegliche Fehlermeldung sowohl intern vom Outlook-Client in der Domäne, wie auch extern via Outlook Anywhere. Ein Einzel-Zertifikat kommt mir nicht mehr ins Haus....

 

Danke allen Beteilgten für die Hinweise!