Exch.2013 und Autodiscover über Dyndns fehler

[Assassin 13]

Nabend,

ich sitze schon seit einer geraumer Zeit daran, eine bestimmte Exchange2013 Konstellation ans laufen zu bekommen....

und zwar, es gibt einen Exchange 2013, welcher an einem nicht-Business DSL Anschluss hängt - also variable öffentliche IP. Es gibt bereits einen Dyndns - bzw. in unserem Fall ein spdns.de account, worüber der Zugriff auf OWA auch funktioniert.

Diese Adresse lautet in dem Beispiel hier: meinefirma.spdns.de

Die eigene, interen Domäne heißt: meinefirma.local

Die Mailadressen-Domäne lautet: meinefirma.de

 

 

so, nun hab ich bereits ein Eigenes Zertifikat erstellt, was auf meinefirma.spdns.de ausgestellt ist, als alternative Antragstellernamen ist folgendes eingetragen: meinefirma.spdns.de, exchsrv.meinefirma.local, AutoDiscover.meinefirma.local,exchsrv, meinefirma.local

 

ich habe im hausinternem DNS server neben der haupt-zone "meinefirma.local" noch folgende zonen hinzugefügt:

meinefirma.de - da habe ich einen A-Record mit dem Hostnamen "Autodiscover" gesetzt der Richtung Exchange Server zeigt

meinefirma.spdns.de - ebenfalls einen A Record gesetzt welcher den übergeordneten Hosteintrag nimmt, dieser zeigt ebenfalls Richtung Exchange Server

 

und in der Hauptzone "meinefirma.local" habe ich ich unter"_tcp" noch einen srv eintrag für "_autodiscover " erstellt, welcher als host auf "meinefirma.spdns.de" zeigt (port443).

 

 

 

 

so, nun zum Problem: ich kann mich zwar mit Outlook anywhere mit dem Exchange verbinden (Outlook2010) und auch arbeiten, aber bekomme eine für mich unerklärliche Zertifikatsmeldung, das der Name auf dem Sicherheitszertifikat nicht gültig ist...autodiscover.meinefirma.de wird erwartet, aber das zertifikat wird von "Parallels Panel" ausgestellt - was soll das sein, und woher kommt das??

 

Im anhang ein Screenshot.

 

 

Es ist klar das er auf der meinefirma.de nach Autodiscover sucht, aber das habe ich doch im DNS als Split-DNS eingetragen? oder habe ich da einen Fehler gemacht beim Eintragen? Dieses "Parallels Panel" zeiht er sich wohl irgendwoher aus dem Internet..wundert mich trotzdem wie er daran kommt...

 

 

 

Das mit dem nicht vertrauenswürdig liegt noch daran, das ich das stammzertifizierungsstellen-Zertifikat noch nicht importiert habe...aber hier will er ja ein anderes

bearbeitet 25. November 2015 von Assassin

[Sanches 22]

Hi,

 

wenn du vom Client aus die Adresse "autodiscover.meinefirma.de" anpingst, bekommst du die interne Serveradresse?

Welche(n) DNS Server sind am Client hinterlegt?

 

Das "Parallels Panel" könnte höchstwahrscheinlich von Provider eurer Domain kommen.

 

Warum hast du den Namen "autodiscover.meinefirma.de" nicht auch in das selbst sig. Zertifikat reingepackt?

Zumindest hab ich das in deiner Auflistung nicht gelesen. Das solltest du noch nachholen.

 

Gruß Sebastian

[Assassin 13]

Hallo,

 

wenn ich die "autodiscover.meinefirma.de" anpinge, wird die interne IP des Exchange-Servers aufgelöst.

das mit dem Zertifikat - schon erledigt;) habe eben ein neues erstellt wo die autodiscover.meinefirma.de, und die komplette meinefirma.de mit drin steht.

 

 

 

Leider nach wie vor das Problem, das sich Outlook irgendwoher das "Parallels Panel" herholt :(

das Problem besteht sogar Netzwerk-Intern mit Outlook 2013

 

 

Das könnte durchaus der Provider der .de Domäne sein. In dieser Domäne gibt es meines Wissens nach noch KEINE srv bzw. A Record einträge die richtung der SPDNS.de zeigen - ich schätze das ist das problem, oder? 

nur warum versuchen selbst die Netzwerk internen Clients sofort eine externe Verbindung aufzunehmen und nicht einfach den internen DNS Server zu fragen wo der exchange steht? *confused*

 

 

 

*edit* ich habe erst einmal alle Einstellungen die ich jetzt zum probieren gemacht habe, rückgängig gemacht, damit intern zumindest alles wieder wie gewohnt funktioniert ohne Zertifikatsmeldungen.

Ich kümmere mich nun darum, das in der gehosteten .de domäne die SPDNS einträge mit reingemacht werden, dann werd ich's noch einmal versuchen.

bearbeitet 25. November 2015 von Assassin

[Assassin 13]

Eine Kurze Frage: Ist es eigentlich überhaupt möglich, ein Funktionierendes Autodiscover und damit auch Handy activesync und Outlook anywhere hinzubekommen mit einer Dynamischen DNS? Mit Selbstsignierten Zertifikaten?

 

Ich hätte jetzt einfach auf der "meinefirma.de" domäne einen cname eintrag gesetzt für "autodiscover." der nach "meinefirma.spdns.de" zeigt um die aktuelle IP des Exchange-Servers zu bekommen.... aber funktioniert das so überhaupt?

Der Kunde hat leider keine möglichkeit eine Statische IP zu bekommen (schlechtes ausbaugebeit)

[testperson 1.680]

Hi,

 

ja das ist alles möglich. Generell muss das Zertifikat eigentlich nur autodiscover.deinefirma.de sowie deinefirma.spdns.de beinhalten (Für den User wäre es vermutlich sinnvoll noch outlook. oder owa.deinfirma.de als SAN zu haben) sowie die SplitDNS- / Exchange-Konfiugration muss passen.

 

Da du hier dann bei einem SAN Zertifikat mit max 3 Hosts bist, würde ich sofort ein vertrauenswürdiges Zertifikat einer kommerziellen CA kaufen und mir den ganzen Ärger ersparen.

 

Ich behaupte, der Kunde hat die Möglichkeit eine feste IP-Adresse zu bekommen. Da gibt es günstigere "Krücken" Lösungen oder z.B. eine Company Connect der Telekom.

 

Gruß

Jan

[Nobbyaushb 1.471]

Moin,

 

fest IP kostet heute so um 3 bis 8 € per Monat, je nach Anbieter.

 

Wer ist denn dein ISP, schon mal gefragt?

 

;)

 

Achja - das ganze dann mit einem gekauften Cert, kostet heute auch nicht mehr die Welt....

bearbeitet 26. November 2015 von Nobbyaushb

[Assassin 13]

Es liegt ein Telekom 50mbit DSL an, aber für Business kunden gibt es nur ein 384kbit/s DSL an oO daher hat der Kunde einen "home" anschluss geschalten.

Es reicht also ein SAN Zertifikat mit 3 hosts aus, ja? gut, werd ich mit ihm darüber reden.

 

 

 

Wie sollte eurer meinung nach die Split DNS konfiguration aussehen auf dem internem DNS server?

[testperson 1.680]

Wie sollte eurer meinung nach die Split DNS konfiguration aussehen auf dem internem DNS server?

Da gibt es eigenlitch nur eine einzige Möglichkeit!? Interne URLs = Externe URLs und ein entsprechend konfigurierter DNS der von intern den externen Hostname mit interner IP auflöst.

[Assassin 13]

-.- das ist mir schon klar das die Internen URLs die selben sein sollten wie die externen, mir gehts vielmehr darum, welche Zonen ich da einrichten müsste...ob jetzt die meinefirma.de oder nur die meinefirma.spdns.de, und dann noch - in welche zone sollte welcher srv eintrag?

[testperson 1.680]

Hi,

 

das ist Geschmackssache.. Bei mir werdens nahezu immer Hostzonen. Und SRV Einträge brauchst du eigentlich gar keine sondern A-Records.

 

Gruß

Jan

[Assassin 13]

auch für Autodiscover nicht? Weil darauf wird in mehreren anleitungen hingewiesen, dies als srv eintrag zu machen, z.B. auch hier: https://acbrownit.wordpress.com/2012/12/20/internal-dns-and-exchange-autodiscover/

 

 

 

Welche SAN Zertifikats-anbieter könnt ihr so empfehlen? godaddy scheint da wohl der bekannteste zu sein? (zumindest schwärmte davon unser Dozent damals regelrecht...)

[testperson 1.680]

Hi,

 

wer kann denn einen Autodiscover SRV Record nutzen? Und was möchtest du alles anbinden?

Ich ordere Zertifikate meistens bei der PSW Group.

 

Gruß

Jan

[Assassin 13]

Outlook kann zumindest srv einträge nutzen, wenn auch mit rückfrage... also gehen A-Records genauso, ja?

 

Angebunden werden sollen neben Mobilen Clients mit Outlook, auch Android Handys, Windows Phones, und Iphones, sowie i-Pads, Windows pads und Android pads - also eigentlich alles

[testperson 1.680]

Mit einem Autodiscover A-Record kann sich sowohl Outlook, als auch die anderen Geräte konfigurieren. Warum willst du jetzt noch den SRV Record setzen? Klar, kann man machen, muss man nicht machen.

[Assassin 13]

Will, will ich nicht *g* aber es stand halt so in diversen anleitungen zum Split DNS...das musste ich bisher nicht konfigurieren, da ich bisher nur sehr wenige exchange 2013 server eingerichtet habe