DIS 10 Geschrieben 16. August 2016 Melden Teilen Geschrieben 16. August 2016 Ich habe ein gültiges Zertifikat für sss.at. Bei allen E-Mail Adressen @sss.at funktioniert Autodiscover etc. bestens. Nun werden jedoch auch mails von uuu.at vom Exchange 2010 Server angenommen. Ich möchte jedoch kein neues Zertifikat. Folglich habe ich einen CNAME Record für "autodiscover.uuu.at" auf "sss.at" eingerichtet. Hier schlägt Autodiscover logischerweise fehl, weil beim Verbindungsaufbau mit "https://sss.at"kein Zertifikat hinterlegt ist in dem "autodiscover.uuu.at" vorkommt. Folglich habe ich zusätzlich am Host "sss.at" ein HTTP-Redirect von "autodiscover.uuu.at" auf "https://sss.at"eingerichtet. In dem Fall muss das Zertifikat nur mehr für "sss.at" und nicht mehr für "uuu.at" gültig sein. Soweit funktioniert alles bestens. Das was mich allerdings stört ist, dass Outlook beim Einrichten eines Kontos immer zuerst einen Verbindungsaufbau mit "https://autodiscover.uuu.at"versucht -> Hier kommt dann die Zertifikatswarnung. Erst wenn man dort auf "NEIN" klickt probiert Outlook die HTTP-Adresse "http://autodiscover.uuu.at" wird dann ordnungsgemäß weitergeleitet und verbindet sich dann richtigerweise ohne Zertifikatswarnung. Outlook merkt sich das auch denn bei weiteren Starts von Outlook wird sofort die richtige Verbindung (Redirect) verwendet. Ist es jedoch irgendwie möglich bzw. irgendwas zu machen, dass die Zertifikatswarnung auch beim ersten Verbindungsaufbau von Outlook bzw. dem Einrichten des Kontos nicht kommt? Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 16. August 2016 Melden Teilen Geschrieben 16. August 2016 Dann verhindere, dass auf Autodiscover.uuu.at mit ssl geantwortet wird. Ist doch logisch, dass es sonst zu Fehlermeldungen kommt. Zitieren Link zu diesem Kommentar
DIS 10 Geschrieben 16. August 2016 Autor Melden Teilen Geschrieben 16. August 2016 Dafür bräuchte ich doch eine eigene Bindung für https://autodiscover.uuu.at? Der Server läuft unter IIS 7.5 (Windows Server 2008 R2) was kein SNI unterstützt. Oder hab ich da was übersehen? Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 16. August 2016 Melden Teilen Geschrieben 16. August 2016 Eigene ip und gut. Das muss ja NICHT auf dem Exchange ankommen. Zitieren Link zu diesem Kommentar
DIS 10 Geschrieben 16. August 2016 Autor Melden Teilen Geschrieben 16. August 2016 Also du meinst eine eigene offizielle IP. Und wenn ich keine zweite habe? Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 16. August 2016 Melden Teilen Geschrieben 16. August 2016 Also du meinst eine eigene offizielle IP. Und wenn ich keine zweite habe? Dann mietet man sich nen Webserver mit ner festen IP. Mit nur einer IP bekommst du das nicht sinnvoll gelöst ohne den Namen in das Zertifikat zu pinseln. Da kannst du maximal mit nem SRV Record im DNS arbeiten. Und den nutzt afaik nur Outlook, aber kein mobile device. Bye Norbert Zitieren Link zu diesem Kommentar
DIS 10 Geschrieben 17. August 2016 Autor Melden Teilen Geschrieben 17. August 2016 Ok, aber um es mal zu testen: Müsste ich dann "autodiscover.uuu.at" als SRV-Record anlegen mit dem Zielhost sss.at und einem Port z.B. 999. Und im IIS dann eine https-Bindung mit ebenfalls dem Port 999? Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 17. August 2016 Melden Teilen Geschrieben 17. August 2016 Du mußt den A-Record für autodiscover.uuu.at löschen. Danach einen _autodiscover Eintrag in der Zone uuu.at anlegen mit dem Ziel host.sss.at port 443. Zitieren Link zu diesem Kommentar
DIS 10 Geschrieben 18. August 2016 Autor Melden Teilen Geschrieben 18. August 2016 Vielen Dank für die professionelle Hilfe. Jetzt funktioniert es so wie ich mir das vorgestellt habe! Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 18. August 2016 Melden Teilen Geschrieben 18. August 2016 Offenbar ja noch nicht, sonst wäre ja kein zweiter Thread notwendig gewesen. Da nicht jeder auch immer alle Threads im Überblick hat, wärs nett, wenn du immer wieder deine Ausgangskonfig hinschreibst. :) Bye Norbert PS: Das was dir fehlt ist vermutlich die korrekt Outlookproviderkonfiguration im Autodiscover. Set-OutlookProvider EXPR -OutlookProviderFlags:ServerExclusiveConnect Zitieren Link zu diesem Kommentar
DIS 10 Geschrieben 19. August 2016 Autor Melden Teilen Geschrieben 19. August 2016 Ich habe die Einstellung ServerExclusiveConnect für EXPR jetzt wie du gesagt hast aktiviert. Es wird jetzt auch unter <Type>EXPR</Type> <ServerExclusiveConnect>on</ServerExclusiveConnect> angezeigt. Die Folge ist jetzt, dass alle Clients, also egal ob sie sich in der Domäne befinden oder sich nicht in der Domäne befinden und per hosted Exchange zugreifen von Anfang an ausschließlich RPC/HTTP verwenden. Wäre es nicht besser bzw. möglich dass die internen Clients weiterhin RPC/TCP nutzen? Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 19. August 2016 Melden Teilen Geschrieben 19. August 2016 NEIN "wäre es nicht". Warum sollte das besser sein? Zitieren Link zu diesem Kommentar
DIS 10 Geschrieben 19. August 2016 Autor Melden Teilen Geschrieben 19. August 2016 Keine Ahnung. Mir stellt sich nur die Frage, dass wenn RPC/HTTP ohnehin besser ist warum dann Exchange/Outlook nicht ohnehin standardmäßig RPC/HTTP verwendet. Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 19. August 2016 Melden Teilen Geschrieben 19. August 2016 Rate mal, was bei MODERNEN Exchangeserver abgeschafft wurde? Du bewegst dich auf 7 Jahre alter Servertechnologie. ;) Zitieren Link zu diesem Kommentar
DIS 10 Geschrieben 19. August 2016 Autor Melden Teilen Geschrieben 19. August 2016 Ok - dann kenn ich mich jetzt aus. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.