Jump to content

Exchange, Autodiscover, Zertifikate und Outlook 2010 - Hilfe

BDS_ABO

Von BDS_ABO
in MS Exchange Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

BDS_ABO Rookie

BDS_ABO   0

Geschrieben
Geschrieben

Hallo liebe Community,

 

ich wende mich an Euch, da ich alleine nicht mehr weiter komme. Bei uns ist ein neuer Kunde mit einem Netzwerk, dass er über Jahre mit Wissen und Halbwissen aufgebaut hat. Jetzt haben wir uns einen Überblick verschafft und ich stoße auf ein Problem, das ich alleine nicht gelöst bekomme:

 

Der Kunge betreibt einen Exchange 2010 Servermit OWA

Port 443 ist von der Firewall durchgeleitet

Auf der Domäne Kunde.de gibt es den srv-Eintrag _autodiscover._tcp.kunde.de auf mail.kunden.de sowie einen cname autodiscover.kunde.de, der auf mail.kunde.de verweist.

Das Zertifikat ist ausgestellt auf *.kunde.de

 

Folgendes Phänomen:

Nehme ich meinen Test-Laptop (nicht Mitglied der Domäne, standard DSL-Leitung, ungefiltert), installiere Outlook 2010 und richte das Konto ein, funktioniert autodiscover einwandfrei, alle Daten werden aus der Ferne gefunden und aufgelöst, nach einer Amneldung und dem Akzeptieren eines Zertifikates (warum?) kann ich normal arbeiten auf dem Exchange.

 

Jeder andere Domänen-PC kann nicht per owa auf den Exchange connecten. "Das Postfach steht nicht zur Verfügung".

Ich dachte, ein Zertifikat liegt evtl. quer, aber ich habe einem Domänen-PC mal testweise alle Zertifikate gelöscht, die irgendwie "kunde.de" hießen. Auch kein Erfolg.

Ich weiß leider auch nicht, wie ich genau analysiere kann, WAS GENAU da quer liegt.

 

Der srv-lookup von mxtoolbox sagt "no record exists". Ist das überhaupt richtig?

 

von https://testconnectivity.microsoft.com/ bekomme ich bei "Outlook Autodiscover" alles grün außer zwei Einträge: 

1.
Analyzing the certificate chains for compatibility problems with versions of Windows.
     Potential compatibility problems were identified with some versions of Windows.
     
    Additional Details
     
The Microsoft Connectivity Analyzer can only validate the certificate chain using the Root Certificate Update functionality from Windows Update. Your certificate may not be trusted on Windows if the "Update Root Certificates" feature isn't enabled.
Elapsed Time: 2 ms.
2.
Testing TCP port 443 on host kunde.de to ensure it's listening and open.
     The specified port is either blocked, not listening, or not producing the expected response.
      Tell me more about this issue and how to resolve it
     
    Additional Details
     
A network error occurred while communicating with the remote host.
Elapsed Time: 1835 ms.

Dass die Domäne Kunde.de auf 443 nicht erfolgreich ist, ist klar, denn da ist eine andere IP hinter, als hinter mail.kunde.de aber was besagt der erste Eintrag?

Kann da jemand halfen?
Was ist mein Problem, warum geht das mit unternehmensfremden Laptops, aber nicht unternehmeneigenen?

 

 

 

Link zu diesem Kommentar
BDS_ABO Rookie

BDS_ABO   0

Geschrieben
  • Autor
Geschrieben

Und wieso wird es dann nicht benötigt? Genau deswegen sollte es ja eingerichtet werden. Zum Thema Split-DNS, Autodiscover, Service Records gibt's hier im Board allein dieses Jahr schon gefühlt 10 Threads. ;)

 

Hi,

 

hm, dein Zertifikat ist auf *.kunde.de ausgestellt, lokal nutzt du kunde.local Adressen.

Das wird zu Zertifikatsproblemen führen, wenn du intern darauf zugreifst.

Von extern siehst du (bzw. dein Client) ja nur die externen .de Adresse, welche korrekt im Zertifikat hinterlegt sind.

 

Gruß Sebastian

ich habe intern keine Probleme. Auch mit VPN funktioniert alles.

nur extern macht Ärger und auch NUR bei den Firmen-Notebooks. Bei meinerm Testnotebook (Standard Windows 10, keine Domänenmitgliedschaft) geht alles. Und ich komme auch von extern.

Link zu diesem Kommentar
BDS_ABO Rookie

BDS_ABO   0

Geschrieben
  • Autor
Geschrieben

Ich möchte nicht diskutieren, versteh mich bitte nicht falsch. Ich blicke schlichtweg nicht mehr durch. Das Thema Split-DNS ist nicht ganz meins ;)

Was muss ich tun, um es richtig zu machen?

 

Nachtrag: ein Kollege von mir hat bemerkt, dass intern kein srv-Eintrag auf autodiscover.kunde.de gesetzt war. Wir haben den jetzt gesetzt auf mail.kunde.de

Es gab jedoch einen A-Eintrag autodiscover.azs.de, der ebenfalls auf mail.azs.de verwies.

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.035

Geschrieben
Geschrieben (bearbeitet)

Man braucht insgesamt keinen SRV Record. Und solange auf der Ebene eben immer nur rumprobiert wird, wird's schwer da Verständnis reinzubringen.

 

Wenn intern einen A Record für autodiscover.kunde.de existiert der auf die intern IP des Exchangeservers zeigt war alles richtig und der SRV Record ist überflüssig, weil den niemand fragt. Ausnahme du hast den Namen autodiscover.kunde.de nicht im Zertifikat. Wenn das der Fall ist, geht's aber logischerweise auch von aussen nur per SRV Record. Da den aber nicht alle Clients auswerten sollte man eben Split-DNS und A Record für Autodiscover und entsprechende Namen im Zertifikat haben. Ausserdem internalURL und externalURL bei allen virtuellen Verzeichnissen auf den externen Namen (mail.kunde.de) setzen fertig!

 

Bye

Norbert

bearbeitet von NorbertFe
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...