Outlook Anywhere - Zwischenzertifikat abfrage

[NorbertFe 2.035]

Welcher Name steht denn im Zertifikat, welches die Nutzer präsentiert bekommen?

[Vinc211 1]

Siehe Post nr.1 es ist ein Zertifikat des Providers. Ich komme aber nicht dahinter warum.

[NorbertFe 2.035]

 

vor 28 Minuten schrieb Vinc211:

Habe die Änderungen gemacht und den SRV Eintrag beim Provider gelöscht und nur autodiscover.domain.tld hinzugefügt bekomme das Problem aber weiterhin.

Welchen Eintrag hast du denn gelöscht? Den Domain Einträg oder den SRV Eintrag? Was passiert eigentlich, wenn du https://domain.tld/autodiscover/autodiscover.xml in einem Browser aufrufst?

bearbeitet 24. April 2018 von NorbertFe

[Vinc211 1]

Es gab einen SRV Eintrag mit protokoll etc. Habe ihn gegen den A Record autodiscover.domain.tld ersetzt.

 

Wenn ich https://owa.domain.tld/autodiscover/autodiscover.xml aufrufe bekomme ich:

<Autodiscover><Response><Error Time="14:32:10.9370600" Id="2929850477"><ErrorCode>600</ErrorCode><Message>Ungültige Anforderung</Message><DebugData/></Error></Response></Autodiscover>

Also das was ich erwartet habe.

bearbeitet 24. April 2018 von Vinc211

[NorbertFe 2.035]

Du sollst auch nicht owa.domain.tld aufrufen, sondern https://domain.tld/autodiscover/autodiscover.xml

Menno. Bisschen Mitdenken wäre schon hilfreich. :)

Abgesehen davon, ist das so schwer zu verstehen, dass Outlook immer die selbe Reihenfolge abarbeitet und logischerweise dein SRV Record nie für das Problem verantwortlich war? ;)

bearbeitet 24. April 2018 von NorbertFe

[Vinc211 1]

Okay ja mit dem SRV haste recht. hab ich schon wieder vergessen.

 

Ich bemerke das ich intern wie extern ein 600 kriege und kein 404. Heißt das Problem liegt am autodiscover?
Html 600 kann ich als Fehlercode auf anhieb nicht finden.

[NorbertFe 2.035]

Intern und extern die selbe Antwort mit dem selben Zertifikat? Also landest du immer beim Provider. Damit wären wir wieder bei den drei Möglichkeiten, die man in dem Fall hat:

1. Dein Webserver beim Provider antwortet korrekt mit 404 auf Dinge die er nicht kennt. Wie und ob das geht, kann ich dir nicht sagen.

2. Dein Webserver reagiert überhaupt nicht auf ssl, was heutzutage aber ggf. auch keine besonders kluge Idee ist, aber evtl. schnell fürs Troubleshooting funktionieren würde (vorausgesetzt du hast kein hsts auf der Seite konfiguriert)

3. Du löschst den Domain Eintrag, dann kann _niemand_ mehr https://domain.tld aufrufen und das bedeutet, dass der _gemeine_ User eben https://www.domain.tld eintippen muss. (die billigste Lösung die immer geht, aber nicht immer auf Gegenliebe stößt bei erwähnten Nutzern)

 

Bye

Norbert

bearbeitet 24. April 2018 von NorbertFe

[Vinc211 1]

okay ich muss mich korrigieren.

internes netz und externes netz bekomen per https://owa.domain.tld/autodiscover/autodiscover.xml Den Fehler 600

https://domain.tld/autodiscover/autodiscover.xml leitet mich auf unserer Website https://www.domain.tld/autodiscover/autodiscover.xml und zeigt einen 404 nothing found here.

https://exchange.domain.tld/autodiscover/autodiscover.xml von intern ist ebenfalls auf Fehler 600

https://exchange.domain.tld/autodiscover/autodiscover.xml von extern zeigt mir: Diese Verbindung ist nicht sicher. SEC_ERROR_UNKNOWN_ISSUER und dann kann ich per Ausnahme das Zertifikat des Providers erlauben.

 

Und ja der DC ist SSL fähig. IIS ist installiert.

bearbeitet 24. April 2018 von Vinc211

[NorbertFe 2.035]

Hau doch mal ab mit deinem owa.domain.tld  ( :)) (auch intern brauchst du das nicht, es sei denn dein internen AD Domain Name ist gleich deinem externen DNS Namen.

Hand aufs Herz, verstehst du eigentlich, worum es mir hier in der Diskussion eigentlich geht?

[Vinc211 1]

owa.domain.tld ist die externe Adresse und ex1.domain.tld die interne Adresse. Je nachdem ob er Rechner extern oder intern ist verbindet er sich auch mit diesen Adressen.

Warum das Provider Zertifikat mir diese Probleme macht versteh ich nicht, ganz generell verstehe ich anscheinend nicht worum es in dieser Diskussion geht.

[NorbertFe 2.035]

Warum heißt dein Exchange eigentlich intern anders als extern? Warum gibts kein Split-DNS? Dann wäre das eventuell einfacher verständlich.

Wenn du dir die Reihenfolge des Autodiscoverprozesses vorn im Thread mal anschaust, dann dürfte doch verständlich werden, dass Outlook zuerst zu Nummer 1 (dem SCP) geht, allerdings funktioniert das NUR im internen LAN. Danach kommt Nr. 2 an die Reihe und das ist eben _immer_ https://domain.tld/autodiscover/autodiscover.xml (wobei domain.tld der Emaildomain des USERS entspricht). Erst danach kommt Nr. 3 https://autodiscover.domain.tld zum Tragen. Ist das jetzt verständlicher? Wenn dir also Nr. 2 einen Fehler liefert, dann geht Outlook nicht einfach weiter zu Nr. 3 sondern präsentiert dir den Fehler (dein fehlerhaftes Zertifikat).

 

Wie du das unterbinden kannst, hab ich dir im Posting weiter oben bereits geschrieben. Wenn du wissen willst, ob es wirklich daran liegt, dann kannst du am Client die nicht benötigten Autodiscoverschritte per GPO deaktivieren. Das würde ich dir aber nur empfehlen, wenn du das für ALLE Clients hinbekommst (eher selten der Fall) und zweitens, wenn du den Server nicht im Griff hast (ich hab ja noch Hoffnung). Alternativ kauf dir einfach jemanden ein der dir hilft.

 

So ich hoffe, das war jetzt verständlich.

 

Bye

Norbert

[NorbertFe 2.035]

Was bedeutet das jetzt? Du hast dein Problem gelöst, oder wie soll ich den grünen Haken jetzt interpretieren?

[Vinc211 1]

Naja, das eigentliche PRoblem ist ja nicht vorhanden. Ich bin davon ausgegangen das die Angezeigte Meldung wichtig ist. Sie ist es ja allerdings nicht, da Sur eine Information für den nicht funktionierenden weg darstellt. Somit muss ich auf die GPO Lösung zurückgreifen oder den Eintrag für *.domain.de löschen. (Den Post wo du dies beschreibst, erschien mir allerdings erst jetzt).

[NorbertFe 2.035]

Ja, aber das hab ich gefühlt vor einem Jahr auch schon geschrieben. ;) Du kannst natürlich auch deinen Webserver korrekt konfigurieren. ;) Dann mußt du nix löschen. Und GPO ist in dem Fall einfach der falsche Weg, weil du das für Handys und Konsorten ja nicht verwenden kannst. Und Nein ich gewöhne meinen Nutzern nicht das Wegklicken von Zertifikatsproblemen an.

[Vinc211 1]

vor 48 Minuten schrieb NorbertFe:

 Du kannst natürlich auch deinen Webserver korrekt konfigurieren. ;) Dann mußt du nix löschen.

ich weiß immernoch nicht was damit gemeint ist. um welchen webserver geht es? den bei meinem Provider? den vom Exchange?