PeteMartell 0 Geschrieben 15. Juli 2019 Melden Teilen Geschrieben 15. Juli 2019 Hallo zusammen, vorne weg, da das mein erster Post hier ist, erstmal danke an die vielen Leute die hier täglich Hilfestellung zu diversen Anwender und Administratorproblemen geben. Als leiser Leser habe ich hier schon viele Lösungen für diverse Probleme gefunden und wo gibt es heutzutage schon noch was umsonst. Danach muss ich mich direkt mal für die wahrscheinlich zig dutzendste Frage zu dem Problem entschuldigen, aber ich beiße hier absolut auf Stein und finde doch unter den vielen autodiscover Problemen nicht ganz, worum es mir geht und ich frustriere mich langsam selber. Bis jetzt betreibe ich in meinem Netzwerk einen Exchange 2010 Server, gepaart mit Outlook 2010. Zusammen mit Windows 10 würde ich gerne auch Office 2016 ausrollen und versuche damit momentan ein bisschen rum. Mein Mailserver und somit auch mein autodiscover Eintrag besteht leider schon länger als es mich in dem Beruf gibt, also weiß ich davon bisher wenig, außer, dass es mit Outlook 2010 reibungslos funktioniert. Einen autodiscover DNS Eintrag intern gab es bisher nicht, extern schon, als CNAME. Nach Frankys Beitrag habe ich extern den CNAME Eintrag gelöscht und als HOST-A Eintrag nochmal autodiscover.meinedomain.de auf die externe IP meines Mailservers umgeleitet (wird über DNAT in meinem Router dann an internen Mailserver geleitet). Intern in meinem Microsoft DNS habe ich einen HOST-A Eintrag direkt auf meine interne IP gesetzt. Als Name nur autodiscover, als Ziel nur die IP. Mein Zertifikat ist von einer öffentlichen Stelle, primär ausgestellt auf den externen Namen des Mailservers, alternative Namen umfassen den externen autodiscover.meinedomain.de, den internen Namen mailserver.internedomain.de, aber nicht den internen autodiscover.internedomain.de, falls das von Nöten sein sollte. Wenn ich jetzt auf meinem Windows 10 Rechner Outlook 2016 starte, ist mein einziger Weg mich anzumelden, in der ersten Bildschirmausgabe "Ich möchte mein Konto manuell einrichten" anzuwählen und anzugeben, dass es sich um einen "Exchange 2013 oder niedriger" handelt. Danach werde ich noch gefragt, wie lange der Zeitraum für den Abruf der Mails zurückgehen soll und ohne Probleme läuft Outlook an. Das Ganze ist auch im Roaming Profil in irgendeiner Form hinterlegt, der gleiche Benutzer hat auf keinem Computer mehr etwas anzugeben. Ein Bild habe ich angehangen. Jetzt frage ich mich, ob das unvermeidbares Verhalten ist? Ich habe nicht das Gefühl, dass im Autodiscover noch etwas falsch sein sollte. Gibt es hierzu vielleicht eine GPO oder ist der Dialog nicht zu umgehen? Ich habe eine überschaubare Anzahl von circa 90 Mitarbeitern zu verwalten und den Kollegen zu sagen, dass Sie die Knöpfe drücken müssen, wird wahrscheinlich zu wenig Problemen führen. Aber ich habe mir so viel Mühe gegeben, mir den Umgang mit WDS und der Deployment Workbench anzueignen, dass ich auch gerne die letzten Schritte automatisieren würde. Komischerweise treffe ich auf Google niemanden an, der dieses "Exchange 2013 oder niedriger" bzw. "Exchange 2013 or previous" in irgendeiner Form thematisiert - alles dreht sich immer nur um Autodiscover Probleme. Hat wer einen Wink mit dem Zaunpfahl für mich? Grüße Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 15. Juli 2019 Melden Teilen Geschrieben 15. Juli 2019 (bearbeitet) Office / Outlook ab 2016 kann man meines Wissens nicht mehr manuell einrichten. Den Anfang hast du schon gemacht, heißt Split-DNS, dazu zeigen autodiscover und mailserver oder wie immer du das nennst auf die interne IP des Exchange. Der muss aber die richtigen URL liefern, sonst wir das nichts. Wenn Split-DNS passt, das Zertifikat von einem externen Anbieter auf diese beiden Namen / URL auch richtig ist, müssen nur noch die internen und externen URL gleich sein. Ich meine, Franky hat auf seiner Webseite ein kleines Script, das alles für dich richtig einstellt. Alles kein Hexenwerk - aber der kleinste Fehler und geht nicht, reicht ein Komma statt Punkt.. PS: wo bleiben meine Manieren - willkommen an Board! Wenn wir schon mal dabei sind - bitte prüfen, ob der Exchange aktuell ist: https://www.msxforum.de/blog/index.php?entry/41-build-nummern-tabellarisch/ bearbeitet 15. Juli 2019 von Nobbyaushb Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 15. Juli 2019 Melden Teilen Geschrieben 15. Juli 2019 vor 5 Stunden schrieb Nobbyaushb: Wenn Split-DNS passt, das Zertifikat von einem externen Anbieter auf diese beiden Namen / URL auch richtig ist, müssen nur noch die internen und externen URL gleich sein. Wenn ich den TO richtig verstehe passt aber das Split DNS nicht. Ich verstehe ihn so, daß er autodiscover.internedomäne hat. Er braucht aber die externe. Also nochmals den Abschnitt bei Franky üver SplitDNS lesen. Wie Norbert schon schrieb, schaut dir die internen/externen URLs an die der Exchange liefert. Zitieren Link zu diesem Kommentar
PeteMartell 0 Geschrieben 16. Juli 2019 Autor Melden Teilen Geschrieben 16. Juli 2019 (bearbeitet) Hallo ihr beiden, ich glaube Split-DNS passt, aber mittlerweile denke ich vielleicht nicht mehr gerade. Wenn ich ein nslookup auf autodiscover.externedomain.de absetze, kriege ich die richtige IP Adresse (externe des Mailservers, die über DNAT von meinem Router dann an meinen Mailserver intern weitergegeben wird) zurückgeliefert und kann diese dann auch erfolgreich anpingen. Setze ich einfach ein nslookup an autodiscover oder halt autodiscover.internedomain.de ab, kriege ich entsprechend die interne IP meines Mailserver durchgegeben und kann auch diese erfolgreich anpingen. autodiscover.externedomain.de ist im Zertifikat, mailserver.externedomain.de ist im Zertifikat, mailserver.internedomain.de ist im Zertifikat, aber autodiscover.internedomain.de ist nicht im Zertifikat. Starte ich Outlook 2016 kriege ich das Bild von meinem ersten Post angegeben und kann auswählen, dass ich mein Konto manuell einrichten möchte (PS: Darum steht das im Topic, ich will nicht wirklich meine Servereinstellungen manuell vornehmen), klicke auf Exchange 2013 oder früher und es funktioniert sofort alles reibungslos. Ich muss nichts konfigurieren, meine Servereinstellungen werden automatisch gezogen, ich kriege keine Zertifikatfehler und meine Mails werden abgerufen. Sage ich nicht, dass ich manuell konfigurieren möchte und gebe dem autodiscover nicht den Tipp mit dem alten Exchange, werde ich nach dem Kennwort für meine IMAP Authentifizierung gefragt. Gebe ich dort mein Kennwort an, kriege ich auch nur den angehangenen Fehler. Kann mir jemand bestätigen, dass kaputtes autodiscover wirklich so aussieht? Mich wundert es so sehr, dass ich mit dem simplen Klick auf "Exchange 2013 oder früher" alles geregelt bekommen würde. Ist das dann wirklich noch autodiscover? Guckt er sich dann anderweitig im internen Netz nach Anhaltspunkten zur Konfiguration um und das alles heißt wirklich, dass autodiscover noch nicht richtig ist? Nur als Randnotiz Ich hab mir gerade nochmal meine öffentliche DNS Verwaltung angeguckt und ein paar Sachen gesehen, die mir nicht ganz koscher sind. Mein Vorgänger war nicht gerade ein strukturierter Mann und viele unsinnige Sachen, Widersprüche und schlecht dokumentierte Vorgehensweisen bringen mich manchmal komplett aus dem Konzept. Uns stehen 3 öffentliche IP Adressen zur Verfügung (sagen wir mal 6, 7 und 8). Eine davon ist für den Mailserver "reserviert". Bei Hetzner geht der Hostname mailserver.externedomain.de auf diese IP mit der 8 an letzter Dezimalstelle. Über CNAME records bei Hetzner gehen allerdings die Hostnamen relay, imap, pop und smtp auf die öffentliche IP mit der 6 an letzter Dezimalstelle. Das ist meine primäre öffentliche IP vom Router. In meinem Router werden mehrere Protokolle, allen voran IMAP, über beide IPs (6 und 8) ge-dnat-et. Ich weiß ehrlich gesagt nicht, wieso das so sein sollte und werde da mal aufräumen, dass alle Mailbelange über 8 gehen. Wenn das autodiscover funktioniert, aber der Client über den CNAME record für imap.externedomain.de an einen IMAP Server verwiesen wird, der mit seinem Namen nicht im Zertifikat steht, könnte das eventuell mein Problem sein (?). Ich setze die Einträge mal neu und schau mir meine DNATs und Firewall Regeln nochmal an - dann heißt erstmal abwarten bis die öffentlichen da sind. OWA funktioniert z.B. auch nur über den Hostnamen, der auf die 8 verweist und nicht über den Hostnamen, auf den die 6 verweist. bearbeitet 16. Juli 2019 von PeteMartell Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 16. Juli 2019 Melden Teilen Geschrieben 16. Juli 2019 Was willst du denn mit Outlook an einem Exchange mit IMAP? Dein Split-DNS passt nicht, und was du schreibst ist auch widersprüchlich. Nochmal - alle URL auf dem Exchange zeigen auf den externen Namen, autodiscover.deinedomain.de und webmail.deinedomain.de von EXTERN wird Portforward 25 auf die interne IP des Exchange (oder Mailrelays...) gemacht für den MX-Record von EXTERN Portforward für autodiscover und webmail (*) auf die interne IP des Exchange INTERN zeigt autodiscover auf die INTERNE IP des Exchange, ebenso wie webmail (*) Somit ist im extern ausgestellten Zertifikat autodiscover.deinedomain.de und webmail.deinedomain.de als SAN-Zertifikat - mindestens Ergo passt das EXTERNE Zertifikat auch intern. (*) oder wie immer ihr das genannt habt Mittlerweile glaube ich das es besser ist, wenn sich das eine externer anschaut... Zitieren Link zu diesem Kommentar
PeteMartell 0 Geschrieben 16. Juli 2019 Autor Melden Teilen Geschrieben 16. Juli 2019 Hallo Norbert, du hast Recht, da war ich gerade wirklich sehr konfus und auch im Vorfeld hat mich in Frankys Blog (den hier gucke ich mir an) das ein oder andere verwirrt, aber ich versteh schon besser, danke. Tut mir leid, wenn mein Halbwissen etwas anstrengend ist, mich ärgert es ja selber. Wenn etwas nicht funktioniert verunsichert mich das zunehmend und irgendwann denk ich überall hin, nur nicht da, wo ich sollte. Aber externe Hilfe ist momentan nicht machbar und ich geb mir beste Mühe das Ganze zu verstehen. Ich muss gerade erstmal etwas anderes angehen und später, wenn ich nochmal ganz in Ruhe mit etwas Distanz nachschauen kann, seh ich vielleicht den Fehler dann selber noch. vor 2 Stunden schrieb Nobbyaushb: Nochmal - alle URL auf dem Exchange zeigen auf den externen Namen, autodiscover.deinedomain.de und webmail.deinedomain.de ist der Fall. vor 2 Stunden schrieb Nobbyaushb: Dein Split-DNS passt nicht Warum genau sagst du das? Wegen der Art, wie Outlook mit mir umgeht oder weil ich Murks geschrieben hab? nslookup auf autodiscover.externedomain.de gibt die externe IP zurück, autodiscover.internedomain.de gibt die interne IP zurück. Auf dem Weg dazwischen passt ganz sicher etwas nicht, aber die DNS und Exchange-URL Einträge stimmen jetzt. Komischerweise sagt https://testconnectivity.microsoft.com mir, dass mit dem autodiscover alles in Ordnung wäre. Ich schau mir das später nochmal an und bekenne dann mal Farbe, was ich wohl verschlampt habe. Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 16. Juli 2019 Melden Teilen Geschrieben 16. Juli 2019 vor 43 Minuten schrieb PeteMartell: Wegen der Art, wie Outlook mit mir umgeht oder weil ich Murks geschrieben hab? nslookup auf autodiscover.externedomain.de gibt die externe IP zurück, autodiscover.internedomain.de gibt die interne IP zurück. Weil Split-DNS bei zweimal dem selben Namen (intern und extern) unterschiedliche ips liefern muss und nicht zwei unterschiedliche Namen unterschiedliche ips. Heisst: du hast kein Split DNS, oder verstehst den Artikel und die Hilfe nicht. ;) bye norbert Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 16. Juli 2019 Melden Teilen Geschrieben 16. Juli 2019 vor 9 Stunden schrieb PeteMartell: ich glaube Split-DNS passt Nach deiner Beschreibung passt dein SplitDNS eben nicht. Zurück zu franky und nochmal lesen. Warum du via IMAP auf einen Exchange mit einem Outlook zugreifen willst verstehe ich nicht. Outlook kann doch direkt mit dem Exchange reden. vor 6 Stunden schrieb PeteMartell: Aber externe Hilfe ist momentan nicht machbar Ich bin mir sicher ein externer mit Blick auf deine Umgebung kann dein Problem in einer Stunde lösen. Kostet deine Arbeitszeit nichts? Hier im Forum gibt es viele die Dienstleistung ihr Geld verdienen. Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 16. Juli 2019 Melden Teilen Geschrieben 16. Juli 2019 vor 2 Minuten schrieb tesso: Kostet deine Arbeitszeit nichts? Sind „eh-da“ kosten. ;) Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 16. Juli 2019 Melden Teilen Geschrieben 16. Juli 2019 Gerade eben schrieb NorbertFe: Sind „eh-da“ kosten. ;) Ist mir schon klar. In der Zeit könnte der TO wahrscheinlich auch produktivere Dinge tun. Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 16. Juli 2019 Melden Teilen Geschrieben 16. Juli 2019 ist er ja jetzt auch. ;) alles eine Frage der Perspektive Zitieren Link zu diesem Kommentar
PeteMartell 0 Geschrieben 18. Juli 2019 Autor Melden Teilen Geschrieben 18. Juli 2019 Am 16.7.2019 um 15:39 schrieb NorbertFe: Heisst: du hast kein Split DNS, oder verstehst den Artikel und die Hilfe nicht. ;) Vielleicht ja auch eine Mischung aus beidem? Ich habe bisher nicht viel mit DNS zu tun gehabt und obwohl Frankys Beiträge wirklich enorm hilfreich sind, geht er nun mal sehr selbstverständlich damit um, dass jeder schon ein sehr fundiertes Grundwissen zu allen Dingen um DNS und Exchange hat. Das ist bei mir nicht der Fall und somit bin ich an der ein oder anderes Stelle etwas ausgerutscht. Ich hab mich zu Split-Brain DNS in den letzten Tagen etwas schlauer gemacht - nein, setzen wir hier nicht ein und vorher war mir das kein Begriff. Ich habe das Ganze (Danke auch an den anderen Norbert - basierend auf einem anderen Beitrag von dir) jetzt über 2 neue Zonen im DNS für autodiscover und mail mit Host-A Einträgen gelöst. Franky schreibt einfach "Die meisten werden wohl Split Brain DNS betreiben, sprich die externe Domain, in diesem Beispiel frankysweb.de. liegt bei irgendeinem Provider." Der Zweite Teil vom Satz ist natürlich simpel hinzunehmen und da ist halt die Implikation vom ersten Teil bei mir voll auf der Strecke geblieben; hab ich gar nicht weiter hinterfragt. Und natürlich kann ich mir für alle Dinge einfach externe Dienstleistung einkaufen, aber dann trete ich selber auf der Stelle. Ich sitze klassisch unterbesetzt in einem mittelständischen Unternehmen und würde mir gerne bei solchen Dingen, die nicht zeitkritisch sind, die Ruhe nehmen um die Dinge selber zu verstehen und zu schaffen - auch wenn ich dann das zehnfache der Zeit brauche. Wenn ein versierter Mensch mir das vormacht als wäre alles ganz simpel, dann bleibt bei mir nichts hängen. Ihr guckt auf lange Berufserfahrung zurück und sagt das dann so einfach, dahin muss ich erst noch kommen. Und dafür arbeite ich selber. Man kann ja schließlich schwer für jedes Problem Seminare besuchen gehen. Aber danke an euch für den Wink mit dem Zaunpfahl! Jetzt läuft zumindest beim ersten Hinschauen alles wieder wie geschmiert und hier ist ein weiteres Loch geflickt. Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 18. Juli 2019 Melden Teilen Geschrieben 18. Juli 2019 vor 8 Minuten schrieb PeteMartell: geht er nun mal sehr selbstverständlich damit um, dass jeder schon ein sehr fundiertes Grundwissen zu allen Dingen um DNS und Exchange hat. Das sollte auch so sein, denn wenn nicht kommt sowas hier raus. ;) vor 10 Minuten schrieb PeteMartell: aber dann trete ich selber auf der Stelle. Man kann den meisten Dienstleistern fragen stellen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.