Exchange 2019 mehrere Domänen und Outlook 2016 - Zertifikat

[dr_wahnsinnig 10]

Guten Abend!

 

Ich habe hier einen Exchange 2019 Server, der verschiedene E-Mail Domänen verwaltet.

Wenn ich nun über Outlook 2016 ein Konto einrichten möchte, bekomme ich eine Fehlermeldung, dass das Zertifikat nicht stimmen würde. 

Die Website https://testconnectivity.microsoft.com schließt den "Outlook Connectivity" Test mit "Connectivity Test Successful with Warnings" ab. Die Warnungen beziehen sich auf das angebliche Fehlen der URL autodiscover.maildomain-a.com:

Attempting to test potential Autodiscover URL https://autodiscover.maildomain-a.com:443/Autodiscover/Autodiscover.xml

Testing of this potential Autodiscover URL failed.

 

Ich habe einen SRV Eintrag für Autodiscover und auch aus lauter Verzweiflung einen CNAME Eintrag eingerichtet für autodiscover.maildomain-a.com -> autodiscover.maildomain-b.com (hierfür existiert auch ein Wildcard Zertifikat von GoDaddy).

 

Hier noch die Ergebnisse von Get-AutodiscoverVirtualDirectory | fl and Get-ClientAccessServer | fl

Get-AutodiscoverVirtualDirectory | fl

RunspaceId                      : 076f2e5c-13ff-4910-b90a-1850e306e81d
Name                            : Autodiscover (Default Web Site)
InternalAuthenticationMethods   : {Basic, Ntlm, WindowsIntegrated, WSSecurity...}
ExternalAuthenticationMethods   : {Basic, Ntlm, WindowsIntegrated, WSSecurity...}
LiveIdNegotiateAuthentication   : False
WSSecurityAuthentication        : True
LiveIdBasicAuthentication       : False
BasicAuthentication             : True
DigestAuthentication            : False
WindowsAuthentication           : True
OAuthAuthentication             : True
AdfsAuthentication              : False
MetabasePath                    : IIS://EXCHANGE-SRV.exchange.local/W3SVC/1/ROOT/Autodiscover
Path                            : C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\Autodiscover
ExtendedProtectionTokenChecking : None
ExtendedProtectionFlags         : {}
ExtendedProtectionSPNList       : {}
AdminDisplayVersion             : Version 15.2 (Build 221.12)
Server                          : EXCHANGE-SRV
InternalUrl                     :
ExternalUrl                     :
AdminDisplayName                :
ExchangeVersion                 : 0.10 (14.0.100.0)
DistinguishedName               : CN=Autodiscover (Default Web Site),CN=HTTP,CN=Protocols,CN=EXCHANGE-SRV,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=Exchange,CN=Microsoft
                                  Exchange,CN=Services,CN=Configuration,DC=intern,DC=exchange,DC=local
Identity                        : EXCHANGE-SRV\Autodiscover (Default Web Site)
Guid                            : 01e78d13-7bdf-45b0-9830-4d51bb4ecdf6
ObjectCategory                  : exchange.local/Configuration/Schema/ms-Exch-Auto-Discover-Virtual-Directory
ObjectClass                     : {top, msExchVirtualDirectory, msExchAutoDiscoverVirtualDirectory}
WhenChanged                     : 10.07.2019 12:55:21
WhenCreated                     : 10.07.2019 12:55:21
WhenChangedUTC                  : 10.07.2019 10:55:21
WhenCreatedUTC                  : 10.07.2019 10:55:21
OrganizationId                  :
Id                              : EXCHANGE-SRV\Autodiscover (Default Web Site)
OriginatingServer               : AD-SRV.exchange.local
IsValid                         : True
ObjectState                     : Changed



Get-ClientAccessServer | fl

_AlternateServiceAccountConfiguration_AllCredentials_Password :
RunspaceId                                                    : 076f2e5c-13ff-4910-b90a-1850e306e81d
Name                                                          : EXCHANGE-SRV
Fqdn                                                          : EXCHANGE-SRV.exchange.local
ClientAccessArray                                             :
OutlookAnywhereEnabled                                        : True
AutoDiscoverServiceCN                                         : EXCHANGE-SRV
AutoDiscoverServiceClassName                                  : ms-Exchange-AutoDiscover-Service
AutoDiscoverServiceInternalUri                                : https://autodiscoverredirect.maildomain-b.com /Autodiscover/Autodiscover.xml
AutoDiscoverServiceGuid                                       : 77378f46-2c66-4aa9-a6a6-3e7a48b19596
AutoDiscoverSiteScope                                         : {Default-First-Site-Name}
AlternateServiceAccountConfiguration                          :
IsOutOfService                                                : False
Identity                                                      : EXCHANGE-SRV
IsValid                                                       : True
ExchangeVersion                                               : 0.1 (8.0.535.0)
DistinguishedName                                             : CN=EXCHANGE-SRV,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=Exchange,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=intern,DC=exchange,DC=local
Guid                                                          : 98855254-8cc3-4f47-aa29-f393125aa8d0
ObjectCategory                                                : exchange.local/Configuration/Schema/ms-Exch-Exchange-Server
ObjectClass                                                   : {top, server, msExchExchangeServer}
WhenChanged                                                   : 10.07.2019 15:36:27
WhenCreated                                                   : 10.07.2019 12:44:09
WhenChangedUTC                                                : 10.07.2019 13:36:27
WhenCreatedUTC                                                : 10.07.2019 10:44:09
OrganizationId                                                :
Id                                                            : EXCHANGE-SRV
OriginatingServer                                             : AD-SRV.exchange.local
ObjectState                                                   : Unchanged

 

Im Anhang noch die Outlook Fehlermeldungen.

 

Wo oder wie konfiguriere ich die Umleitung, wie sie im Anhang "Outlook Umleitung Hinweis.png" zu sehen ist?

 

 

Liebe Grüße

 

Andy

 

Diese Meldung bezüglich einer Umleitung hätte ich gerne (Umleitung von autodiscover.maildomain-a.com auf autodiscover.maildomain-a.com).

bearbeitet 3. September 2019 von dr_wahnsinnig
Beschreibung der Umleitungs-Meldung hinzugefügt

[testperson 1.677]

Hi,

 

um wieviele Maildomains handelt es sich denn? Der einfachste Weg dürfte sein, von allen Maildomains den autodiscover.<maildomain>.<tld> ins Zertifikat aufzunehmen und die Hosts im DNS entsprechend zu konfigurieren.

 

Ansonsten, wenn es denn http-Redirect sein soll, dann eben für die weiteren Maildomains den Host autodiscover.<maildomain>.<tld> auf ein ausschließlich per http (tcp 80) erreichbares Ziel zeigen lassen und dort eben einen http-Redirect auf https://<dein_Exchange>.<hauptdomain>.<tld>/autodiscover/autodiscover.xml.

 

Natürlich sollte bei allen beteiligten Domain Providern deren Autodiscover deaktiviert werden.

 

Gruß

Jan

[Nobbyaushb 1.471]

Ist das ein Wildcard Zertifikat?

[dr_wahnsinnig 10]

 

Am 4.9.2019 um 06:35 schrieb testperson:

um wieviele Maildomains handelt es sich denn? Der einfachste Weg dürfte sein, von allen Maildomains den autodiscover.<maildomain>.<tld> ins Zertifikat aufzunehmen und die Hosts im DNS entsprechend zu konfigurieren.

Es werden laufend mehrere Domänen eingerichtet - darum leider keine Möglichkeit

Mit dem Port 80 habe ich richtig verstanden, dass eine neue Domäne einen CNAME Eintrag bekommen soll autodiscover.<maildomain>.<tld>, der dann wiederum auf umleitung.<hauptdomain>.<tld>  zeigt?

Am 4.9.2019 um 07:26 schrieb Nobbyaushb:

Ist das ein Wildcard Zertifikat?

Ja, das ist ein Wildcard Zertifikat.

[Nobbyaushb 1.471]

vor 1 Minute schrieb dr_wahnsinnig:

 

Es werden laufend mehrere Domänen eingerichtet - darum leider keine Möglichkeit

Mit dem Port 80 habe ich richtig verstanden, dass eine neue Domäne einen CNAME Eintrag bekommen soll autodiscover.<maildomain>.<tld>, der dann wiederum auf umleitung.<hauptdomain>.<tld>  zeigt?

?

Hoster?

Und mein Frage wurde nicht beantwortet...

 

OK, kam später...

bearbeitet 5. September 2019 von Nobbyaushb

[dr_wahnsinnig 10]

vor 12 Minuten schrieb Nobbyaushb:

Hoster?

Die Testdomain, die umgeleitet werden soll und die Zieldomain, liegen bei domainfactory.

[testperson 1.677]

vor 3 Stunden schrieb dr_wahnsinnig:

Mit dem Port 80 habe ich richtig verstanden, dass eine neue Domäne einen CNAME Eintrag bekommen soll autodiscover.<maildomain>.<tld>, der dann wiederum auf umleitung.<hauptdomain>.<tld>  zeigt? 

Nein, keinen CNAME (der aber theoretisch auch funktionieren könnte). Einen "normalen" A-Record. Der zeigt dann auf deinen "Autodiscover-Redirect-Dienst" und dort wird eben http://autodiscover.<domain>.<tld> per "http 301 Moved permanently" auf https://hiergibtesautodsicvoer.<domain>.<tld>/autodiscover/autodiscover.xml umgeleitet.

 

Ich glaube @Nobbyaushb meinte mit der Frage "Hoster?" ob Ihr den Exchange "Hosted" für Kunden bereitstellt. ;)

[NorbertFe 2.035]

Die dokus die ich so im Hinterkopf hab nehmen alle 302. keine Ahnung, ob das einen Unterschied macht.

[testperson 1.677]

Ich bin mir jetzt nicht mehr sicher. Meine aber wir nutzen bei uns 301. Ich gucke morgen mal nach.

Es funktioniert jedenfalls. :)

[NorbertFe 2.035]

Ich hab das heute grad mit kemp konfiguriert, und die machen es definitiv mit 302 (ja, ist nicht wirklich wichtig).

[testperson 1.677]

Bei uns ist es in der Tat ebenfalls 302. Hatte irgendwie 301 im Kopf.

Auf die Schnelle habe ich nur einen Sonderfall(?) gefunden, der scheinbar für 302 spricht: https://www.mva.ch/support/tech-blog/allgemeines-tech-blog/exchange-autodiscover-redirect-mit-outlook-2016/

 

[NorbertFe 2.035]

Hmm naja wenn du 302 einsetzt, der Sonderfall 302 einsetzt und alle anderen offenbar auch 302 nutzen, ms 302 dokumentiert... ist wohl 302 empfohlen. ;)

[testperson 1.677]

An den beiden Stellen geht MS zumindest auf beide ein:

 

https://docs.microsoft.com/en-us/exchange/client-developer/exchange-web-services/handling-autodiscover-error-messages

https://support.microsoft.com/en-us/help/3211279/outlook-2016-implementation-of-autodiscover

 

Heißt wohl, dass Outlook 2016 beides kann und bei anderen Clients es in der Hand des Entwicklers liegt. ;)

[mwiederkehr 373]

Darf ich fragen, weshalb ihr hier nicht Autodiscover per SRV-Record vorschlägt? Habe es auch immer per Redirect gemacht, aber bei Office 365 machen sie es mit SRV-Records und ich habe noch nicht von Problemen damit gehört. Selbst ältere Smartphones verbinden sich problemlos.

[NorbertFe 2.035]

Weil srv Records afaik nur von Outlook for Windows genutzt werden. Kein anderer (kaum) nutzt den, bzw. Kann damit was anfangen.