Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Exchange 2010 Outlook Anywhere Autodiscover SRV DNS

Mitglied: TomJones

TomJones (Level 1) - Jetzt verbinden

23.10.2014, aktualisiert 20:33 Uhr, 3509 Aufrufe, 5 Kommentare, 1 Danke

Hallo zusammen,

ich bekomme es einfach nicht hin...

Ich habe hier einen SBS 2011.
Domäne: firma.local

Subdomain mit A-Record verweisend auf meinen SBS:
mail.firma.com

Positive SSL Zertifikat für mail.firma.com ist vorhanden und funktioniert auch, getestet über z.B. /owa

Nun muss ich einen Client per Outlook Anywhere anbinden.
Beim starten von Outlook bekomme ich eine Zertifikats Fehlermeldung, dass autodiscover.firma.com nicht im Zertifikat enthalten ist, jo, kann ich bestätigen, soll aber auch nicht.

Ich habe nun im DNS-Server auf dem SBS2011 eine Forward-Lookupzone angelegt:
firma.com

Darin habe ich einen SRV Eintrag erstellt:
firma.com
_autodiscover
_tcp
0
0
443
mail.firma.com

Nur leider bekomme ich mein "Problem" so nicht gelöst, mache ich irgendwas falsch?

nslookup zeigt folgendes:

Nicht autorisierende Antwort:
_autodiscover._tcp.firma.com SRV service l
priority = 0
weight = 0
port = 443
svr hostname = mail.firma.com

Habt Ihr einen Tipp für mich, wo mein Fehler ist?

Ich danke Euch

Edit:

Das Beste ist, ich habe es spoantan mit zwei weiteren Kunden probiert, alle die ziemlich gleiche Konfiguration, nur unterschiedliche Provider.
Das einzige was sich unterscheidet, sind die nslookup Rückgaben:

Kunde 1:
DNS request timed out.
timeout was 2 seconds.
Zeitüberschreitung bei Anforderung an 192.168.10.200.

Kunde 2:
DNS request timed out.
timeout was 2 seconds.
Zeitüberschreitung bei Anforderung an 192.168.10.200.


Was mir dabei gerade aufgefallen ist, bevor ich die SRV Einträge im DNS-Server des SBS2011 gemacht habe, hat mir nslookup auch schon:
Nicht autorisierende Antwort:
_autodiscover._tcp.firma.com SRV service l
priority = 0
weight = 0
port = 443
svr hostname = mail.firma.com

gezeigt.

Kann es sein, dass das Problem der Provider ist, dass der schon so einen SRV Eintrag vorgenommen hat?
Bei Kunde 1 und Kunde 2 funktioniert autodiscover laut Outlook E-mail Autokonfiguration Test nämlich nicht, was aber auch nicht schlimm ist, da es nicht genutzt wird.

Was meint Ihr?
Mitglied: emeriks
23.10.2014 um 21:54 Uhr
Hi,
zwei Sachen fallen mir ein:
Erstens muss das Outlook min. einmal vom internen Netz das Postfach öffnen, bevor das von Extern über Anywhere geht.
Zweitens: Was nützt Dir intern eine Zone "forma.com" mit den entsprechenden Einrägen, wenn der Zugriff von Extern kommt und der Client dann den externen DNS-Server abfragt? Oder hast Du diesen Record auch in der externen Zone erstellt?

E.
Bitte warten ..
Mitglied: coltseavers
23.10.2014, aktualisiert um 23:12 Uhr
Hallo Tom,

da muss ich emeriks leider widersprechen: Outlook kann auch von extern aus eingerichtet werden.
Wenn man in den Kontoeinstellungen unter Exchange-Kontoeinstellungen -> "Verbindungen" die Exchange-Proxyeinstellungen korrekt setzt, kann man auch "ausser Haus" in einem frisch installierten Outlook ein Konto anlegen, das sich dann sofort mit dem Exchange-Server im Firmen-LAN problemlos verbindet und synchronisiert. (dafür ist die autodiscover-Funktion ja schliesslich da!)

Ich kann leider nicht ganz präzise helfen, da ich den 2011er-Server nicht kenne (arbeite selbst mit SBS2008 und Exchange 2007), aber das Prinzip dürfte im Wesentlichen identisch sein.
Das Gewurschtel im DNS ist definitiv keine saubere Lösung - sowa steht in keinem (vernünftigen) Handbuch.
SRV-Einträge sind nicht erforderlich (wüsste auch nicht, dass Outlook-Clients sowas nutzen können).
Für die Verbindung der Clients reichen ganz normale A-Records im DNS-Eintrag der externen Domain (auf dem DNS-Server im WAN). Der DNS-Server im LAN muss nicht konfiguriert werden.

Laut dem Exchange 2007-Buch von Ulrich Boddenberg wirst Du für einen sauberen(!) Zugriff von aussen auf jeden Fall eines der beiden Zertifikate benötigen:
-SAN-Zertifikat (für mehrere, konkrete Domains: firma.com, autodiscover.firma.com, remote.firma.com, evtl webmail.firma.com)
-Wildcard-Zertifikat (für firma.com inkl aller Unterdomains)

Am schönsten geht das natürlich mit gekauften Zertifikaten, die von Outlook und dem Browser ohne zu meckern sofort akzeptiert werden.
Mir war das damals jedoch zu teuer, und so habe ich ein SAN-Zertifikat auf dem SBS2008 selbst erstellt, und die Zertifikate dann auf den Clients einmalig verteilt.
Alternativ können die PC/Laptop-Clients sich auch im LAN einmal in der Domäne anmelden, dann wird das Zertifikat, meine ich, sogar automatisch rübergeschaufelt.
Nur bei Smartphones geht das natürlich nicht - da muss ein selbst erstelltes Zertifikat entweder installiert, oder bei der ersten Verbindung akzeptiert werden.
Bei einer überschaubaren Client-Anzahl von unter 20 ist das aber durchaus praktikabel.

Ich kann Dir die Bücher von diesem Autor nur wärmstens empfehlen - da steht leicht verständlich und umfangreich drin, wie man sowas von A bis Z vernünftig macht - die ganzen Tutorials, die ich im Internet dazu gefunden habe, waren entweder nicht standard-konformes Gewurschtel, oder nicht vollständig.
Und selbst wenn Du wurschtelst und es läuft irgendwann - wirklich wissen tust Du dann immer noch nichts so richtig. Die Thematik ist einfach zu komplex, um mal eben in nem Forum ein 5-Minuten-Tutorial abzuarbeiten.
Deshalb meine Empfehlung: 50-60 Euro für so'n Buch investiert, und dann hat man auch eine saubere Lösung, man versteht die Hintergründe (wie sich das Microsoft gedacht hat), und man weiss, wie es richtig geht.
Man hat dann also nicht nur ne Lösung, sondern man versteht auch die Abläufe etc, und das ist ne Menge wert!

Gruß,
Colt
Bitte warten ..
Mitglied: filippg
24.10.2014 um 00:15 Uhr
Hallo,

das Outlook ohne Autodiscover geht ist nur eine Halbwahrheit. Meinetwegen 90%-Wahrheit: Mailsychronisation geht, aber alles, was die Webservices benötigt (Free&Busy, OOF, Regeln, Mailtips...) geht nicht - die kann man nämlich nicht manuell in Outlook konfigurieren, weder intern noch extern.
Dass SRV ein "gewurschtel" wäre stimmt nicht, genausowenig, wie dass man zig Namen auf den Zertifikaten bräuchte.

Ich würde dir einen Test mit https://testconnectivity.microsoft.com/ empfehlen.

Wenn ich dich richtig verstehe, dann funktioniert bei dir Autodiscover dadurch, dass der Host autodiscover.firma.com gefunden wird - nur ist der Name nicht im Zertifikat. Dann wirst du das nur mit einen _zusätzlichen_ SRV-Record nicht gelöst bekommen: Outlook testet die verschiedenen Methoden sequentiell, wird immer zuerst den A-Record autodiscover.firma.com finden, dort einen Host finden und diesen dann nehmen - der SRV-Record wird nicht mehr getestet.
Lösung: die A-Record autodiscover.firma.com löschen. Dann wird weitergesucht, und der SRV gefunden (sofern er auch extern aufgelöst werden kann - siehe Hinweis emeriks).

Grüße

Filipp
Bitte warten ..
Mitglied: coltseavers
24.10.2014, aktualisiert um 10:40 Uhr
Hallo

Zitat von filippg:


Dass SRV ein "gewurschtel" wäre stimmt nicht, genausowenig, wie dass man zig Namen auf den Zertifikaten
bräuchte.
So, wie Tom es bisher gemacht hat, scheint es sehr wohl ein Gewurschtel zu sein - try and error halt.
Und nötig sind SRV-Einträge ohnehin nicht.
Wie Du selbst schon sagst, geht es ohne Autodiscover nicht vernünftig. Dann kann mans auch gleich vernünftig lösen: über ein SAN- oder Wildcard-Zertifikat, denn ohne Zertifikat gehts ja eh nicht.

Dass zig Namen auf dem Zertifikat erforderlich ist, habe ich nicht behauptet. Aber zwei sind schon zu empfehlen:
autodiscover und dann noch die Domain, über die OWA etc aufgerufen wird - also z.b. webmail.firma.de oder exchange.firma.de - whatever.
Evtl gibt es Szenarien, bei denen weitere Domains sinnvoll sein können.
Ob die interne Domäne auch noch rein muss, weiss ich grad nicht - könnte aber (sinnvoll) sein. Schaden tuts jedenfalls nicht.


Gruß,
Markus
Bitte warten ..
Mitglied: TomJones
24.10.2014 um 11:03 Uhr
Hallo,

das Problem ist nun "gelöst".
Der provider hatte wieso auch immer, die subdomain autodiscover.firma.de sowie einen SRV-Eintrag im DNS eingerichtet.

Ich habe die Einträge löschen lassen und nun funktioniert alles.
Outlook selber habe ich manuell eingerichtet, dass hat auch alles funktioniert.
Nun wollte sich Outlook durch den SRV-Eintrag beim Provider Werte per Autodiscover ziehen, was ich allerdings nicht will.

Also hat die bewusste falsch Konfiguration, nämlich das Autodiscover nicht funktioniert, mein Problem gelöst.
Bitte warten ..
Ähnliche Inhalte
Exchange Server

AUTODISCOVER EXCHANGE für OUTlook Anywhere

Frage von poonerExchange Server3 Kommentare

Hallo, ich habe ein Problem und komme nicht weiter. Ausgangssituation: SBS 2011 mit Exchange. Für den Server wurde beim ...

Exchange Server

Outlook Anywhere Exchange 2010 und Outlook 2010

gelöst Frage von horstvogelExchange Server5 Kommentare

Hallo, ich habe eine Verständnisfrage zu Outlook Anywhere. Derzeit ist dieses bei uns nicht aktiv, laut Aussage unseres Dienstleisters ...

Exchange Server

Exchange 2010 - Outlook Anywhere - Zertifikat

gelöst Frage von derinderinderinExchange Server6 Kommentare

Hallo Zusammen, Ich habe mich hier und in anderen diversen Foren durch das Thema durchgeackert aber ich komm einfach ...

Exchange Server

Exchange 2010 AutoDiscover lokal

gelöst Frage von chb1982Exchange Server16 Kommentare

Hallo zusammen, ich habe ein Problem in einer Umgebung um Exchange 2010 und damit verbunden Ladehämmungen was das Verständnis ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 3 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 10 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 13 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 1 TagWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...