8
Exchange 2013 Autodiscover Zertifikatfehler
Hallo Zusammen,
wir haben letztes Jahr unseren Exchange auf Version 2013 migriert, darunter steckt ein Server 2012R2, der Exchange Server ist auf aktuellstem Updatestand (CU15)
In diesem Zuge haben wir auch erstmals den Zugriff auf OWA von extern zur Verfügung gestellt und für den externen Zugriff nein Wildcard Zertifikat gekauft und eingespielt.
Für den Zugriff von intern haben wir auf dem Server eine Zertifizierungsstelle angelegt und ein Zertifikat ausgestellt.
Soweit so gut, es funktioniert alles wunderbar.
Nun haben wir aber noch ein kleines "Problem", bei den Outlook Usern (Office 2013) erscheint nach einem Neustart bzw. beim Neu-Einrichten des Profils eine Warnung bezüglich des Zertifikats für die Autodiscover Adresse.
Unsere lokale Domäne unterscheidet sich im Namen von der Mail Domäne.
Outlook versucht nun immer über "autodiscover.maildomain.de" den Autodiscover durchzuführen, wir haben daher einen DNS Eintrag Angelegt der diese Anfragen an den Exchange Server (EXCHSRV) weiter leitet.
Soweit, so gut, Autodiscover funktioniert problemlos, allerdings erhalten wir ständig einen Zertifikatfehler denn, Outlook kontaktiert die Adresse "autodiscover.maildomain.de" erhält aber eine Antwort von autodiscover.EXCHSRV.domain.local inklusive des dazugehörigen internen Zertifikats.
Der Name auf diesem Zertifikat (EXCHSRV) weicht natürlich von der ursprünglichen Adresse "autodiscover.maildomain.de" ab und erzeugt somit diesen Fehler.
Folgendes haben wir bereits getestet:
- SCP im AD anlegen und autodiscover auf den EXCHSRV einstellen -> Keine Veränderung
- XML Datei auf dem Exchange bearbeitet -> danach ging Autodiscover gar nicht mehr
- Am Exchange via powershell und "set-ClientAccessServer" den Server "EXCHSRV" in die "AutodiscoverServiceInternalUri" eingetragen. -> keine Veränderung
Hat jemand noch eine Idee wo man die Autodiscover URL angeben kann damit outlook diese in jedem Fall verwendet bzw. gibt es die Möglichkeit dem Autodiscoverdienst Zusätzlich noch das Wildcard Zertifikat zu hinterlegen so dass beide Serveradressen (EXCHSRV und maildomain.de) als sicher eingestuft werden?
Vielen Dank schonmal für jeden Denkanstoß
Grüße
Unexpected
wir haben letztes Jahr unseren Exchange auf Version 2013 migriert, darunter steckt ein Server 2012R2, der Exchange Server ist auf aktuellstem Updatestand (CU15)
In diesem Zuge haben wir auch erstmals den Zugriff auf OWA von extern zur Verfügung gestellt und für den externen Zugriff nein Wildcard Zertifikat gekauft und eingespielt.
Für den Zugriff von intern haben wir auf dem Server eine Zertifizierungsstelle angelegt und ein Zertifikat ausgestellt.
Soweit so gut, es funktioniert alles wunderbar.
Nun haben wir aber noch ein kleines "Problem", bei den Outlook Usern (Office 2013) erscheint nach einem Neustart bzw. beim Neu-Einrichten des Profils eine Warnung bezüglich des Zertifikats für die Autodiscover Adresse.
Unsere lokale Domäne unterscheidet sich im Namen von der Mail Domäne.
Outlook versucht nun immer über "autodiscover.maildomain.de" den Autodiscover durchzuführen, wir haben daher einen DNS Eintrag Angelegt der diese Anfragen an den Exchange Server (EXCHSRV) weiter leitet.
Soweit, so gut, Autodiscover funktioniert problemlos, allerdings erhalten wir ständig einen Zertifikatfehler denn, Outlook kontaktiert die Adresse "autodiscover.maildomain.de" erhält aber eine Antwort von autodiscover.EXCHSRV.domain.local inklusive des dazugehörigen internen Zertifikats.
Der Name auf diesem Zertifikat (EXCHSRV) weicht natürlich von der ursprünglichen Adresse "autodiscover.maildomain.de" ab und erzeugt somit diesen Fehler.
Folgendes haben wir bereits getestet:
- SCP im AD anlegen und autodiscover auf den EXCHSRV einstellen -> Keine Veränderung
- XML Datei auf dem Exchange bearbeitet -> danach ging Autodiscover gar nicht mehr
- Am Exchange via powershell und "set-ClientAccessServer" den Server "EXCHSRV" in die "AutodiscoverServiceInternalUri" eingetragen. -> keine Veränderung
Hat jemand noch eine Idee wo man die Autodiscover URL angeben kann damit outlook diese in jedem Fall verwendet bzw. gibt es die Möglichkeit dem Autodiscoverdienst Zusätzlich noch das Wildcard Zertifikat zu hinterlegen so dass beide Serveradressen (EXCHSRV und maildomain.de) als sicher eingestuft werden?
Vielen Dank schonmal für jeden Denkanstoß
Grüße
Unexpected
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 328108
Url: https://administrator.de/contentid/328108
Printed on: April 19, 2024 at 22:04 o'clock
8 Comments
Latest comment
Anbei noch ein Screenshot des Zertifikatfehlers
Ich bin nun noch folgendermaßen vorgegangen (nur dass bei uns im Zertifikat der FQDn des Mail Servers drin steht und ich daher dessen adresse überall angegeben habe anstelle der externen domain. Leider hat dies überhaupt nichts geändert, outlook versucht immernoch "autodiscover.maildomain.de" anzufragen und meckert dann wegen dem abweichenden Hostnamen im Zert...
http://www.it-dienstleistungen.de/ms-exchange-problem-servername-und-na ...
Autodiscover funktioniert nach wie vor, es kommt lediglich die meldung beim einrichten..
http://www.it-dienstleistungen.de/ms-exchange-problem-servername-und-na ...
Autodiscover funktioniert nach wie vor, es kommt lediglich die meldung beim einrichten..
Moin,
ich lege für die Konfiguration von Autodiscover & Co erstmal folgendes Powershellskript ans Herz:
Powershell: Konfigurieren der internen und externen URLs von Exchange Server 2013, 2016
Danach die Lektüre zu dem Thema:
https://www.frankysweb.de/exchange-2016-zertifikate-konfigurieren/
https://www.frankysweb.de/exchange-2016-zertifikate-konfigurieren-teil-2 ...
https://www.frankysweb.de/exchange-2016-zertifikate-konfigurieren-teil-3 ...
https://www.frankysweb.de/exchange-2016-umfangreiches-whitepaper-zu-auto ...
Gruß,
Dani
ich lege für die Konfiguration von Autodiscover & Co erstmal folgendes Powershellskript ans Herz:
Powershell: Konfigurieren der internen und externen URLs von Exchange Server 2013, 2016
Danach die Lektüre zu dem Thema:
https://www.frankysweb.de/exchange-2016-zertifikate-konfigurieren/
https://www.frankysweb.de/exchange-2016-zertifikate-konfigurieren-teil-2 ...
https://www.frankysweb.de/exchange-2016-zertifikate-konfigurieren-teil-3 ...
https://www.frankysweb.de/exchange-2016-umfangreiches-whitepaper-zu-auto ...
Gruß,
Dani
Hallo,
und genau darum konfiguriere ich für den Zugriff von intern und extern grundsätzlich die gleiche (offizielle) Adresse...
Gruß,
Jörg
und genau darum konfiguriere ich für den Zugriff von intern und extern grundsätzlich die gleiche (offizielle) Adresse...
Gruß,
Jörg
sprich deine interne domain heißt gleich wie deine externe?
Die URL´s hab ich in jeder möglichen konstellation eingetragen, hilft leider nichts, werden uns wohl intensiver mit dem thema befassen müssen
Hallo,
richtig - der Exchanger heißt bei mir immer remote.offizielledomain.de, wobei ich den Eintrag dann intern auf eine lokale IP-Adresse auflöse.
Im externen DNS löse ich das auf die externe IP-Adresse auf.
Aber, wie Du schon richtig festgestellt hast - das ist nichts, was man "mal eben an einem Nachmittag" via Cut und Paste aus irgendwelchen Powershell-Tippseiten herauskopiert.
Gruß,
Jörg
richtig - der Exchanger heißt bei mir immer remote.offizielledomain.de, wobei ich den Eintrag dann intern auf eine lokale IP-Adresse auflöse.
Im externen DNS löse ich das auf die externe IP-Adresse auf.
Aber, wie Du schon richtig festgestellt hast - das ist nichts, was man "mal eben an einem Nachmittag" via Cut und Paste aus irgendwelchen Powershell-Tippseiten herauskopiert.
Gruß,
Jörg
Also, ich habe unseren Fehler gefunden, wir sind damals für die Zertifikatgeschichte nach einer Doku von "frankysweb" vorgegangen, dort wurde es auch richtig beschrieben, wir haben es nur falsch verstanden. Wir hatten damals ins interne Zertifikat nur die interne domain und den DNS Name des Exchange angegeben weil wir dachten für die externe domain wird in jedem Fall das geotrust wildcard Zertifikat genutzt.
ich hab dann heute nochmal in unserer internen CA ein wildcard ausgestellt welches beide domains enthält "*.intern.local" und *.extern.de"
Das Zertifikat an die Exchange Dienste gebunden, UM Dienst neu gestartet und siehe da, keine blöde Warnung mehr.
Vor der nächsten Exchange Migration gibt es dann ne Zertifikat Schulung
Danke für eure Hilfe!
ich hab dann heute nochmal in unserer internen CA ein wildcard ausgestellt welches beide domains enthält "*.intern.local" und *.extern.de"
Das Zertifikat an die Exchange Dienste gebunden, UM Dienst neu gestartet und siehe da, keine blöde Warnung mehr.
Vor der nächsten Exchange Migration gibt es dann ne Zertifikat Schulung
Danke für eure Hilfe!
