Exchange 2013 Autodiscover Zertifikatfehler
Hallo Zusammen,
wir haben letztes Jahr unseren Exchange auf Version 2013 migriert, darunter steckt ein Server 2012R2, der Exchange Server ist auf aktuellstem Updatestand (CU15)
In diesem Zuge haben wir auch erstmals den Zugriff auf OWA von extern zur Verfügung gestellt und für den externen Zugriff nein Wildcard Zertifikat gekauft und eingespielt.
Für den Zugriff von intern haben wir auf dem Server eine Zertifizierungsstelle angelegt und ein Zertifikat ausgestellt.
Soweit so gut, es funktioniert alles wunderbar.
Nun haben wir aber noch ein kleines "Problem", bei den Outlook Usern (Office 2013) erscheint nach einem Neustart bzw. beim Neu-Einrichten des Profils eine Warnung bezüglich des Zertifikats für die Autodiscover Adresse.
Unsere lokale Domäne unterscheidet sich im Namen von der Mail Domäne.
Outlook versucht nun immer über "autodiscover.maildomain.de" den Autodiscover durchzuführen, wir haben daher einen DNS Eintrag Angelegt der diese Anfragen an den Exchange Server (EXCHSRV) weiter leitet.
Soweit, so gut, Autodiscover funktioniert problemlos, allerdings erhalten wir ständig einen Zertifikatfehler denn, Outlook kontaktiert die Adresse "autodiscover.maildomain.de" erhält aber eine Antwort von autodiscover.EXCHSRV.domain.local inklusive des dazugehörigen internen Zertifikats.
Der Name auf diesem Zertifikat (EXCHSRV) weicht natürlich von der ursprünglichen Adresse "autodiscover.maildomain.de" ab und erzeugt somit diesen Fehler.
Folgendes haben wir bereits getestet:
- SCP im AD anlegen und autodiscover auf den EXCHSRV einstellen -> Keine Veränderung
- XML Datei auf dem Exchange bearbeitet -> danach ging Autodiscover gar nicht mehr
- Am Exchange via powershell und "set-ClientAccessServer" den Server "EXCHSRV" in die "AutodiscoverServiceInternalUri" eingetragen. -> keine Veränderung
Hat jemand noch eine Idee wo man die Autodiscover URL angeben kann damit outlook diese in jedem Fall verwendet bzw. gibt es die Möglichkeit dem Autodiscoverdienst Zusätzlich noch das Wildcard Zertifikat zu hinterlegen so dass beide Serveradressen (EXCHSRV und maildomain.de) als sicher eingestuft werden?
Vielen Dank schonmal für jeden Denkanstoß
Grüße
Unexpected
wir haben letztes Jahr unseren Exchange auf Version 2013 migriert, darunter steckt ein Server 2012R2, der Exchange Server ist auf aktuellstem Updatestand (CU15)
In diesem Zuge haben wir auch erstmals den Zugriff auf OWA von extern zur Verfügung gestellt und für den externen Zugriff nein Wildcard Zertifikat gekauft und eingespielt.
Für den Zugriff von intern haben wir auf dem Server eine Zertifizierungsstelle angelegt und ein Zertifikat ausgestellt.
Soweit so gut, es funktioniert alles wunderbar.
Nun haben wir aber noch ein kleines "Problem", bei den Outlook Usern (Office 2013) erscheint nach einem Neustart bzw. beim Neu-Einrichten des Profils eine Warnung bezüglich des Zertifikats für die Autodiscover Adresse.
Unsere lokale Domäne unterscheidet sich im Namen von der Mail Domäne.
Outlook versucht nun immer über "autodiscover.maildomain.de" den Autodiscover durchzuführen, wir haben daher einen DNS Eintrag Angelegt der diese Anfragen an den Exchange Server (EXCHSRV) weiter leitet.
Soweit, so gut, Autodiscover funktioniert problemlos, allerdings erhalten wir ständig einen Zertifikatfehler denn, Outlook kontaktiert die Adresse "autodiscover.maildomain.de" erhält aber eine Antwort von autodiscover.EXCHSRV.domain.local inklusive des dazugehörigen internen Zertifikats.
Der Name auf diesem Zertifikat (EXCHSRV) weicht natürlich von der ursprünglichen Adresse "autodiscover.maildomain.de" ab und erzeugt somit diesen Fehler.
Folgendes haben wir bereits getestet:
- SCP im AD anlegen und autodiscover auf den EXCHSRV einstellen -> Keine Veränderung
- XML Datei auf dem Exchange bearbeitet -> danach ging Autodiscover gar nicht mehr
- Am Exchange via powershell und "set-ClientAccessServer" den Server "EXCHSRV" in die "AutodiscoverServiceInternalUri" eingetragen. -> keine Veränderung
Hat jemand noch eine Idee wo man die Autodiscover URL angeben kann damit outlook diese in jedem Fall verwendet bzw. gibt es die Möglichkeit dem Autodiscoverdienst Zusätzlich noch das Wildcard Zertifikat zu hinterlegen so dass beide Serveradressen (EXCHSRV und maildomain.de) als sicher eingestuft werden?
Vielen Dank schonmal für jeden Denkanstoß
Grüße
Unexpected
Please also mark the comments that contributed to the solution of the article
Content-Key: 328108
Url: https://administrator.de/contentid/328108
Printed on: April 19, 2024 at 22:04 o'clock
8 Comments
Latest comment
Moin,
ich lege für die Konfiguration von Autodiscover & Co erstmal folgendes Powershellskript ans Herz:
Powershell: Konfigurieren der internen und externen URLs von Exchange Server 2013, 2016
Danach die Lektüre zu dem Thema:
https://www.frankysweb.de/exchange-2016-zertifikate-konfigurieren/
https://www.frankysweb.de/exchange-2016-zertifikate-konfigurieren-teil-2 ...
https://www.frankysweb.de/exchange-2016-zertifikate-konfigurieren-teil-3 ...
https://www.frankysweb.de/exchange-2016-umfangreiches-whitepaper-zu-auto ...
Gruß,
Dani
ich lege für die Konfiguration von Autodiscover & Co erstmal folgendes Powershellskript ans Herz:
Powershell: Konfigurieren der internen und externen URLs von Exchange Server 2013, 2016
Danach die Lektüre zu dem Thema:
https://www.frankysweb.de/exchange-2016-zertifikate-konfigurieren/
https://www.frankysweb.de/exchange-2016-zertifikate-konfigurieren-teil-2 ...
https://www.frankysweb.de/exchange-2016-zertifikate-konfigurieren-teil-3 ...
https://www.frankysweb.de/exchange-2016-umfangreiches-whitepaper-zu-auto ...
Gruß,
Dani
Hallo,
und genau darum konfiguriere ich für den Zugriff von intern und extern grundsätzlich die gleiche (offizielle) Adresse...
Gruß,
Jörg
und genau darum konfiguriere ich für den Zugriff von intern und extern grundsätzlich die gleiche (offizielle) Adresse...
Gruß,
Jörg
Hallo,
richtig - der Exchanger heißt bei mir immer remote.offizielledomain.de, wobei ich den Eintrag dann intern auf eine lokale IP-Adresse auflöse.
Im externen DNS löse ich das auf die externe IP-Adresse auf.
Aber, wie Du schon richtig festgestellt hast - das ist nichts, was man "mal eben an einem Nachmittag" via Cut und Paste aus irgendwelchen Powershell-Tippseiten herauskopiert.
Gruß,
Jörg
richtig - der Exchanger heißt bei mir immer remote.offizielledomain.de, wobei ich den Eintrag dann intern auf eine lokale IP-Adresse auflöse.
Im externen DNS löse ich das auf die externe IP-Adresse auf.
Aber, wie Du schon richtig festgestellt hast - das ist nichts, was man "mal eben an einem Nachmittag" via Cut und Paste aus irgendwelchen Powershell-Tippseiten herauskopiert.
Gruß,
Jörg