Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Autodiscover bei halb interner - halb externer Domain

Frage Microsoft Exchange Server

Mitglied: invernesscream

invernesscream (Level 1) - Jetzt verbinden

19.03.2017 um 20:19 Uhr, 631 Aufrufe, 13 Kommentare

Hallo liebes Support-Team,

folgendes Problem beschäftigt mich.

Ein Exchange 2016 nutzt 2 Domains (intern.kunde.de und kunde.de). Die Kunde.de Domain ist die Standard-Domain auch nach außen hin. Der Exchange hat das Standard selbstsignierte Zertifikat und kein öffentliches SAN-Zertifikat. Der Exchange ist nach außen hin nicht öffentlich. Die Mails werden über einen POP-Connector abgeholt (von den entsprechen Online-E-Mail-Konten beim Domain-Hoster von Kunde.de). Der Versand erfolgt über einen Smarthost (Provider von Kunde.de).
Nun bekommen die Outlook-Clients beim Start Zertifikat-Warnungen für autodiscover.kunde.de und mail.kunde.de. (Verweist auf ein Zertifikat eines Online-Shops, der beim gleichen Provider liegt). Wie schaffe ich es Outlook 2010 - 2016 begreiflich zu machen, dass es autodiscover.kunde.de und mail.kunde.de nicht zu interessieren braucht oder hat, da die Exchange-Postfächer eh nur intern erreichbar sind (kein OWA, kein Active Sync, kein Zugriff von außen)?

Bin für jeden Tipp dankbar.
Mitglied: SeaStorm
19.03.2017 um 22:05 Uhr
hi

ist das Zertifikat auf "autodiscover.kunde.de" bzw "mail.kunde.de" ausgestellt ?
Wenn nein: Das muss es. Kannst auch ein selbstsigniertes nehmen und das dann bei deinen Clients in die Vertrauenswürdigen Zertifikate schmeissen.

Falls es das ist: Ist es ein Selbtsigniertes oder ein "richtiges", von einer entsprechenden CA ausgestellt? Bei letzterem sollte es keine Probleme geben, ausser das das Zertifikat evtl nicht korrekt eingerichtet wurde ( Zwischenzertifizierungsstelle?!).
Bitte warten ..
Mitglied: StefanKittel
20.03.2017 um 00:43 Uhr
Hallo,

Stichwort ist bei solchen Dinge fast immer Split-DNS.

Outlook prüft immer per Autodiscover.
Also müssen die entsprechenden Hostnamen vom DNS-Server auf die interne IP des Exchange aufgelöst werden.

Stefan
Bitte warten ..
Mitglied: invernesscream
20.03.2017 um 08:27 Uhr
Hallo, vielen Dank für deine Antwort.
Es ist ein selbstsigniertes, praktisch das was beim Installieren des Exchange erzeugt wurde. Darüberhinaus gibt es keine interne Zertifizierungsstelle.
Im Exchange sind für die Websites auch keine externen Domains eingetragen.
Bitte warten ..
Mitglied: invernesscream
20.03.2017 um 08:29 Uhr
Hallo,

Danke für deine Antwort.
Welche Einträge wären da im DNS zu setzen, damit autodiscover die interne Auflösung nutzt und nicht beim Provider die Einträge abfragt?

Grüße
Bitte warten ..
Mitglied: smeclnt
20.03.2017 um 08:51 Uhr
Hallo,
autodiscover.deinedomain.de mit Weiterleitung auf Deine IP vom Router und offenem 443 Port.
Regards
Bitte warten ..
Mitglied: smeclnt
20.03.2017 um 08:52 Uhr
Ah... interne Weiterleitung 443 an EX Server vergessen...
Bitte warten ..
Mitglied: invernesscream
20.03.2017 um 10:30 Uhr
Hallo, geht das denn nicht nur intern? Das der interne DNS das Autodiscover direkt an die interne IP des Exchange sendet?
Ich wollte den Exchange nicht nur wegen der Autodiscover Abfrage nach außen freigeben.
Mir gefällt das mit dem POP-Connector auch nicht wirklich, da man den Exchange ja ziemlich im Funktionsumfang beschneidet, aber da mein Bekannter keine feste IP hat, nutzt er quasi den Exchange nur als E-Mail-Verteiler und gemeinsame Kalender. Keinerlei Funktionen, die irgendwie ins öffentliche Netz gehen.
Bitte warten ..
Mitglied: Chonta
LÖSUNG 20.03.2017 um 11:11 Uhr
Hallo,

wenn die Mailadresse benutzer@kunde.de ist, dann will outlook auch über kunde.de di eauflösung machen, kannst Du mit wireshart wunderbar prüfen.

Wenn es Dir nur um interne Clients geht, dann Split DNS, das bedeutet Du musst auf dem intrnen DNS-Server die Domain kunde.de anlegen und dort alles nutwendige hinterlegen.
Mit Notwendig ist gemeint alles das was man aus dem Internen Netzwerk auch extern erreicht werden soll.
Also musst Du z.B. den www.kunde.de Eintrag hinterlegen und selber pflegen wenn die Webseite www.kunde.de erreichbar sein soll.
Wenn Du dan die richtigen autodiscover DNS Einträge machst, lösen alle internen Clients den internen Exchange auf.
Das Problem dabei ist, alles was Du nicht in deiner lokalen kunde.de Zone einrichtest, können die Clients auch nie erreichen.

Oder Du kannst die DNS Einstellungen von kunde.de so abändern, das die auf den Exchange verweisen, was dann aber die jetzigen einstellungen für alle ändert.

Gruß

Chonta
Bitte warten ..
Mitglied: invernesscream
20.03.2017 um 11:55 Uhr
Danke, probiere ich aus.
So wie du geschrieben hast, sind die primären Adressen Kunde.de und nicht intern.kunde.de.
Eine Zone in DNS auf Autodiscover.kunde.de und den A Eintrag auf den Exchange wird nicht reichen oder?
Bitte warten ..
Mitglied: Chonta
LÖSUNG 20.03.2017 um 12:01 Uhr
So wie du geschrieben hast, sind die primären Adressen Kunde.de und nicht intern.kunde.de.
Es kommt drauf an, was die primäre Mailadresse der Benutzer ist und wohin sich Outlook verbinden will.
Bei mir gehen eingie Clients den internen Weg aber eingie wollen bei Verwendung von Autodiscover immer über die externe Domäne gehen, kann man mit Wireshark prüfen.
Gib den Clients die Adressen die sie wollen und es läuft.

Eine Zone in DNS auf Autodiscover.kunde.de
Wenn Du das so hinbekommst das Autodiscover.kunde.de auf die IP des exchange verweißt passt das.
Hätte bei einer Zone den Vorteil, das kunde.de normal weiterläuft.

Gruß

Chonta
Bitte warten ..
Mitglied: invernesscream
20.03.2017 um 13:02 Uhr
Das scheint nun zu klappen. Er fragt nicht mehr beim Provider nach autodiscover. Allerdings kommt nun die Zertifikatsmeldung, dass das selbstsignierte Zertifikat vom Exchange2016 nicht zu autodiscover.kunde.de passt.
Bitte warten ..
Mitglied: Chonta
LÖSUNG 20.03.2017 um 13:52 Uhr
selbstsignierte Zertifikat vom Exchange2016 nicht zu autodiscover.kunde.de passt.
Dann musst Du ein neues erstellen, das alles nötige beinhaltet.
Du solltest am besten eine CA Struktur dafür verwenden, also nicht selbssgniert sondern Selbst segniertes CA-Zertifikat und mit dem dann das Zertifikat für den Exchange signieren.
Eine CA Struktur kann man auch wunderbar über openssl aufbauen ohne die Windows-CA zu implementieren.

Das CA Zertifikat dann einfach per GPO ausrollen und alles ist gut.

Gruß

Chonta
Bitte warten ..
Mitglied: invernesscream
21.03.2017 um 21:53 Uhr
Problem beseitigt. Mit der Autodiscover DNS Zone und dem neuen selbstsignierten Exchange Zertifikat bringen die Outlook Clients keine Fehler mehr.
Danke für eure hilfreichen Antworten.
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Externe Domain-Auflösung im internen Netz
gelöst Frage von berrysWindows Netzwerk3 Kommentare

Guten Abend zusammen, Ich stehe kurz vor meiner Prüfung um habe ein kleines Problem bei meinem Abschlschlussprojekt bei dem ...

Exchange Server
Autodiscover mit externer Domain und deren eMail-Adresseb im AD
Frage von toxictypeExchange Server

Hallo liebe Admins, ich habe hier bzgl. meines Problems bereits recherchiert, allerdings scheint es, etwas verstrickter zu sein. Ich ...

Exchange Server
Autodiscover mit mehreren Domains
gelöst Frage von DelPieroExchange Server10 Kommentare

Hallo zusammen Ich steh mal wieder vor einem Problem. Folgendes Szenario: - cas.abc.de - Exchange 2013 Client Access - ...

Exchange Server
Exchange 2010: Welche Domain Namen brauche ich im öffentlichen Zertifikat (interne Domain ist eine andere als die Externe)
Frage von foobarExchange Server2 Kommentare

Hallo, ein Exchange Server 2010 soll neben internen Outlooks auf Clients die in der Domäne sind, wie auch von ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 28 MinutenVerschlüsselung & Zertifikate

Interessant SSH-Kommando in CMD.exe und PowerShell

Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 1 TagApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 1 TagWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 1 TagWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
gelöst Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement17 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...