Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Autodiscover bei halb interner - halb externer Domain

Frage Microsoft Exchange Server

Mitglied: invernesscream

invernesscream (Level 1) - Jetzt verbinden

19.03.2017 um 20:19 Uhr, 419 Aufrufe, 13 Kommentare

Hallo liebes Support-Team,

folgendes Problem beschäftigt mich.

Ein Exchange 2016 nutzt 2 Domains (intern.kunde.de und kunde.de). Die Kunde.de Domain ist die Standard-Domain auch nach außen hin. Der Exchange hat das Standard selbstsignierte Zertifikat und kein öffentliches SAN-Zertifikat. Der Exchange ist nach außen hin nicht öffentlich. Die Mails werden über einen POP-Connector abgeholt (von den entsprechen Online-E-Mail-Konten beim Domain-Hoster von Kunde.de). Der Versand erfolgt über einen Smarthost (Provider von Kunde.de).
Nun bekommen die Outlook-Clients beim Start Zertifikat-Warnungen für autodiscover.kunde.de und mail.kunde.de. (Verweist auf ein Zertifikat eines Online-Shops, der beim gleichen Provider liegt). Wie schaffe ich es Outlook 2010 - 2016 begreiflich zu machen, dass es autodiscover.kunde.de und mail.kunde.de nicht zu interessieren braucht oder hat, da die Exchange-Postfächer eh nur intern erreichbar sind (kein OWA, kein Active Sync, kein Zugriff von außen)?

Bin für jeden Tipp dankbar.
Mitglied: SeaStorm
19.03.2017 um 22:05 Uhr
hi

ist das Zertifikat auf "autodiscover.kunde.de" bzw "mail.kunde.de" ausgestellt ?
Wenn nein: Das muss es. Kannst auch ein selbstsigniertes nehmen und das dann bei deinen Clients in die Vertrauenswürdigen Zertifikate schmeissen.

Falls es das ist: Ist es ein Selbtsigniertes oder ein "richtiges", von einer entsprechenden CA ausgestellt? Bei letzterem sollte es keine Probleme geben, ausser das das Zertifikat evtl nicht korrekt eingerichtet wurde ( Zwischenzertifizierungsstelle?!).
Bitte warten ..
Mitglied: StefanKittel
20.03.2017 um 00:43 Uhr
Hallo,

Stichwort ist bei solchen Dinge fast immer Split-DNS.

Outlook prüft immer per Autodiscover.
Also müssen die entsprechenden Hostnamen vom DNS-Server auf die interne IP des Exchange aufgelöst werden.

Stefan
Bitte warten ..
Mitglied: invernesscream
20.03.2017 um 08:27 Uhr
Hallo, vielen Dank für deine Antwort.
Es ist ein selbstsigniertes, praktisch das was beim Installieren des Exchange erzeugt wurde. Darüberhinaus gibt es keine interne Zertifizierungsstelle.
Im Exchange sind für die Websites auch keine externen Domains eingetragen.
Bitte warten ..
Mitglied: invernesscream
20.03.2017 um 08:29 Uhr
Hallo,

Danke für deine Antwort.
Welche Einträge wären da im DNS zu setzen, damit autodiscover die interne Auflösung nutzt und nicht beim Provider die Einträge abfragt?

Grüße
Bitte warten ..
Mitglied: smeclnt
20.03.2017 um 08:51 Uhr
Hallo,
autodiscover.deinedomain.de mit Weiterleitung auf Deine IP vom Router und offenem 443 Port.
Regards
Bitte warten ..
Mitglied: smeclnt
20.03.2017 um 08:52 Uhr
Ah... interne Weiterleitung 443 an EX Server vergessen...
Bitte warten ..
Mitglied: invernesscream
20.03.2017 um 10:30 Uhr
Hallo, geht das denn nicht nur intern? Das der interne DNS das Autodiscover direkt an die interne IP des Exchange sendet?
Ich wollte den Exchange nicht nur wegen der Autodiscover Abfrage nach außen freigeben.
Mir gefällt das mit dem POP-Connector auch nicht wirklich, da man den Exchange ja ziemlich im Funktionsumfang beschneidet, aber da mein Bekannter keine feste IP hat, nutzt er quasi den Exchange nur als E-Mail-Verteiler und gemeinsame Kalender. Keinerlei Funktionen, die irgendwie ins öffentliche Netz gehen.
Bitte warten ..
Mitglied: Chonta
LÖSUNG 20.03.2017 um 11:11 Uhr
Hallo,

wenn die Mailadresse benutzer@kunde.de ist, dann will outlook auch über kunde.de di eauflösung machen, kannst Du mit wireshart wunderbar prüfen.

Wenn es Dir nur um interne Clients geht, dann Split DNS, das bedeutet Du musst auf dem intrnen DNS-Server die Domain kunde.de anlegen und dort alles nutwendige hinterlegen.
Mit Notwendig ist gemeint alles das was man aus dem Internen Netzwerk auch extern erreicht werden soll.
Also musst Du z.B. den www.kunde.de Eintrag hinterlegen und selber pflegen wenn die Webseite www.kunde.de erreichbar sein soll.
Wenn Du dan die richtigen autodiscover DNS Einträge machst, lösen alle internen Clients den internen Exchange auf.
Das Problem dabei ist, alles was Du nicht in deiner lokalen kunde.de Zone einrichtest, können die Clients auch nie erreichen.

Oder Du kannst die DNS Einstellungen von kunde.de so abändern, das die auf den Exchange verweisen, was dann aber die jetzigen einstellungen für alle ändert.

Gruß

Chonta
Bitte warten ..
Mitglied: invernesscream
20.03.2017 um 11:55 Uhr
Danke, probiere ich aus.
So wie du geschrieben hast, sind die primären Adressen Kunde.de und nicht intern.kunde.de.
Eine Zone in DNS auf Autodiscover.kunde.de und den A Eintrag auf den Exchange wird nicht reichen oder?
Bitte warten ..
Mitglied: Chonta
LÖSUNG 20.03.2017 um 12:01 Uhr
So wie du geschrieben hast, sind die primären Adressen Kunde.de und nicht intern.kunde.de.
Es kommt drauf an, was die primäre Mailadresse der Benutzer ist und wohin sich Outlook verbinden will.
Bei mir gehen eingie Clients den internen Weg aber eingie wollen bei Verwendung von Autodiscover immer über die externe Domäne gehen, kann man mit Wireshark prüfen.
Gib den Clients die Adressen die sie wollen und es läuft.

Eine Zone in DNS auf Autodiscover.kunde.de
Wenn Du das so hinbekommst das Autodiscover.kunde.de auf die IP des exchange verweißt passt das.
Hätte bei einer Zone den Vorteil, das kunde.de normal weiterläuft.

Gruß

Chonta
Bitte warten ..
Mitglied: invernesscream
20.03.2017 um 13:02 Uhr
Das scheint nun zu klappen. Er fragt nicht mehr beim Provider nach autodiscover. Allerdings kommt nun die Zertifikatsmeldung, dass das selbstsignierte Zertifikat vom Exchange2016 nicht zu autodiscover.kunde.de passt.
Bitte warten ..
Mitglied: Chonta
LÖSUNG 20.03.2017 um 13:52 Uhr
selbstsignierte Zertifikat vom Exchange2016 nicht zu autodiscover.kunde.de passt.
Dann musst Du ein neues erstellen, das alles nötige beinhaltet.
Du solltest am besten eine CA Struktur dafür verwenden, also nicht selbssgniert sondern Selbst segniertes CA-Zertifikat und mit dem dann das Zertifikat für den Exchange signieren.
Eine CA Struktur kann man auch wunderbar über openssl aufbauen ohne die Windows-CA zu implementieren.

Das CA Zertifikat dann einfach per GPO ausrollen und alles ist gut.

Gruß

Chonta
Bitte warten ..
Mitglied: invernesscream
21.03.2017 um 21:53 Uhr
Problem beseitigt. Mit der Autodiscover DNS Zone und dem neuen selbstsignierten Exchange Zertifikat bringen die Outlook Clients keine Fehler mehr.
Danke für eure hilfreichen Antworten.
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Exchange 2010 - Autodiscover - externer Hostname - NTLM (13)

Frage von SLUN127 zum Thema Exchange Server ...

DNS
gelöst Öffentliche Domain wie eine lokale Domain behandeln (5)

Frage von mikahaapamaeki zum Thema DNS ...

Exchange Server
Exchange 2016 Autodiscover für iPhone (6)

Frage von anak1m zum Thema Exchange Server ...

Neue Wissensbeiträge
Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(6)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(5)

Anleitung von BassFishFox zum Thema Windows 10 ...

Administrator.de Feedback

Tipp: Ungelöste Fragen ohne Antwort in Tickeransicht farblich hinterlegen

Tipp von pattern zum Thema Administrator.de Feedback ...

Heiß diskutierte Inhalte
Windows Server
gelöst Update BackupExec 2015 auf 2016 führt zu SQL-Server Problem (16)

Frage von montylein1981 zum Thema Windows Server ...

Batch & Shell
gelöst Batch um Benutzer aus Sitzung abzumelden (15)

Frage von zeroblue2005 zum Thema Batch & Shell ...

LAN, WAN, Wireless
IP Sec Client legt Netzwerkkarte lahm (12)

Frage von mario87 zum Thema LAN, WAN, Wireless ...