Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Autodiscover bei halb interner - halb externer Domain

Frage Microsoft Exchange Server

Mitglied: invernesscream

invernesscream (Level 1) - Jetzt verbinden

19.03.2017 um 20:19 Uhr, 600 Aufrufe, 13 Kommentare

Hallo liebes Support-Team,

folgendes Problem beschäftigt mich.

Ein Exchange 2016 nutzt 2 Domains (intern.kunde.de und kunde.de). Die Kunde.de Domain ist die Standard-Domain auch nach außen hin. Der Exchange hat das Standard selbstsignierte Zertifikat und kein öffentliches SAN-Zertifikat. Der Exchange ist nach außen hin nicht öffentlich. Die Mails werden über einen POP-Connector abgeholt (von den entsprechen Online-E-Mail-Konten beim Domain-Hoster von Kunde.de). Der Versand erfolgt über einen Smarthost (Provider von Kunde.de).
Nun bekommen die Outlook-Clients beim Start Zertifikat-Warnungen für autodiscover.kunde.de und mail.kunde.de. (Verweist auf ein Zertifikat eines Online-Shops, der beim gleichen Provider liegt). Wie schaffe ich es Outlook 2010 - 2016 begreiflich zu machen, dass es autodiscover.kunde.de und mail.kunde.de nicht zu interessieren braucht oder hat, da die Exchange-Postfächer eh nur intern erreichbar sind (kein OWA, kein Active Sync, kein Zugriff von außen)?

Bin für jeden Tipp dankbar.
Mitglied: SeaStorm
19.03.2017 um 22:05 Uhr
hi

ist das Zertifikat auf "autodiscover.kunde.de" bzw "mail.kunde.de" ausgestellt ?
Wenn nein: Das muss es. Kannst auch ein selbstsigniertes nehmen und das dann bei deinen Clients in die Vertrauenswürdigen Zertifikate schmeissen.

Falls es das ist: Ist es ein Selbtsigniertes oder ein "richtiges", von einer entsprechenden CA ausgestellt? Bei letzterem sollte es keine Probleme geben, ausser das das Zertifikat evtl nicht korrekt eingerichtet wurde ( Zwischenzertifizierungsstelle?!).
Bitte warten ..
Mitglied: StefanKittel
20.03.2017 um 00:43 Uhr
Hallo,

Stichwort ist bei solchen Dinge fast immer Split-DNS.

Outlook prüft immer per Autodiscover.
Also müssen die entsprechenden Hostnamen vom DNS-Server auf die interne IP des Exchange aufgelöst werden.

Stefan
Bitte warten ..
Mitglied: invernesscream
20.03.2017 um 08:27 Uhr
Hallo, vielen Dank für deine Antwort.
Es ist ein selbstsigniertes, praktisch das was beim Installieren des Exchange erzeugt wurde. Darüberhinaus gibt es keine interne Zertifizierungsstelle.
Im Exchange sind für die Websites auch keine externen Domains eingetragen.
Bitte warten ..
Mitglied: invernesscream
20.03.2017 um 08:29 Uhr
Hallo,

Danke für deine Antwort.
Welche Einträge wären da im DNS zu setzen, damit autodiscover die interne Auflösung nutzt und nicht beim Provider die Einträge abfragt?

Grüße
Bitte warten ..
Mitglied: smeclnt
20.03.2017 um 08:51 Uhr
Hallo,
autodiscover.deinedomain.de mit Weiterleitung auf Deine IP vom Router und offenem 443 Port.
Regards
Bitte warten ..
Mitglied: smeclnt
20.03.2017 um 08:52 Uhr
Ah... interne Weiterleitung 443 an EX Server vergessen...
Bitte warten ..
Mitglied: invernesscream
20.03.2017 um 10:30 Uhr
Hallo, geht das denn nicht nur intern? Das der interne DNS das Autodiscover direkt an die interne IP des Exchange sendet?
Ich wollte den Exchange nicht nur wegen der Autodiscover Abfrage nach außen freigeben.
Mir gefällt das mit dem POP-Connector auch nicht wirklich, da man den Exchange ja ziemlich im Funktionsumfang beschneidet, aber da mein Bekannter keine feste IP hat, nutzt er quasi den Exchange nur als E-Mail-Verteiler und gemeinsame Kalender. Keinerlei Funktionen, die irgendwie ins öffentliche Netz gehen.
Bitte warten ..
Mitglied: Chonta
LÖSUNG 20.03.2017 um 11:11 Uhr
Hallo,

wenn die Mailadresse benutzer@kunde.de ist, dann will outlook auch über kunde.de di eauflösung machen, kannst Du mit wireshart wunderbar prüfen.

Wenn es Dir nur um interne Clients geht, dann Split DNS, das bedeutet Du musst auf dem intrnen DNS-Server die Domain kunde.de anlegen und dort alles nutwendige hinterlegen.
Mit Notwendig ist gemeint alles das was man aus dem Internen Netzwerk auch extern erreicht werden soll.
Also musst Du z.B. den www.kunde.de Eintrag hinterlegen und selber pflegen wenn die Webseite www.kunde.de erreichbar sein soll.
Wenn Du dan die richtigen autodiscover DNS Einträge machst, lösen alle internen Clients den internen Exchange auf.
Das Problem dabei ist, alles was Du nicht in deiner lokalen kunde.de Zone einrichtest, können die Clients auch nie erreichen.

Oder Du kannst die DNS Einstellungen von kunde.de so abändern, das die auf den Exchange verweisen, was dann aber die jetzigen einstellungen für alle ändert.

Gruß

Chonta
Bitte warten ..
Mitglied: invernesscream
20.03.2017 um 11:55 Uhr
Danke, probiere ich aus.
So wie du geschrieben hast, sind die primären Adressen Kunde.de und nicht intern.kunde.de.
Eine Zone in DNS auf Autodiscover.kunde.de und den A Eintrag auf den Exchange wird nicht reichen oder?
Bitte warten ..
Mitglied: Chonta
LÖSUNG 20.03.2017 um 12:01 Uhr
So wie du geschrieben hast, sind die primären Adressen Kunde.de und nicht intern.kunde.de.
Es kommt drauf an, was die primäre Mailadresse der Benutzer ist und wohin sich Outlook verbinden will.
Bei mir gehen eingie Clients den internen Weg aber eingie wollen bei Verwendung von Autodiscover immer über die externe Domäne gehen, kann man mit Wireshark prüfen.
Gib den Clients die Adressen die sie wollen und es läuft.

Eine Zone in DNS auf Autodiscover.kunde.de
Wenn Du das so hinbekommst das Autodiscover.kunde.de auf die IP des exchange verweißt passt das.
Hätte bei einer Zone den Vorteil, das kunde.de normal weiterläuft.

Gruß

Chonta
Bitte warten ..
Mitglied: invernesscream
20.03.2017 um 13:02 Uhr
Das scheint nun zu klappen. Er fragt nicht mehr beim Provider nach autodiscover. Allerdings kommt nun die Zertifikatsmeldung, dass das selbstsignierte Zertifikat vom Exchange2016 nicht zu autodiscover.kunde.de passt.
Bitte warten ..
Mitglied: Chonta
LÖSUNG 20.03.2017 um 13:52 Uhr
selbstsignierte Zertifikat vom Exchange2016 nicht zu autodiscover.kunde.de passt.
Dann musst Du ein neues erstellen, das alles nötige beinhaltet.
Du solltest am besten eine CA Struktur dafür verwenden, also nicht selbssgniert sondern Selbst segniertes CA-Zertifikat und mit dem dann das Zertifikat für den Exchange signieren.
Eine CA Struktur kann man auch wunderbar über openssl aufbauen ohne die Windows-CA zu implementieren.

Das CA Zertifikat dann einfach per GPO ausrollen und alles ist gut.

Gruß

Chonta
Bitte warten ..
Mitglied: invernesscream
21.03.2017 um 21:53 Uhr
Problem beseitigt. Mit der Autodiscover DNS Zone und dem neuen selbstsignierten Exchange Zertifikat bringen die Outlook Clients keine Fehler mehr.
Danke für eure hilfreichen Antworten.
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
gelöst Interne, externe Zertifikate (4)

Frage von specialuser zum Thema Verschlüsselung & Zertifikate ...

Exchange Server
Exchange 2010 Probleme - Autodiscover oder noch mehr? (2)

Frage von PowlFruit zum Thema Exchange Server ...

Netzwerkgrundlagen
Routing - Externe Domain (7)

Frage von Waishon zum Thema Netzwerkgrundlagen ...

Neue Wissensbeiträge
Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(2)

Information von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Windows 10
Seekrank bei Windows 10 (18)

Frage von zauberer123 zum Thema Windows 10 ...

Monitoring
Netzwerk-Monitoring Software (18)

Frage von Ghost108 zum Thema Monitoring ...

Windows Server
gelöst Kopiervorgang schlägt fehl, weil Datei- und Ordnername zu lang sind (14)

Frage von Schroedi zum Thema Windows Server ...

Windows 10
Windows 10 Fall Creators Update Fehler (13)

Frage von ZeroCool23 zum Thema Windows 10 ...