invernesscream
Goto Top

Autodiscover bei halb interner - halb externer Domain

Hallo liebes Support-Team,

folgendes Problem beschäftigt mich.

Ein Exchange 2016 nutzt 2 Domains (intern.kunde.de und kunde.de). Die Kunde.de Domain ist die Standard-Domain auch nach außen hin. Der Exchange hat das Standard selbstsignierte Zertifikat und kein öffentliches SAN-Zertifikat. Der Exchange ist nach außen hin nicht öffentlich. Die Mails werden über einen POP-Connector abgeholt (von den entsprechen Online-E-Mail-Konten beim Domain-Hoster von Kunde.de). Der Versand erfolgt über einen Smarthost (Provider von Kunde.de).
Nun bekommen die Outlook-Clients beim Start Zertifikat-Warnungen für autodiscover.kunde.de und mail.kunde.de. (Verweist auf ein Zertifikat eines Online-Shops, der beim gleichen Provider liegt). Wie schaffe ich es Outlook 2010 - 2016 begreiflich zu machen, dass es autodiscover.kunde.de und mail.kunde.de nicht zu interessieren braucht oder hat, da die Exchange-Postfächer eh nur intern erreichbar sind (kein OWA, kein Active Sync, kein Zugriff von außen)?

Bin für jeden Tipp dankbar.

Content-ID: 332650

Url: https://administrator.de/forum/autodiscover-bei-halb-interner-halb-externer-domain-332650.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

SeaStorm
SeaStorm 19.03.2017 um 22:05:18 Uhr
Goto Top
hi

ist das Zertifikat auf "autodiscover.kunde.de" bzw "mail.kunde.de" ausgestellt ?
Wenn nein: Das muss es. Kannst auch ein selbstsigniertes nehmen und das dann bei deinen Clients in die Vertrauenswürdigen Zertifikate schmeissen.

Falls es das ist: Ist es ein Selbtsigniertes oder ein "richtiges", von einer entsprechenden CA ausgestellt? Bei letzterem sollte es keine Probleme geben, ausser das das Zertifikat evtl nicht korrekt eingerichtet wurde ( Zwischenzertifizierungsstelle?!).
StefanKittel
StefanKittel 20.03.2017 um 00:43:03 Uhr
Goto Top
Hallo,

Stichwort ist bei solchen Dinge fast immer Split-DNS.

Outlook prüft immer per Autodiscover.
Also müssen die entsprechenden Hostnamen vom DNS-Server auf die interne IP des Exchange aufgelöst werden.

Stefan
invernesscream
invernesscream 20.03.2017 um 08:27:25 Uhr
Goto Top
Hallo, vielen Dank für deine Antwort.
Es ist ein selbstsigniertes, praktisch das was beim Installieren des Exchange erzeugt wurde. Darüberhinaus gibt es keine interne Zertifizierungsstelle.
Im Exchange sind für die Websites auch keine externen Domains eingetragen.
invernesscream
invernesscream 20.03.2017 um 08:29:24 Uhr
Goto Top
Hallo,

Danke für deine Antwort.
Welche Einträge wären da im DNS zu setzen, damit autodiscover die interne Auflösung nutzt und nicht beim Provider die Einträge abfragt?

Grüße
smeclnt
smeclnt 20.03.2017 um 08:51:59 Uhr
Goto Top
Hallo,
autodiscover.deinedomain.de mit Weiterleitung auf Deine IP vom Router und offenem 443 Port.
Regards
smeclnt
smeclnt 20.03.2017 um 08:52:57 Uhr
Goto Top
Ah... interne Weiterleitung 443 an EX Server vergessen...
invernesscream
invernesscream 20.03.2017 um 10:30:12 Uhr
Goto Top
Hallo, geht das denn nicht nur intern? Das der interne DNS das Autodiscover direkt an die interne IP des Exchange sendet?
Ich wollte den Exchange nicht nur wegen der Autodiscover Abfrage nach außen freigeben.
Mir gefällt das mit dem POP-Connector auch nicht wirklich, da man den Exchange ja ziemlich im Funktionsumfang beschneidet, aber da mein Bekannter keine feste IP hat, nutzt er quasi den Exchange nur als E-Mail-Verteiler und gemeinsame Kalender. Keinerlei Funktionen, die irgendwie ins öffentliche Netz gehen.
Chonta
Lösung Chonta 20.03.2017 um 11:11:31 Uhr
Goto Top
Hallo,

wenn die Mailadresse benutzer@kunde.de ist, dann will outlook auch über kunde.de di eauflösung machen, kannst Du mit wireshart wunderbar prüfen.

Wenn es Dir nur um interne Clients geht, dann Split DNS, das bedeutet Du musst auf dem intrnen DNS-Server die Domain kunde.de anlegen und dort alles nutwendige hinterlegen.
Mit Notwendig ist gemeint alles das was man aus dem Internen Netzwerk auch extern erreicht werden soll.
Also musst Du z.B. den www.kunde.de Eintrag hinterlegen und selber pflegen wenn die Webseite www.kunde.de erreichbar sein soll.
Wenn Du dan die richtigen autodiscover DNS Einträge machst, lösen alle internen Clients den internen Exchange auf.
Das Problem dabei ist, alles was Du nicht in deiner lokalen kunde.de Zone einrichtest, können die Clients auch nie erreichen.

Oder Du kannst die DNS Einstellungen von kunde.de so abändern, das die auf den Exchange verweisen, was dann aber die jetzigen einstellungen für alle ändert.

Gruß

Chonta
invernesscream
invernesscream 20.03.2017 um 11:55:41 Uhr
Goto Top
Danke, probiere ich aus.
So wie du geschrieben hast, sind die primären Adressen Kunde.de und nicht intern.kunde.de.
Eine Zone in DNS auf Autodiscover.kunde.de und den A Eintrag auf den Exchange wird nicht reichen oder?
Chonta
Lösung Chonta 20.03.2017 um 12:01:35 Uhr
Goto Top
So wie du geschrieben hast, sind die primären Adressen Kunde.de und nicht intern.kunde.de.
Es kommt drauf an, was die primäre Mailadresse der Benutzer ist und wohin sich Outlook verbinden will.
Bei mir gehen eingie Clients den internen Weg aber eingie wollen bei Verwendung von Autodiscover immer über die externe Domäne gehen, kann man mit Wireshark prüfen.
Gib den Clients die Adressen die sie wollen und es läuft.

Eine Zone in DNS auf Autodiscover.kunde.de
Wenn Du das so hinbekommst das Autodiscover.kunde.de auf die IP des exchange verweißt passt das.
Hätte bei einer Zone den Vorteil, das kunde.de normal weiterläuft.

Gruß

Chonta
invernesscream
invernesscream 20.03.2017 um 13:02:11 Uhr
Goto Top
Das scheint nun zu klappen. Er fragt nicht mehr beim Provider nach autodiscover. Allerdings kommt nun die Zertifikatsmeldung, dass das selbstsignierte Zertifikat vom Exchange2016 nicht zu autodiscover.kunde.de passt.
Chonta
Lösung Chonta 20.03.2017 um 13:52:33 Uhr
Goto Top
selbstsignierte Zertifikat vom Exchange2016 nicht zu autodiscover.kunde.de passt.
Dann musst Du ein neues erstellen, das alles nötige beinhaltet.
Du solltest am besten eine CA Struktur dafür verwenden, also nicht selbssgniert sondern Selbst segniertes CA-Zertifikat und mit dem dann das Zertifikat für den Exchange signieren.
Eine CA Struktur kann man auch wunderbar über openssl aufbauen ohne die Windows-CA zu implementieren.

Das CA Zertifikat dann einfach per GPO ausrollen und alles ist gut.

Gruß

Chonta
invernesscream
invernesscream 21.03.2017 um 21:53:18 Uhr
Goto Top
Problem beseitigt. Mit der Autodiscover DNS Zone und dem neuen selbstsignierten Exchange Zertifikat bringen die Outlook Clients keine Fehler mehr.
Danke für eure hilfreichen Antworten.