Autodiscover bei halb interner - halb externer Domain
Hallo liebes Support-Team,
folgendes Problem beschäftigt mich.
Ein Exchange 2016 nutzt 2 Domains (intern.kunde.de und kunde.de). Die Kunde.de Domain ist die Standard-Domain auch nach außen hin. Der Exchange hat das Standard selbstsignierte Zertifikat und kein öffentliches SAN-Zertifikat. Der Exchange ist nach außen hin nicht öffentlich. Die Mails werden über einen POP-Connector abgeholt (von den entsprechen Online-E-Mail-Konten beim Domain-Hoster von Kunde.de). Der Versand erfolgt über einen Smarthost (Provider von Kunde.de).
Nun bekommen die Outlook-Clients beim Start Zertifikat-Warnungen für autodiscover.kunde.de und mail.kunde.de. (Verweist auf ein Zertifikat eines Online-Shops, der beim gleichen Provider liegt). Wie schaffe ich es Outlook 2010 - 2016 begreiflich zu machen, dass es autodiscover.kunde.de und mail.kunde.de nicht zu interessieren braucht oder hat, da die Exchange-Postfächer eh nur intern erreichbar sind (kein OWA, kein Active Sync, kein Zugriff von außen)?
Bin für jeden Tipp dankbar.
folgendes Problem beschäftigt mich.
Ein Exchange 2016 nutzt 2 Domains (intern.kunde.de und kunde.de). Die Kunde.de Domain ist die Standard-Domain auch nach außen hin. Der Exchange hat das Standard selbstsignierte Zertifikat und kein öffentliches SAN-Zertifikat. Der Exchange ist nach außen hin nicht öffentlich. Die Mails werden über einen POP-Connector abgeholt (von den entsprechen Online-E-Mail-Konten beim Domain-Hoster von Kunde.de). Der Versand erfolgt über einen Smarthost (Provider von Kunde.de).
Nun bekommen die Outlook-Clients beim Start Zertifikat-Warnungen für autodiscover.kunde.de und mail.kunde.de. (Verweist auf ein Zertifikat eines Online-Shops, der beim gleichen Provider liegt). Wie schaffe ich es Outlook 2010 - 2016 begreiflich zu machen, dass es autodiscover.kunde.de und mail.kunde.de nicht zu interessieren braucht oder hat, da die Exchange-Postfächer eh nur intern erreichbar sind (kein OWA, kein Active Sync, kein Zugriff von außen)?
Bin für jeden Tipp dankbar.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 332650
Url: https://administrator.de/contentid/332650
Ausgedruckt am: 05.11.2024 um 02:11 Uhr
13 Kommentare
Neuester Kommentar
hi
ist das Zertifikat auf "autodiscover.kunde.de" bzw "mail.kunde.de" ausgestellt ?
Wenn nein: Das muss es. Kannst auch ein selbstsigniertes nehmen und das dann bei deinen Clients in die Vertrauenswürdigen Zertifikate schmeissen.
Falls es das ist: Ist es ein Selbtsigniertes oder ein "richtiges", von einer entsprechenden CA ausgestellt? Bei letzterem sollte es keine Probleme geben, ausser das das Zertifikat evtl nicht korrekt eingerichtet wurde ( Zwischenzertifizierungsstelle?!).
ist das Zertifikat auf "autodiscover.kunde.de" bzw "mail.kunde.de" ausgestellt ?
Wenn nein: Das muss es. Kannst auch ein selbstsigniertes nehmen und das dann bei deinen Clients in die Vertrauenswürdigen Zertifikate schmeissen.
Falls es das ist: Ist es ein Selbtsigniertes oder ein "richtiges", von einer entsprechenden CA ausgestellt? Bei letzterem sollte es keine Probleme geben, ausser das das Zertifikat evtl nicht korrekt eingerichtet wurde ( Zwischenzertifizierungsstelle?!).
Hallo,
wenn die Mailadresse benutzer@kunde.de ist, dann will outlook auch über kunde.de di eauflösung machen, kannst Du mit wireshart wunderbar prüfen.
Wenn es Dir nur um interne Clients geht, dann Split DNS, das bedeutet Du musst auf dem intrnen DNS-Server die Domain kunde.de anlegen und dort alles nutwendige hinterlegen.
Mit Notwendig ist gemeint alles das was man aus dem Internen Netzwerk auch extern erreicht werden soll.
Also musst Du z.B. den www.kunde.de Eintrag hinterlegen und selber pflegen wenn die Webseite www.kunde.de erreichbar sein soll.
Wenn Du dan die richtigen autodiscover DNS Einträge machst, lösen alle internen Clients den internen Exchange auf.
Das Problem dabei ist, alles was Du nicht in deiner lokalen kunde.de Zone einrichtest, können die Clients auch nie erreichen.
Oder Du kannst die DNS Einstellungen von kunde.de so abändern, das die auf den Exchange verweisen, was dann aber die jetzigen einstellungen für alle ändert.
Gruß
Chonta
wenn die Mailadresse benutzer@kunde.de ist, dann will outlook auch über kunde.de di eauflösung machen, kannst Du mit wireshart wunderbar prüfen.
Wenn es Dir nur um interne Clients geht, dann Split DNS, das bedeutet Du musst auf dem intrnen DNS-Server die Domain kunde.de anlegen und dort alles nutwendige hinterlegen.
Mit Notwendig ist gemeint alles das was man aus dem Internen Netzwerk auch extern erreicht werden soll.
Also musst Du z.B. den www.kunde.de Eintrag hinterlegen und selber pflegen wenn die Webseite www.kunde.de erreichbar sein soll.
Wenn Du dan die richtigen autodiscover DNS Einträge machst, lösen alle internen Clients den internen Exchange auf.
Das Problem dabei ist, alles was Du nicht in deiner lokalen kunde.de Zone einrichtest, können die Clients auch nie erreichen.
Oder Du kannst die DNS Einstellungen von kunde.de so abändern, das die auf den Exchange verweisen, was dann aber die jetzigen einstellungen für alle ändert.
Gruß
Chonta
So wie du geschrieben hast, sind die primären Adressen Kunde.de und nicht intern.kunde.de.
Es kommt drauf an, was die primäre Mailadresse der Benutzer ist und wohin sich Outlook verbinden will.Bei mir gehen eingie Clients den internen Weg aber eingie wollen bei Verwendung von Autodiscover immer über die externe Domäne gehen, kann man mit Wireshark prüfen.
Gib den Clients die Adressen die sie wollen und es läuft.
Eine Zone in DNS auf Autodiscover.kunde.de
Wenn Du das so hinbekommst das Autodiscover.kunde.de auf die IP des exchange verweißt passt das.Hätte bei einer Zone den Vorteil, das kunde.de normal weiterläuft.
Gruß
Chonta
selbstsignierte Zertifikat vom Exchange2016 nicht zu autodiscover.kunde.de passt.
Dann musst Du ein neues erstellen, das alles nötige beinhaltet.Du solltest am besten eine CA Struktur dafür verwenden, also nicht selbssgniert sondern Selbst segniertes CA-Zertifikat und mit dem dann das Zertifikat für den Exchange signieren.
Eine CA Struktur kann man auch wunderbar über openssl aufbauen ohne die Windows-CA zu implementieren.
Das CA Zertifikat dann einfach per GPO ausrollen und alles ist gut.
Gruß
Chonta