Autodiscover.tochterfirma.de als weiterer als SAN im Zertifikat

Hallo,

kenne mich mit exchange-zertfikat leider nicht so gut aus.
Es geht um eine 20 Mann firma: problem in einem satz:
Ein domänen-user mit notebook der für mutter/tochterfirma arbeitet und beide outlook exchangekonten im outlook2019 32bit hat
bekommt häufig das windows/outlook sicherheits-kennwort-loginfenster. (es ist kein POP-UP von o365)

Ausserdem kommt die "JA/NEIN" autodiscover.tochterfirma.de fehlermeldung
(beim dritten punkt ist ein rotes kreuz) (im aktuellen selbsterstellen Zertifikat fehlt autodiscover.tochterfirma.de als SAN aktuell noch)

++++
Der Exchange 2013 mit dem neusten CU hat eine statische IP/DNS auf mail.mutterfirma.de
++++

**Frage: im selbst erstellten exchange zertifikat bzw. in einem gekauften zertifikat von psw.net kann problemlos autodiscover mehrmals drin stehen oder?
Muss man im ECP dann rücksicht nehmen/prüfen?

beispiel:
autodiscover.mutterfirma.de
autodiscover.tochterfirma.de

++++
Das Ziel ist, das Outlook fehlerfrei läuft und sich beim erstmaligen starten automatisch verbindet.
Wenn beim iPhone einrichten Serveradresse manuell eingetragen werden muss ist das nicht so schlimm. (und das zerti manuell installiert werden muss)
++++

Details:
Die anderen 20 User arbeiten nur für die Mutterfirma und haben das Problem nicht.
Die ca. 5 User bei der Tocherfirma haben das Problem nicht.
Aktuell funktioniert der Outlook Autodiscover auch wenn ein User der Tocherfirma sich zum ersten mal an einem DomänenPC anmeldet.
Der o.g. Domänenuser arbeitet als einziger bei beiden Firmen und er verwendet ein Domänenprofil von der Mutterfirma.
Kenne mich mit selbst erstellen Exchange Zertifikaten nicht gut aus.

++++

Im neuen selbst erstellten Zertifikat wären dann diese "SANs" soweit richtig oder?

DNS-Name=mail.mutterfirma.de
DNS-Name=AutoDiscover.mutterfirma.de
DNS-Name=AutoDiscover.tochterfirma.de

DNS-Name=exchange.lokale-domäne-beispiel123.local
DNS-Name=AutoDiscover.lokale-domäne-beispiel123.local
DNS-Name=lokale-domäne-beispiel123.local.local

die hier sind überflüssig oder?
DNS-Name=mutterfirma.de << scheint mir überflüssig
DNS-Name=mail.tochterfirma.de << scheint mir überflüssig

++++

wenn man das zertifikat über PSW.net kauft, 19€/1 Jahr pro SAN
https://www.psw-group.de/ssl-zertifikate/certum-commercial-san-a001007/

dann reichen diese drei SANs oder? (damit ein User der Tocherfirma sein Outlook 2019 "automatisch/selbst einrichten könnte"
DNS-Name=mail.mutterfirma.de (wird als Serveradresse im iPhone aktuell verwendet und als SMTP HELO Hostname)
DNS-Name=AutoDiscover.mutterfirma.de
DNS-Name=AutoDiscover.tochterfirma.de

++++

Dieser Regkey hat leider nicht geholfen:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\AutoDiscover
DWORD: ExcludeExplicitO365Endpoint
Value = 1


++++

https://testconnectivity.microsoft.com/ kann ich gern mal durchführen

++++

das man bei dem outlook loginfenster

lokale-domäne-beispiel123.local\ads-username

eintragen muss ist mir klar

++++

das man bei systemsteuerung/anmeldespeicher ggf. o365 Login löschen muss ist mir klar

++++

die Domäne mutterfirma.de ist einem o365 teams-tesst-tenant über DNS erfolgreich zugeordnet, es besteht aber keine hybrid stellung zum lokalen exchange.

Der tenant ist noch ein teams-trail-tenant und wird nur für Teams-Video verwendet, der User meldet sich im Teams mit v.nachname im Teams an.
Probleme mit o365 schatten OWA Exchange Online Postfach habe ich noch nicht beobachtet.

++++

habe beobachtet, das Outlook das Loginfenster nicht hat, wenn man im Windows 10 auch mit dem zugehörigen ADS User eingeloggt ist.

Content-Key: 1258029780

Url: https://administrator.de/contentid/1258029780

Ausgedruckt am: 26.09.2021 um 08:09 Uhr

Mitglied: ukulele-7
ukulele-7 14.09.2021 um 13:22:07 Uhr
Goto Top
Ich glaube die SANs müssen auf die selbe Domain lauten, dann würde das so nicht gehen. Ich glaube auch das nicht beliebig viele SANs mit gegeben werden können. PSW hat einen recht guten Support der kann das bestimmt genau beantworten.
Mitglied: Drohnald
Drohnald 14.09.2021 aktualisiert um 13:37:36 Uhr
Goto Top
Zitat von @ukulele-7:

Ich glaube die SANs müssen auf die selbe Domain lauten, dann würde das so nicht gehen. Ich glaube auch das nicht beliebig viele SANs mit gegeben werden können. PSW hat einen recht guten Support der kann das bestimmt genau beantworten.
Nein, ist kein Problem verschiedene Domains im Zertifiikat zu haben.
Beispiel für outlook.office.com:

DNS-Name=*.internal.outlook.com
DNS-Name=*.outlook.com
DNS-Name=outlook.com
DNS-Name=office365.com
DNS-Name=*.office365.com
DNS-Name=*.outlook.office365.com
DNS-Name=*.office.com
DNS-Name=outlook.office.com
DNS-Name=substrate.office.com
DNS-Name=attachment.outlook.live.net
DNS-Name=attachment.outlook.office.net
DNS-Name=attachment.outlook.officeppe.net
DNS-Name=attachments.office.net
DNS-Name=*.clo.footprintdns.com
DNS-Name=*.nrb.footprintdns.com
DNS-Name=ccs.login.microsoftonline.com
DNS-Name=ccs-sdf.login.microsoftonline.com
DNS-Name=substrate-sdf.office.com
DNS-Name=attachments-sdf.office.net
DNS-Name=*.live.com
DNS-Name=mail.services.live.com
DNS-Name=hotmail.com
DNS-Name=*.hotmail.com

Für die Zertifikate kann ich dir das Whitepaper von Frankysweb ans Herz legen:
https://www.frankysweb.de/exchange-2019-umfangreiches-whitepaper-zu-zert ...

die hier sind überflüssig oder?
DNS-Name=mutterfirma.de << scheint mir überflüssig
DNS-Name=mail.tochterfirma.de << scheint mir überflüssig
ja, wenn nur mail.mutterfirma.de als als Server angegeben wird.
Autodiscover muss aber drin sein.

Dann im internen DNS entsprechende Einträge setzen um die ganze .local-Geschichte loszuwerden.
Mitglied: NordicMike
NordicMike 14.09.2021 um 14:58:41 Uhr
Goto Top
Es geht also um einen Exchange Server für beide Firmen?
Du kannst dann aber auch nur einen einzigen Namen im Zertifikat haben und den autodiscover Anfragen eine Weiterleitung zu dem einen Server einrichten. autodiscover.tochterfirma.de zeigt dann auf autodiscover.mutterfirma.de, dann akzeptiert Ourlook auch den Server der Mutterfirma, obwohl du gerade die Tocherfirma einrichtest.

Das ist zwar einfach einzurichten, Outlook stellt aber dann eine zusätzliche Frage, wie z.B. hier:
https://www.leibling.de/exchange-autodiscover-umleitung/
Mitglied: ManuManu2021
ManuManu2021 14.09.2021 aktualisiert um 16:51:07 Uhr
Goto Top
>Es geht also um einen Exchange Server für beide Firmen?
>Du kannst dann aber auch nur einen einzigen Namen im Zertifikat haben und den autodiscover Anfragen eine >Weiterleitung zu dem einen Server einrichten. autodiscover.tochterfirma.de zeigt dann auf >autodiscover.mutterfirma.de, dann akzeptiert Ourlook auch den Server der Mutterfirma, obwohl du gerade die >Tocherfirma einrichtest.

ja, ein Exchange 2013 für zwei Mutter+Tochterfirma.

Frage: an welcher Stelle soll die Weiterleitung gemacht werden?

Solange dieser SAN: autodiscover.tochterfirma.de "NICHT" auf dem selbsterstellten oder gekauften Exchangezertifikat mit dabei ist, solange meckert outlook "meines wissens nach"

Aktuell ist nur SAN: autodiscover.mutterfirma.de enthalten


Der Poweruser hat primär das nachname Exchange Konto im Outlook und sekundär das nachname

Es gibt bereits zwei DNS A-Records beim Domainhoster die beiden auf den EXCHANGE zeigen:

autodiscover.mutterfima.de > 80.123.45.67 DNS A
autodiscover.tochterfirma.de > 80.123.45.67 DNS A
Mitglied: Pjordorf
Pjordorf 14.09.2021 um 20:15:56 Uhr
Goto Top
Hallo,

Zitat von @ManuManu2021:
lokale-domäne-beispiel123.local\ads-username
wenn man im Windows 10 auch mit dem zugehörigen ADS User eingeloggt ist.
Was genau meinst du mit ADS? https://de.wikipedia.org/wiki/ADS
Einen Benutzer in einer AD ist nur ein Objekt in einer AD und hat mit ADS soviel zu tun wie du mit hexerei:-) face-smile https://de.wikipedia.org/wiki/Active_Directory

Gruß,
Peter
Mitglied: Fabezz
Fabezz 14.09.2021 aktualisiert um 21:01:17 Uhr
Goto Top
Hi,
Naja,
Eher ein D unterschlagen.
Active Directory Domain Services.
Wird auch oft ADS abgekürzt.
Der Kollege hat mit Benutzer im ADS schon Recht. Aber stimmt beides wenn man sich nur auf den Verzeichnisdienst beschränkt.

ADDS Wikipedia

Und zu der Frage:
Ja 2 SAN Einträge und werde glücklich damit. Natürlich das Zertifikat noch im Reverse Proxy hinterlegen.
Falls der Exchange direkt im Netz steht:
Investiere Geld und Bau dir einen Revers Proxy :-) face-smile

Gruß
Mitglied: Dani
Dani 14.09.2021 aktualisiert um 23:55:47 Uhr
Goto Top
Moin,
Frage: an welcher Stelle soll die Weiterleitung gemacht werden?
Am Besten über einen SRV-Eintrag in der DNS-Zone der tochterfirma.de. Hier eine kleine Gedankenstütze für die Konfiguration. Somit sparst du dir weitere SAN-Einträge im SSL-Zertifikat. Falls Ihr Split-DNS einsetzt, musst du den Eintrag in beiden DNS-Servern eintragen.

Es gibt bereits zwei DNS A-Records beim Domainhoster die beiden auf den EXCHANGE zeigen:
Siehe ersten Abschnitt in meinem Kommentar. Denn das geht früher oder später schief.

wenn man das zertifikat über PSW.net kauft, 19€/1 Jahr pro SAN
Alternativ auf Lets Encrypt einsetzen. Im Kombiation mit Posh-ACME und ein paar Zeilen Powershell bekommst du es zum Nulltarif. Aber eines nach dem anderen. ;-) face-wink


Gruß,
Dani
Heiß diskutierte Beiträge
general
Autodesk im Jahre 2021-2022dertowaVor 1 TagAllgemeinOff Topic4 Kommentare

Hallo zusammen, mal eine kleine Anekdote, u.a. da heute Freitag ist. Vor einigen Jahren hatte ich mit Autodesk AutoCAD LT zu tun, in der damaligen ...

general
DSL-Modems am F-Buchse statt N-Buchse - warum?Windows10GegnerVor 21 StundenAllgemeinDSL, VDSL19 Kommentare

Hallo zusammen, es sind jetzt hier die Fernmeldetechniker gefragt. Normalerweise wird ja ein DSL-Modem mit der F-Buchse einer TAE-NFN-Dose verbunden. Was ist der genau Grund ...

general
Außergewöhnliche hohe Spamaktivitäten und Angriffe per E-Mail gelöst beidermachtvongreyscullVor 1 TagAllgemeinE-Mail5 Kommentare

Tach Kollegen, liegt das an den bevorstehenden Wahlen? Ich beobachte seit Tagen auf unserer Firewall, dass wir massiven Spamwellen ausgesetzt sind. Bisher kommt zum Glück ...

question
Einrichtung Unify Security Gateway gelöst markaurelVor 17 StundenFrageLAN, WAN, Wireless9 Kommentare

Hallo zusammen und bitte um eure Hilfe! Wie der Titel schon sagt Folgende Situation: Ich hab ein Netzwerk in folgenden IP-Bereich: 192.168.10.x. Als Gateway dient ...

question
BAT-Datei NetzwerkordnerDawi84Vor 1 TagFrageMicrosoft8 Kommentare

Hallo Ich hoffe mir kann jemand helfen. Wie müsste ich ein Batch Datei schreiben wenn ich aus einem Netzwerkordner gewisse Datei Typen löschen möchte z.B. ...

question
Backup-Server, welcher sich selber sichertludakuVor 1 TagFrageBackup6 Kommentare

Moin Zusammen Stellen wir uns kurz folgendes Konstrukt vor: 1x Hypervisor mit 3 VMs: - DC & Fileserver - Webserver - Acronis Backup-Server Ist es ...

question
Sysprep nachträglich virtualisierenalf008Vor 1 TagFrageVmware6 Kommentare

Hallo, ich habe diverse physikalische Server virtualisiert und später sollten diese in eine neue Domäne aufgenommen werden. Leider habe ich beim Virtualisieren erst später (zu ...

question
Wlanprobleme nach Providerwechsel gelöst amsti70Vor 1 TagFrageRouter & Routing8 Kommentare

Hallo alle zusammen! Ich bin neu auf dieser Seite und komme gleich mit einem Problem. Habe jetzt von A1 auf Drei Festnetz gewechselt. Mein System ...