tomjones
Goto Top

Exchange 2010 Outlook Anywhere Autodiscover SRV DNS

Hallo zusammen,

ich bekomme es einfach nicht hin...

Ich habe hier einen SBS 2011.
Domäne: firma.local

Subdomain mit A-Record verweisend auf meinen SBS:
mail.firma.com

Positive SSL Zertifikat für mail.firma.com ist vorhanden und funktioniert auch, getestet über z.B. /owa

Nun muss ich einen Client per Outlook Anywhere anbinden.
Beim starten von Outlook bekomme ich eine Zertifikats Fehlermeldung, dass autodiscover.firma.com nicht im Zertifikat enthalten ist, jo, kann ich bestätigen, soll aber auch nicht.

Ich habe nun im DNS-Server auf dem SBS2011 eine Forward-Lookupzone angelegt:
firma.com

Darin habe ich einen SRV Eintrag erstellt:
firma.com
_autodiscover
_tcp


443
mail.firma.com

Nur leider bekomme ich mein "Problem" so nicht gelöst, mache ich irgendwas falsch?

nslookup zeigt folgendes:

Nicht autorisierende Antwort:
_autodiscover._tcp.firma.com SRV service l
priority = 0
weight = 0
port = 443
svr hostname = mail.firma.com

Habt Ihr einen Tipp für mich, wo mein Fehler ist?

Ich danke Euch

Edit:

Das Beste ist, ich habe es spoantan mit zwei weiteren Kunden probiert, alle die ziemlich gleiche Konfiguration, nur unterschiedliche Provider.
Das einzige was sich unterscheidet, sind die nslookup Rückgaben:

Kunde 1:
DNS request timed out.
timeout was 2 seconds.
Zeitüberschreitung bei Anforderung an 192.168.10.200.

Kunde 2:
DNS request timed out.
timeout was 2 seconds.
Zeitüberschreitung bei Anforderung an 192.168.10.200.


Was mir dabei gerade aufgefallen ist, bevor ich die SRV Einträge im DNS-Server des SBS2011 gemacht habe, hat mir nslookup auch schon:
Nicht autorisierende Antwort:
_autodiscover._tcp.firma.com SRV service l
priority = 0
weight = 0
port = 443
svr hostname = mail.firma.com

gezeigt.

Kann es sein, dass das Problem der Provider ist, dass der schon so einen SRV Eintrag vorgenommen hat?
Bei Kunde 1 und Kunde 2 funktioniert autodiscover laut Outlook E-mail Autokonfiguration Test nämlich nicht, was aber auch nicht schlimm ist, da es nicht genutzt wird.

Was meint Ihr?

Content-ID: 252885

Url: https://administrator.de/contentid/252885

Ausgedruckt am: 22.11.2024 um 18:11 Uhr

emeriks
emeriks 23.10.2014 um 21:54:30 Uhr
Goto Top
Hi,
zwei Sachen fallen mir ein:
Erstens muss das Outlook min. einmal vom internen Netz das Postfach öffnen, bevor das von Extern über Anywhere geht.
Zweitens: Was nützt Dir intern eine Zone "forma.com" mit den entsprechenden Einrägen, wenn der Zugriff von Extern kommt und der Client dann den externen DNS-Server abfragt? Oder hast Du diesen Record auch in der externen Zone erstellt?

E.
coltseavers
coltseavers 23.10.2014 aktualisiert um 23:12:29 Uhr
Goto Top
Hallo Tom,

da muss ich emeriks leider widersprechen: Outlook kann auch von extern aus eingerichtet werden.
Wenn man in den Kontoeinstellungen unter Exchange-Kontoeinstellungen -> "Verbindungen" die Exchange-Proxyeinstellungen korrekt setzt, kann man auch "ausser Haus" in einem frisch installierten Outlook ein Konto anlegen, das sich dann sofort mit dem Exchange-Server im Firmen-LAN problemlos verbindet und synchronisiert. (dafür ist die autodiscover-Funktion ja schliesslich da!)

Ich kann leider nicht ganz präzise helfen, da ich den 2011er-Server nicht kenne (arbeite selbst mit SBS2008 und Exchange 2007), aber das Prinzip dürfte im Wesentlichen identisch sein.
Das Gewurschtel im DNS ist definitiv keine saubere Lösung - sowa steht in keinem (vernünftigen) Handbuch.
SRV-Einträge sind nicht erforderlich (wüsste auch nicht, dass Outlook-Clients sowas nutzen können).
Für die Verbindung der Clients reichen ganz normale A-Records im DNS-Eintrag der externen Domain (auf dem DNS-Server im WAN). Der DNS-Server im LAN muss nicht konfiguriert werden.

Laut dem Exchange 2007-Buch von Ulrich Boddenberg wirst Du für einen sauberen(!) Zugriff von aussen auf jeden Fall eines der beiden Zertifikate benötigen:
-SAN-Zertifikat (für mehrere, konkrete Domains: firma.com, autodiscover.firma.com, remote.firma.com, evtl webmail.firma.com)
-Wildcard-Zertifikat (für firma.com inkl aller Unterdomains)

Am schönsten geht das natürlich mit gekauften Zertifikaten, die von Outlook und dem Browser ohne zu meckern sofort akzeptiert werden.
Mir war das damals jedoch zu teuer, und so habe ich ein SAN-Zertifikat auf dem SBS2008 selbst erstellt, und die Zertifikate dann auf den Clients einmalig verteilt.
Alternativ können die PC/Laptop-Clients sich auch im LAN einmal in der Domäne anmelden, dann wird das Zertifikat, meine ich, sogar automatisch rübergeschaufelt.
Nur bei Smartphones geht das natürlich nicht - da muss ein selbst erstelltes Zertifikat entweder installiert, oder bei der ersten Verbindung akzeptiert werden.
Bei einer überschaubaren Client-Anzahl von unter 20 ist das aber durchaus praktikabel.

Ich kann Dir die Bücher von diesem Autor nur wärmstens empfehlen - da steht leicht verständlich und umfangreich drin, wie man sowas von A bis Z vernünftig macht - die ganzen Tutorials, die ich im Internet dazu gefunden habe, waren entweder nicht standard-konformes Gewurschtel, oder nicht vollständig.
Und selbst wenn Du wurschtelst und es läuft irgendwann - wirklich wissen tust Du dann immer noch nichts so richtig. Die Thematik ist einfach zu komplex, um mal eben in nem Forum ein 5-Minuten-Tutorial abzuarbeiten.
Deshalb meine Empfehlung: 50-60 Euro für so'n Buch investiert, und dann hat man auch eine saubere Lösung, man versteht die Hintergründe (wie sich das Microsoft gedacht hat), und man weiss, wie es richtig geht.
Man hat dann also nicht nur ne Lösung, sondern man versteht auch die Abläufe etc, und das ist ne Menge wert!

Gruß,
Colt
filippg
filippg 24.10.2014 um 00:15:38 Uhr
Goto Top
Hallo,

das Outlook ohne Autodiscover geht ist nur eine Halbwahrheit. Meinetwegen 90%-Wahrheit: Mailsychronisation geht, aber alles, was die Webservices benötigt (Free&Busy, OOF, Regeln, Mailtips...) geht nicht - die kann man nämlich nicht manuell in Outlook konfigurieren, weder intern noch extern.
Dass SRV ein "gewurschtel" wäre stimmt nicht, genausowenig, wie dass man zig Namen auf den Zertifikaten bräuchte.

Ich würde dir einen Test mit https://testconnectivity.microsoft.com/ empfehlen.

Wenn ich dich richtig verstehe, dann funktioniert bei dir Autodiscover dadurch, dass der Host autodiscover.firma.com gefunden wird - nur ist der Name nicht im Zertifikat. Dann wirst du das nur mit einen _zusätzlichen_ SRV-Record nicht gelöst bekommen: Outlook testet die verschiedenen Methoden sequentiell, wird immer zuerst den A-Record autodiscover.firma.com finden, dort einen Host finden und diesen dann nehmen - der SRV-Record wird nicht mehr getestet.
Lösung: die A-Record autodiscover.firma.com löschen. Dann wird weitergesucht, und der SRV gefunden (sofern er auch extern aufgelöst werden kann - siehe Hinweis emeriks).

Grüße

Filipp
coltseavers
coltseavers 24.10.2014 aktualisiert um 10:40:46 Uhr
Goto Top
Hallo

Zitat von @filippg:


Dass SRV ein "gewurschtel" wäre stimmt nicht, genausowenig, wie dass man zig Namen auf den Zertifikaten
bräuchte.
So, wie Tom es bisher gemacht hat, scheint es sehr wohl ein Gewurschtel zu sein - try and error halt.
Und nötig sind SRV-Einträge ohnehin nicht.
Wie Du selbst schon sagst, geht es ohne Autodiscover nicht vernünftig. Dann kann mans auch gleich vernünftig lösen: über ein SAN- oder Wildcard-Zertifikat, denn ohne Zertifikat gehts ja eh nicht.

Dass zig Namen auf dem Zertifikat erforderlich ist, habe ich nicht behauptet. Aber zwei sind schon zu empfehlen:
autodiscover und dann noch die Domain, über die OWA etc aufgerufen wird - also z.b. webmail.firma.de oder exchange.firma.de - whatever.
Evtl gibt es Szenarien, bei denen weitere Domains sinnvoll sein können.
Ob die interne Domäne auch noch rein muss, weiss ich grad nicht - könnte aber (sinnvoll) sein. Schaden tuts jedenfalls nicht.


Gruß,
Markus
TomJones
TomJones 24.10.2014 um 11:03:01 Uhr
Goto Top
Hallo,

das Problem ist nun "gelöst".
Der provider hatte wieso auch immer, die subdomain autodiscover.firma.de sowie einen SRV-Eintrag im DNS eingerichtet.

Ich habe die Einträge löschen lassen und nun funktioniert alles.
Outlook selber habe ich manuell eingerichtet, dass hat auch alles funktioniert.
Nun wollte sich Outlook durch den SRV-Eintrag beim Provider Werte per Autodiscover ziehen, was ich allerdings nicht will.

Also hat die bewusste falsch Konfiguration, nämlich das Autodiscover nicht funktioniert, mein Problem gelöst.