Exchange 2010 Outlook Anywhere Autodiscover SRV DNS
Hallo zusammen,
ich bekomme es einfach nicht hin...
Ich habe hier einen SBS 2011.
Domäne: firma.local
Subdomain mit A-Record verweisend auf meinen SBS:
mail.firma.com
Positive SSL Zertifikat für mail.firma.com ist vorhanden und funktioniert auch, getestet über z.B. /owa
Nun muss ich einen Client per Outlook Anywhere anbinden.
Beim starten von Outlook bekomme ich eine Zertifikats Fehlermeldung, dass autodiscover.firma.com nicht im Zertifikat enthalten ist, jo, kann ich bestätigen, soll aber auch nicht.
Ich habe nun im DNS-Server auf dem SBS2011 eine Forward-Lookupzone angelegt:
firma.com
Darin habe ich einen SRV Eintrag erstellt:
firma.com
_autodiscover
_tcp
443
mail.firma.com
Nur leider bekomme ich mein "Problem" so nicht gelöst, mache ich irgendwas falsch?
nslookup zeigt folgendes:
Nicht autorisierende Antwort:
_autodiscover._tcp.firma.com SRV service l
priority = 0
weight = 0
port = 443
svr hostname = mail.firma.com
Habt Ihr einen Tipp für mich, wo mein Fehler ist?
Ich danke Euch
Edit:
Das Beste ist, ich habe es spoantan mit zwei weiteren Kunden probiert, alle die ziemlich gleiche Konfiguration, nur unterschiedliche Provider.
Das einzige was sich unterscheidet, sind die nslookup Rückgaben:
Kunde 1:
DNS request timed out.
timeout was 2 seconds.
Zeitüberschreitung bei Anforderung an 192.168.10.200.
Kunde 2:
DNS request timed out.
timeout was 2 seconds.
Zeitüberschreitung bei Anforderung an 192.168.10.200.
Was mir dabei gerade aufgefallen ist, bevor ich die SRV Einträge im DNS-Server des SBS2011 gemacht habe, hat mir nslookup auch schon:
Nicht autorisierende Antwort:
_autodiscover._tcp.firma.com SRV service l
priority = 0
weight = 0
port = 443
svr hostname = mail.firma.com
gezeigt.
Kann es sein, dass das Problem der Provider ist, dass der schon so einen SRV Eintrag vorgenommen hat?
Bei Kunde 1 und Kunde 2 funktioniert autodiscover laut Outlook E-mail Autokonfiguration Test nämlich nicht, was aber auch nicht schlimm ist, da es nicht genutzt wird.
Was meint Ihr?
ich bekomme es einfach nicht hin...
Ich habe hier einen SBS 2011.
Domäne: firma.local
Subdomain mit A-Record verweisend auf meinen SBS:
mail.firma.com
Positive SSL Zertifikat für mail.firma.com ist vorhanden und funktioniert auch, getestet über z.B. /owa
Nun muss ich einen Client per Outlook Anywhere anbinden.
Beim starten von Outlook bekomme ich eine Zertifikats Fehlermeldung, dass autodiscover.firma.com nicht im Zertifikat enthalten ist, jo, kann ich bestätigen, soll aber auch nicht.
Ich habe nun im DNS-Server auf dem SBS2011 eine Forward-Lookupzone angelegt:
firma.com
Darin habe ich einen SRV Eintrag erstellt:
firma.com
_autodiscover
_tcp
443
mail.firma.com
Nur leider bekomme ich mein "Problem" so nicht gelöst, mache ich irgendwas falsch?
nslookup zeigt folgendes:
Nicht autorisierende Antwort:
_autodiscover._tcp.firma.com SRV service l
priority = 0
weight = 0
port = 443
svr hostname = mail.firma.com
Habt Ihr einen Tipp für mich, wo mein Fehler ist?
Ich danke Euch
Edit:
Das Beste ist, ich habe es spoantan mit zwei weiteren Kunden probiert, alle die ziemlich gleiche Konfiguration, nur unterschiedliche Provider.
Das einzige was sich unterscheidet, sind die nslookup Rückgaben:
Kunde 1:
DNS request timed out.
timeout was 2 seconds.
Zeitüberschreitung bei Anforderung an 192.168.10.200.
Kunde 2:
DNS request timed out.
timeout was 2 seconds.
Zeitüberschreitung bei Anforderung an 192.168.10.200.
Was mir dabei gerade aufgefallen ist, bevor ich die SRV Einträge im DNS-Server des SBS2011 gemacht habe, hat mir nslookup auch schon:
Nicht autorisierende Antwort:
_autodiscover._tcp.firma.com SRV service l
priority = 0
weight = 0
port = 443
svr hostname = mail.firma.com
gezeigt.
Kann es sein, dass das Problem der Provider ist, dass der schon so einen SRV Eintrag vorgenommen hat?
Bei Kunde 1 und Kunde 2 funktioniert autodiscover laut Outlook E-mail Autokonfiguration Test nämlich nicht, was aber auch nicht schlimm ist, da es nicht genutzt wird.
Was meint Ihr?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 252885
Url: https://administrator.de/contentid/252885
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
5 Kommentare
Neuester Kommentar
Hi,
zwei Sachen fallen mir ein:
Erstens muss das Outlook min. einmal vom internen Netz das Postfach öffnen, bevor das von Extern über Anywhere geht.
Zweitens: Was nützt Dir intern eine Zone "forma.com" mit den entsprechenden Einrägen, wenn der Zugriff von Extern kommt und der Client dann den externen DNS-Server abfragt? Oder hast Du diesen Record auch in der externen Zone erstellt?
E.
zwei Sachen fallen mir ein:
Erstens muss das Outlook min. einmal vom internen Netz das Postfach öffnen, bevor das von Extern über Anywhere geht.
Zweitens: Was nützt Dir intern eine Zone "forma.com" mit den entsprechenden Einrägen, wenn der Zugriff von Extern kommt und der Client dann den externen DNS-Server abfragt? Oder hast Du diesen Record auch in der externen Zone erstellt?
E.
Hallo Tom,
da muss ich emeriks leider widersprechen: Outlook kann auch von extern aus eingerichtet werden.
Wenn man in den Kontoeinstellungen unter Exchange-Kontoeinstellungen -> "Verbindungen" die Exchange-Proxyeinstellungen korrekt setzt, kann man auch "ausser Haus" in einem frisch installierten Outlook ein Konto anlegen, das sich dann sofort mit dem Exchange-Server im Firmen-LAN problemlos verbindet und synchronisiert. (dafür ist die autodiscover-Funktion ja schliesslich da!)
Ich kann leider nicht ganz präzise helfen, da ich den 2011er-Server nicht kenne (arbeite selbst mit SBS2008 und Exchange 2007), aber das Prinzip dürfte im Wesentlichen identisch sein.
Das Gewurschtel im DNS ist definitiv keine saubere Lösung - sowa steht in keinem (vernünftigen) Handbuch.
SRV-Einträge sind nicht erforderlich (wüsste auch nicht, dass Outlook-Clients sowas nutzen können).
Für die Verbindung der Clients reichen ganz normale A-Records im DNS-Eintrag der externen Domain (auf dem DNS-Server im WAN). Der DNS-Server im LAN muss nicht konfiguriert werden.
Laut dem Exchange 2007-Buch von Ulrich Boddenberg wirst Du für einen sauberen(!) Zugriff von aussen auf jeden Fall eines der beiden Zertifikate benötigen:
-SAN-Zertifikat (für mehrere, konkrete Domains: firma.com, autodiscover.firma.com, remote.firma.com, evtl webmail.firma.com)
-Wildcard-Zertifikat (für firma.com inkl aller Unterdomains)
Am schönsten geht das natürlich mit gekauften Zertifikaten, die von Outlook und dem Browser ohne zu meckern sofort akzeptiert werden.
Mir war das damals jedoch zu teuer, und so habe ich ein SAN-Zertifikat auf dem SBS2008 selbst erstellt, und die Zertifikate dann auf den Clients einmalig verteilt.
Alternativ können die PC/Laptop-Clients sich auch im LAN einmal in der Domäne anmelden, dann wird das Zertifikat, meine ich, sogar automatisch rübergeschaufelt.
Nur bei Smartphones geht das natürlich nicht - da muss ein selbst erstelltes Zertifikat entweder installiert, oder bei der ersten Verbindung akzeptiert werden.
Bei einer überschaubaren Client-Anzahl von unter 20 ist das aber durchaus praktikabel.
Ich kann Dir die Bücher von diesem Autor nur wärmstens empfehlen - da steht leicht verständlich und umfangreich drin, wie man sowas von A bis Z vernünftig macht - die ganzen Tutorials, die ich im Internet dazu gefunden habe, waren entweder nicht standard-konformes Gewurschtel, oder nicht vollständig.
Und selbst wenn Du wurschtelst und es läuft irgendwann - wirklich wissen tust Du dann immer noch nichts so richtig. Die Thematik ist einfach zu komplex, um mal eben in nem Forum ein 5-Minuten-Tutorial abzuarbeiten.
Deshalb meine Empfehlung: 50-60 Euro für so'n Buch investiert, und dann hat man auch eine saubere Lösung, man versteht die Hintergründe (wie sich das Microsoft gedacht hat), und man weiss, wie es richtig geht.
Man hat dann also nicht nur ne Lösung, sondern man versteht auch die Abläufe etc, und das ist ne Menge wert!
Gruß,
Colt
da muss ich emeriks leider widersprechen: Outlook kann auch von extern aus eingerichtet werden.
Wenn man in den Kontoeinstellungen unter Exchange-Kontoeinstellungen -> "Verbindungen" die Exchange-Proxyeinstellungen korrekt setzt, kann man auch "ausser Haus" in einem frisch installierten Outlook ein Konto anlegen, das sich dann sofort mit dem Exchange-Server im Firmen-LAN problemlos verbindet und synchronisiert. (dafür ist die autodiscover-Funktion ja schliesslich da!)
Ich kann leider nicht ganz präzise helfen, da ich den 2011er-Server nicht kenne (arbeite selbst mit SBS2008 und Exchange 2007), aber das Prinzip dürfte im Wesentlichen identisch sein.
Das Gewurschtel im DNS ist definitiv keine saubere Lösung - sowa steht in keinem (vernünftigen) Handbuch.
SRV-Einträge sind nicht erforderlich (wüsste auch nicht, dass Outlook-Clients sowas nutzen können).
Für die Verbindung der Clients reichen ganz normale A-Records im DNS-Eintrag der externen Domain (auf dem DNS-Server im WAN). Der DNS-Server im LAN muss nicht konfiguriert werden.
Laut dem Exchange 2007-Buch von Ulrich Boddenberg wirst Du für einen sauberen(!) Zugriff von aussen auf jeden Fall eines der beiden Zertifikate benötigen:
-SAN-Zertifikat (für mehrere, konkrete Domains: firma.com, autodiscover.firma.com, remote.firma.com, evtl webmail.firma.com)
-Wildcard-Zertifikat (für firma.com inkl aller Unterdomains)
Am schönsten geht das natürlich mit gekauften Zertifikaten, die von Outlook und dem Browser ohne zu meckern sofort akzeptiert werden.
Mir war das damals jedoch zu teuer, und so habe ich ein SAN-Zertifikat auf dem SBS2008 selbst erstellt, und die Zertifikate dann auf den Clients einmalig verteilt.
Alternativ können die PC/Laptop-Clients sich auch im LAN einmal in der Domäne anmelden, dann wird das Zertifikat, meine ich, sogar automatisch rübergeschaufelt.
Nur bei Smartphones geht das natürlich nicht - da muss ein selbst erstelltes Zertifikat entweder installiert, oder bei der ersten Verbindung akzeptiert werden.
Bei einer überschaubaren Client-Anzahl von unter 20 ist das aber durchaus praktikabel.
Ich kann Dir die Bücher von diesem Autor nur wärmstens empfehlen - da steht leicht verständlich und umfangreich drin, wie man sowas von A bis Z vernünftig macht - die ganzen Tutorials, die ich im Internet dazu gefunden habe, waren entweder nicht standard-konformes Gewurschtel, oder nicht vollständig.
Und selbst wenn Du wurschtelst und es läuft irgendwann - wirklich wissen tust Du dann immer noch nichts so richtig. Die Thematik ist einfach zu komplex, um mal eben in nem Forum ein 5-Minuten-Tutorial abzuarbeiten.
Deshalb meine Empfehlung: 50-60 Euro für so'n Buch investiert, und dann hat man auch eine saubere Lösung, man versteht die Hintergründe (wie sich das Microsoft gedacht hat), und man weiss, wie es richtig geht.
Man hat dann also nicht nur ne Lösung, sondern man versteht auch die Abläufe etc, und das ist ne Menge wert!
Gruß,
Colt
Hallo,
das Outlook ohne Autodiscover geht ist nur eine Halbwahrheit. Meinetwegen 90%-Wahrheit: Mailsychronisation geht, aber alles, was die Webservices benötigt (Free&Busy, OOF, Regeln, Mailtips...) geht nicht - die kann man nämlich nicht manuell in Outlook konfigurieren, weder intern noch extern.
Dass SRV ein "gewurschtel" wäre stimmt nicht, genausowenig, wie dass man zig Namen auf den Zertifikaten bräuchte.
Ich würde dir einen Test mit https://testconnectivity.microsoft.com/ empfehlen.
Wenn ich dich richtig verstehe, dann funktioniert bei dir Autodiscover dadurch, dass der Host autodiscover.firma.com gefunden wird - nur ist der Name nicht im Zertifikat. Dann wirst du das nur mit einen _zusätzlichen_ SRV-Record nicht gelöst bekommen: Outlook testet die verschiedenen Methoden sequentiell, wird immer zuerst den A-Record autodiscover.firma.com finden, dort einen Host finden und diesen dann nehmen - der SRV-Record wird nicht mehr getestet.
Lösung: die A-Record autodiscover.firma.com löschen. Dann wird weitergesucht, und der SRV gefunden (sofern er auch extern aufgelöst werden kann - siehe Hinweis emeriks).
Grüße
Filipp
das Outlook ohne Autodiscover geht ist nur eine Halbwahrheit. Meinetwegen 90%-Wahrheit: Mailsychronisation geht, aber alles, was die Webservices benötigt (Free&Busy, OOF, Regeln, Mailtips...) geht nicht - die kann man nämlich nicht manuell in Outlook konfigurieren, weder intern noch extern.
Dass SRV ein "gewurschtel" wäre stimmt nicht, genausowenig, wie dass man zig Namen auf den Zertifikaten bräuchte.
Ich würde dir einen Test mit https://testconnectivity.microsoft.com/ empfehlen.
Wenn ich dich richtig verstehe, dann funktioniert bei dir Autodiscover dadurch, dass der Host autodiscover.firma.com gefunden wird - nur ist der Name nicht im Zertifikat. Dann wirst du das nur mit einen _zusätzlichen_ SRV-Record nicht gelöst bekommen: Outlook testet die verschiedenen Methoden sequentiell, wird immer zuerst den A-Record autodiscover.firma.com finden, dort einen Host finden und diesen dann nehmen - der SRV-Record wird nicht mehr getestet.
Lösung: die A-Record autodiscover.firma.com löschen. Dann wird weitergesucht, und der SRV gefunden (sofern er auch extern aufgelöst werden kann - siehe Hinweis emeriks).
Grüße
Filipp
Hallo
Und nötig sind SRV-Einträge ohnehin nicht.
Wie Du selbst schon sagst, geht es ohne Autodiscover nicht vernünftig. Dann kann mans auch gleich vernünftig lösen: über ein SAN- oder Wildcard-Zertifikat, denn ohne Zertifikat gehts ja eh nicht.
Dass zig Namen auf dem Zertifikat erforderlich ist, habe ich nicht behauptet. Aber zwei sind schon zu empfehlen:
autodiscover und dann noch die Domain, über die OWA etc aufgerufen wird - also z.b. webmail.firma.de oder exchange.firma.de - whatever.
Evtl gibt es Szenarien, bei denen weitere Domains sinnvoll sein können.
Ob die interne Domäne auch noch rein muss, weiss ich grad nicht - könnte aber (sinnvoll) sein. Schaden tuts jedenfalls nicht.
Gruß,
Markus
Dass SRV ein "gewurschtel" wäre stimmt nicht, genausowenig, wie dass man zig Namen auf den Zertifikaten
bräuchte.
So, wie Tom es bisher gemacht hat, scheint es sehr wohl ein Gewurschtel zu sein - try and error halt.bräuchte.
Und nötig sind SRV-Einträge ohnehin nicht.
Wie Du selbst schon sagst, geht es ohne Autodiscover nicht vernünftig. Dann kann mans auch gleich vernünftig lösen: über ein SAN- oder Wildcard-Zertifikat, denn ohne Zertifikat gehts ja eh nicht.
Dass zig Namen auf dem Zertifikat erforderlich ist, habe ich nicht behauptet. Aber zwei sind schon zu empfehlen:
autodiscover und dann noch die Domain, über die OWA etc aufgerufen wird - also z.b. webmail.firma.de oder exchange.firma.de - whatever.
Evtl gibt es Szenarien, bei denen weitere Domains sinnvoll sein können.
Ob die interne Domäne auch noch rein muss, weiss ich grad nicht - könnte aber (sinnvoll) sein. Schaden tuts jedenfalls nicht.
Gruß,
Markus