Outlook App via VPN
Hallo zusammen,
ich habe die letzte Exchange Lücke dazu genutzt, den direkten Mailabruf mit der Outlook von mobilen Geräten auf "nur-mit-VPN" (OpenVPN) um zu stellen. Leider gibt es Probleme.
Was ist derzeit gegeben?
Wir haben ein Exchange Server 2019 mit CU12 ohne EP (wird morgen auf CU14 mit EP aktualisiert), der bis vor kurzem noch direkt aus dem WWW hinter einem NGINX Reverse Proxy erreichbar war. Der Zugriff aufs OWA und Verbindung mit der Outlook App hat ohne VPN funktioniert.
Jetzt habe ich den Direktzugriff gestoppt und alle Mitarbeiter auf VPN umgestellt, außerdem dem Exchange-Server in Vorbereitung auf die EP direkt mit einem LE Zertifikat mit certifytheweb.com ausgestattet (vorher hat der NGINX das Zertifikat präsentiert).
Ich dachte, super easy, einfach VPN aktivieren und DNS forcieren, damit die Adresse mail.domäne.com und autodiscover.domäne.com über den gepushten DNS auf die interne IP-Adresse des Exchanges auflöst (statt die öffentliche IP wie bisher). Das OWA funktioniert auch ohne Murren (Browser zeigt alles sauber zertifiziert an), nur die Outlook-App will sich aufgrund eines "Zertifikatsfehlers" nicht mit dem Exchange verbinden.
Warum? Vor wenigen Tagen war die gleiche Outlook-App mit dem LE Zertifikat des NGINX zufrieden.
Ich zertifiziere mit certyfytheweb.com folgende URLS:
mail.domäne.com
autodiscover.domäne.com
ex01.ad.domäne.com (ad.domäne.com ist unsere interne AD Domäne, intern hat sich auch kein Outlook über das neue Zertifikat beschwert oder so)
Ich konnte das ganze mit einem fremden Outlook ebenfalls erfolgreich testen; VPN aktiviert (nslookup mail.domäne.com usw alles die interne IP), Outlook gestartet und mit etwas manuellem Einstellen hat sich Outlook dann auch erfolgreich verbunden - während die Outlook App weiter nicht will.
Was mache ich falsch?
Da die Outlook-App keinerlei Debug-Informationen gibt kann ich nur raten. Ich habe vermutet, dass sie am DNS vorbei, vielleicht mit DNS over HTTPS o.ä. noch die öffentliche IP auflöst und daher bei einem anderen NGINX-Service landet, aber auch nachdem ich den öffentlichen DNS-Namen die interne IP vergeben habe, geht es noch immer nicht. Gleicher Fehler.
Hat jemand eine Idee?
Danke!
MfG
ich habe die letzte Exchange Lücke dazu genutzt, den direkten Mailabruf mit der Outlook von mobilen Geräten auf "nur-mit-VPN" (OpenVPN) um zu stellen. Leider gibt es Probleme.
Was ist derzeit gegeben?
Wir haben ein Exchange Server 2019 mit CU12 ohne EP (wird morgen auf CU14 mit EP aktualisiert), der bis vor kurzem noch direkt aus dem WWW hinter einem NGINX Reverse Proxy erreichbar war. Der Zugriff aufs OWA und Verbindung mit der Outlook App hat ohne VPN funktioniert.
Jetzt habe ich den Direktzugriff gestoppt und alle Mitarbeiter auf VPN umgestellt, außerdem dem Exchange-Server in Vorbereitung auf die EP direkt mit einem LE Zertifikat mit certifytheweb.com ausgestattet (vorher hat der NGINX das Zertifikat präsentiert).
Ich dachte, super easy, einfach VPN aktivieren und DNS forcieren, damit die Adresse mail.domäne.com und autodiscover.domäne.com über den gepushten DNS auf die interne IP-Adresse des Exchanges auflöst (statt die öffentliche IP wie bisher). Das OWA funktioniert auch ohne Murren (Browser zeigt alles sauber zertifiziert an), nur die Outlook-App will sich aufgrund eines "Zertifikatsfehlers" nicht mit dem Exchange verbinden.
Warum? Vor wenigen Tagen war die gleiche Outlook-App mit dem LE Zertifikat des NGINX zufrieden.
Ich zertifiziere mit certyfytheweb.com folgende URLS:
mail.domäne.com
autodiscover.domäne.com
ex01.ad.domäne.com (ad.domäne.com ist unsere interne AD Domäne, intern hat sich auch kein Outlook über das neue Zertifikat beschwert oder so)
Ich konnte das ganze mit einem fremden Outlook ebenfalls erfolgreich testen; VPN aktiviert (nslookup mail.domäne.com usw alles die interne IP), Outlook gestartet und mit etwas manuellem Einstellen hat sich Outlook dann auch erfolgreich verbunden - während die Outlook App weiter nicht will.
Was mache ich falsch?
Da die Outlook-App keinerlei Debug-Informationen gibt kann ich nur raten. Ich habe vermutet, dass sie am DNS vorbei, vielleicht mit DNS over HTTPS o.ä. noch die öffentliche IP auflöst und daher bei einem anderen NGINX-Service landet, aber auch nachdem ich den öffentlichen DNS-Namen die interne IP vergeben habe, geht es noch immer nicht. Gleicher Fehler.
Hat jemand eine Idee?
Danke!
MfG
Please also mark the comments that contributed to the solution of the article
Content-ID: 6661123574
Url: https://administrator.de/contentid/6661123574
Printed on: October 16, 2024 at 01:10 o'clock
6 Comments
Latest comment
Outlook > Datei > Optionen > Erweitert
Unter "Andere" > "Protokollierung der Problembehandlung aktivieren (erfordert einen Neustart von Outlook)"
Outlook neu starten
In %Temp% findet sich die ganzen Log-Files (ggf. unter "Diagnostics">"OUTLOOK"
Sind allerdings schwer interpretierbar.
Unter "Andere" > "Protokollierung der Problembehandlung aktivieren (erfordert einen Neustart von Outlook)"
Outlook neu starten
In %Temp% findet sich die ganzen Log-Files (ggf. unter "Diagnostics">"OUTLOOK"
Sind allerdings schwer interpretierbar.
aber ich hätte nicht gedacht, dass der Exchange-Zugriff dann über die Microsoft-Server stattfindet!
Ging mit einem Riesenaufschrei (zu Recht!) auch durch die Presse:https://www.heise.de/news/Microsoft-krallt-sich-Zugangsdaten-Achtung-vor ...
https://www.heise.de/news/Neues-Outlook-Microsoft-bezieht-Stellung-zur-U ...
Feind liest immer mit. Ein Schelm wer Böses dabei denkt...