support-m
Goto Top

Outlook App via VPN

Hallo zusammen,
ich habe die letzte Exchange Lücke dazu genutzt, den direkten Mailabruf mit der Outlook von mobilen Geräten auf "nur-mit-VPN" (OpenVPN) um zu stellen. Leider gibt es Probleme.

Was ist derzeit gegeben?

Wir haben ein Exchange Server 2019 mit CU12 ohne EP (wird morgen auf CU14 mit EP aktualisiert), der bis vor kurzem noch direkt aus dem WWW hinter einem NGINX Reverse Proxy erreichbar war. Der Zugriff aufs OWA und Verbindung mit der Outlook App hat ohne VPN funktioniert.

Jetzt habe ich den Direktzugriff gestoppt und alle Mitarbeiter auf VPN umgestellt, außerdem dem Exchange-Server in Vorbereitung auf die EP direkt mit einem LE Zertifikat mit certifytheweb.com ausgestattet (vorher hat der NGINX das Zertifikat präsentiert).

Ich dachte, super easy, einfach VPN aktivieren und DNS forcieren, damit die Adresse mail.domäne.com und autodiscover.domäne.com über den gepushten DNS auf die interne IP-Adresse des Exchanges auflöst (statt die öffentliche IP wie bisher). Das OWA funktioniert auch ohne Murren (Browser zeigt alles sauber zertifiziert an), nur die Outlook-App will sich aufgrund eines "Zertifikatsfehlers" nicht mit dem Exchange verbinden.

Warum? Vor wenigen Tagen war die gleiche Outlook-App mit dem LE Zertifikat des NGINX zufrieden.

Ich zertifiziere mit certyfytheweb.com folgende URLS:
mail.domäne.com
autodiscover.domäne.com
ex01.ad.domäne.com (ad.domäne.com ist unsere interne AD Domäne, intern hat sich auch kein Outlook über das neue Zertifikat beschwert oder so)

Ich konnte das ganze mit einem fremden Outlook ebenfalls erfolgreich testen; VPN aktiviert (nslookup mail.domäne.com usw alles die interne IP), Outlook gestartet und mit etwas manuellem Einstellen hat sich Outlook dann auch erfolgreich verbunden - während die Outlook App weiter nicht will.

Was mache ich falsch?

Da die Outlook-App keinerlei Debug-Informationen gibt kann ich nur raten. Ich habe vermutet, dass sie am DNS vorbei, vielleicht mit DNS over HTTPS o.ä. noch die öffentliche IP auflöst und daher bei einem anderen NGINX-Service landet, aber auch nachdem ich den öffentlichen DNS-Namen die interne IP vergeben habe, geht es noch immer nicht. Gleicher Fehler.

Hat jemand eine Idee?

Danke!

MfG

Content-Key: 6661123574

Url: https://administrator.de/contentid/6661123574

Printed on: April 13, 2024 at 00:04 o'clock

Member: aqui
aqui Feb 27, 2024 at 13:07:11 (UTC)
Goto Top
Ich habe vermutet, dass sie am DNS vorbei...
Statt wild zu vermuten wäre es dann nicht sinnvoller mal den Wireshark zur Hand zu nehmen und zu prüfen ob dem wirklich so ist? Auf die "Idee" sollte ein Profi wie du doch auch zuerst kommen?! face-wink
Member: MayBeSec
MayBeSec Feb 27, 2024 at 13:45:30 (UTC)
Goto Top
Outlook > Datei > Optionen > Erweitert

Unter "Andere" > "Protokollierung der Problembehandlung aktivieren (erfordert einen Neustart von Outlook)"

Outlook neu starten

In %Temp% findet sich die ganzen Log-Files (ggf. unter "Diagnostics">"OUTLOOK"

Sind allerdings schwer interpretierbar.
Member: support-m
support-m Feb 27, 2024 at 14:53:05 (UTC)
Goto Top
Zitat von @aqui:
Statt wild zu vermuten wäre es dann nicht sinnvoller mal den Wireshark zur Hand zu nehmen und zu prüfen ob dem wirklich so ist? Auf die "Idee" sollte ein Profi wie du doch auch zuerst kommen?! face-wink
Hm, wie kann man denn ein Handy mit Wireshark mitschneiden? Das Handy hängt direkt im LTE Netz.
Mal davon abgesehen, dass ich mit Wireshark nicht klar komme. Diesbezüglich bin ich nur ein Halb-Profi ;)

Zitat von @MayBeSec:

Outlook > Datei > Optionen > Erweitert

Unter "Andere" > "Protokollierung der Problembehandlung aktivieren (erfordert einen Neustart von Outlook)"

Outlook neu starten

In %Temp% findet sich die ganzen Log-Files (ggf. unter "Diagnostics">"OUTLOOK"

Sind allerdings schwer interpretierbar.

Danke, für die Zukunft merke ich mir das mal. Aber derzeit brauche ich es nicht, da Outlook ja funktioniert. Die Outlook "App" will nicht.

Habe ich denn etwas übersehen? Mehr als HTTPs läuft doch da nicht, oder?

MfG
Member: Delta9
Solution Delta9 Feb 27, 2024 at 14:58:06 (UTC)
Goto Top
iirc läuft zumindest auf dem Iphone die Outlook-App immer über Microsoft-Server. DIese bauen dann die Verbindung zu deinem Exchange auf.
Member: support-m
support-m Feb 27, 2024 at 15:31:10 (UTC)
Goto Top
Zitat von @Delta9:

iirc läuft zumindest auf dem Iphone die Outlook-App immer über Microsoft-Server. DIese bauen dann die Verbindung zu deinem Exchange auf.

Damn, ja das wars. Mir war bewusst, dass die Outlook App die Zugangsdaten an MS sendet, aber ich hätte nicht gedacht, dass der Exchange-Zugriff dann über die Microsoft-Server stattfindet!

Habe die GMAIL App genutzt und schwupp die wupp war meine Mail eingerichtet. Problem ist nun aber, dass mein „Google-Konto“ mit dem Firmen-Posteingang zusammen angezeigt wird. Das ist etwas ätzend und bisher habe ich keine Einstellung gefunden, die das ändert…aber nun habe ich gute weitere Ansätze!

Siehe auch hier:

https://www.anleitungen.rrze.fau.de/e-mail/exchange/exchange-postfach-in ...
https://hilfe.uni-paderborn.de/Exchange_einrichten_mit_Android

Vielen Dank!
Member: aqui
aqui Feb 27, 2024 at 17:04:54 (UTC)
Goto Top
aber ich hätte nicht gedacht, dass der Exchange-Zugriff dann über die Microsoft-Server stattfindet!
Ging mit einem Riesenaufschrei (zu Recht!) auch durch die Presse:
https://www.heise.de/news/Microsoft-krallt-sich-Zugangsdaten-Achtung-vor ...
https://www.heise.de/news/Neues-Outlook-Microsoft-bezieht-Stellung-zur-U ...
Feind liest immer mit. Ein Schelm wer Böses dabei denkt...