svenschulte
Goto Top

Outlook Client mit Exchange Server 2010 verbinden über DynDns

Hallo alle miteinander,

ich habe folgendes Problem.

Ich habe einen Windows Server 2008 R2 im Keller stehen, dort läuft Exchange 2010, AD, DNS und die Zertifizierungsstelle.
Läuft alles wunderbar, bis auf die Verbindung zum Server über einen Outlook Client (2010/2013).
Intern klappt das. Ich habe ein Zertifikat erstell, welches gültig ist und auch funktioniert. Ich
kann per OWA von Extern auf den Server zugreifen. Ich kann auch mit meinem Android 4.2.1 Phone auf den
Server zugreifen und habe ein Exchange Konto angelegt mit dem Zertifikat. klappt alles.

Ich kann aber kein Outlook Konto anlegen. Ich habe schon die AutoDiscover Funktion
deaktiviert, den WinRM gecheckt (Ist das richtig das der Listener der HTTPs auf die interne Domain verweist?).
Habe die Bindungen gecheckt, die SSL Verschlüselung gecheckt.
Port forwarding im Router, die Ports 80 und 443 zeigen auf dem Server.

Ich habe eine dynamsiche DNS bei Dyndns die auf den Server zeigt.

Hoffentlich kann mir hier einer helfen, ich turne hier schon fast zwei Wochen mit
dem Server rum.

Vielen Dank schon mal

Sven face-smile

Content-ID: 233289

Url: https://administrator.de/forum/outlook-client-mit-exchange-server-2010-verbinden-ueber-dyndns-233289.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

coltseavers
coltseavers 21.03.2014 aktualisiert um 14:07:21 Uhr
Goto Top
Moin Sven,

also erstmal legst Du das Konto normal in Outlook an, als wäre er innerhalb der Domäne.
Als Server trägst Du also nicht etwa die externe IP oder sowas ein, sondern den Serverpfad innerhalb der Domäne: z.B. server1.meinedomaene.local

Damit der Zugriff auch von aussen funktioniert, musst Du unter "Weitere Einstellungen" im Reiter "Verbindung" unten einen Haken setzen bei:
"Verbindung mit Microsoft Exchange über HTTP herstellen".

Dann gehst Du darunter auf die Schaltfläche "Exchange Proxyeinstellungen".
Als URL trägst Du in dem neuen Fenster die OWA-URL ein, halt nur ohne /owa am Ende.
z.B. meinserver.meinedomain.de (In Deinem Fall die DynDNS-Adresse)
Für diese URL muss ein Zertifikat vorhanden sein.

(Da Du Dich intern und extern verschlüsselt mit dem Exchange verbindest, muss für beide Pfade ein Zertifikat gelten.
Dies geht mit sogenannten Multi-SAN-Zertifikaten. Kann man aber mit der Windows eigenen CA selbst bauen, muss man nicht kaufen.
In dem korrekt erstellten Zertifikat muss am Ende also auftauchen:
1) server1.meinedomaene.local
2) meinserver.meinedomain.de (In Deinem Fall die DynDNS-Adresse)
Kontrollieren kannst Du das z.B., wenn Du die OWA-Adresse aufrufst und Dir dann im Browser das Zertifikat anzeigen lässt.)


Dann setzt Du einen Haken bei "Verbindung nur mit Proxyservern herstellen, ..."
und trägst dort ein: "msstd:meinserver.meinedomain.de"

Dann setzt Du einen Haken bei "Bei langsamen Netzwerken..."

Unten bei dem Auswahlfenster wählst Du dann die Standardauthentifizierung.

Das Ganze mit OK bestätigen und fertig ist die Sache.
Sollte es damit nicht gehen gibt es noch irgendeinen Konfigurationsfehler beim Exchange.

Die Autodiscover-Funktion würde ich übrigens aktiviert lassen.

Gruß,
Colt.
Svenschulte
Svenschulte 21.03.2014 um 15:34:24 Uhr
Goto Top
Hallo Colt,

erstmal vielen Dank für die schnelle und ausführlicher Hilfe!

Ich habe jetzt alles so gemacht wie du es beschreiben hast. Ich komme
damit auch schon weiter, ich werde nach einem Benutzernamen und Passwort
gefragt, womit ich mich bei Exchange anmelde. Aber dann sagt mir Outlook
das es ein Problem mit dem Zertifikat gibt, es stimmt nicht mit der URL über ein.
Das kann aber nicht sein, ich habe das Zertifikat für folgendende URL´s erstellt:
xx.dyndns.org -->extern
Server.xx.dynds.org -->intern
autodiscover.xx.dyndns.org
lagecy.xx.dyndns.org

Kann es sein das es an der Zertifikatsvorlage "Webserver" liegt??

Gruß
Sven face-smile
coltseavers
coltseavers 23.03.2014 um 21:33:02 Uhr
Goto Top
Hi ho,

korrekt sind die Einträge:
xx.dyndns.org und autodiscover.xx.dyndns.org
Aber server.xx.dyndns.org für intern? Das würde heissen, dass Deine interne lokale Domäne dyndns.org heisst - das wäre falsch.
Die interne Domäne sollte eine Endung haben, die es im Internet nicht gibt, damit es eine klare Trennung der Namensräume gibt.
Üblicherweise benutzt man .local
Interner Servername wäre dann z.B. server1.meinefirma.local

Gruß,
Colt
Svenschulte
Svenschulte 24.03.2014 um 08:44:37 Uhr
Goto Top
Guten morgen,

ich habe die Installation des Servers mithilfe der Video2Brain DVD
durchgeführt, deswegen habe ich intern gleich extern, das wurde da so
angeboten. Ich hatte so ja auch einen funktionierenden alten Server problemlos am
laufen. Doch war das ein Stromfresser und ich habe einen neuen gekauft.

Den habe ich dann neu installiert, eigentlich genauso wie der alte, dachte
ich zumindest. Es klappt auch alles, bis auf der Outlook Connect.

Ich habe mal mit www.testexchangeconnectivity.com die Auto Ermittlung getestet.
Das kam dabei raus:

Zertifikatsvertrauensstellung wird überprüft.
Fehler bei der Überprüfung der Vertrauenswürdigkeit des Zertifikats.

Testschritte

Die Microsoft-Verbindungsuntersuchung versucht, Zertifikatketten für Zertifikat CN=xxx.dyndns.com, OU=x, O=x, L=x, S=x C=DE zu erstellen.
Für das Zertifikat konnte keine Zertifikatkette erstellt werden.

Weitere Details

Die Zertifikatkette konnte nicht erstellt werden. Möglicherweise fehlen erforderliche Zwischenzertifikate.
Es wird versucht, den Hostnamen autodiscover.xxx.dyndns.com im DNS aufzulösen.
Der Hostname konnte nicht aufgelöst werden.
Weitere Informationen zu diesem Problem und zu möglichen Lösungen

Weitere Details

Der Host autodiscover.xxx.dyndns.com konnte in DNS InfoDomainNonexistent nicht aufgelöst werden.

Wenn ich mir jetzt vorstelle, das Outlook über die URL autodiscover.xxx.dyndns.com eine
Verbindung zu meinem Server herstellen möchte, dann kann ich verstehen das das nicht klappt,
ich habe ja keine öffentliche Domain die so heißt, das kann doch Garnichts klappen oder verstehe
ich da was falsch?

OWA klappt ja, intern und extern, da sollte doch Outlook auch klappen.

Vielen Dank und schöne Grüße

Sven face-smile
coltseavers
coltseavers 24.03.2014 um 10:46:32 Uhr
Goto Top
...das könnte tatsächlich das Problem sein!
Also ich meine die Auflösung des Hostnamen autodiscover.xxx.dyndns.com
Das die Zertifikatekette nicht aufgelöst werden kann geht in Ordnung, da das ja ein selbst erstelltes Zertifikat ist.

OWA benötigt ja auch kein Autodiscover, Outlook schon.
In wieweit Outlook noch die Autodiscover-Funktion braucht, obwohl man schon die o.g. Einstellungen vorgenommen hat, weiss ich nun auch nicht.

Was mich grad noch wundert:
Laut meinem Exchange 2007-Buch sucht er bei der Domain der E-Mail-Adresse nach den Autodiscover-Einstellungen:
E-Mail-Adresse: info@domain.tld
Dann sucht er die Autodiscover-Einstellungen unter: autodiscover.domain.tld
Aber Deine E-Mail-Adresse wird ja kaum info@xx.dyndns.org lauten, oder?


Noch ein Hinweis zu den Namensräumen:
Nur weil etwas funktioniert, heisst es nicht, dass es richtig und unbedenklich ist. Bei der nächsten Serverinstallation solltest Du die Namensräume sauber trennen. Denn es gibt definitiv Szenarien, wo das zu Problemen führt, und dann kann die Suche sehr sehr mühselig werden. Die Fehler können an Stellen auftreten, wo man erstmal gar keinen Zusammenhang sieht.
Wenn Du im LAN den Namen dyndns.org auflösen willst kommen ja schliesslich 2 Ziele in Frage: Einmal Deine interne Domäne, und einmal die Domäne dyndns.org im WAN - welche ist denn dann die richtige???
Ich glaube zwar nicht, dass diese Fehlkonfiguration aktuell diese Probleme mitverursacht, aber darauf wetten würde ich auch nicht.
Svenschulte
Svenschulte 24.03.2014 um 11:34:23 Uhr
Goto Top
Also meine Mail Adresse lautet so wie du sie geschrieben hast, Name@xx.dyndns.org.
Warum denn nicht?

Okay, ich denke wenn ich das bis Freitag nicht hinbekomme werde ich die Kiste wohl
neu installieren und dann mit getrennten Domänen.

Irgendwie muss das doch gehen.face-smile
coltseavers
coltseavers 24.03.2014 um 23:23:57 Uhr
Goto Top
Hmm, wie soll ich sagen:
also ne saubere E-Mail-Lösung wirst Du über DynDNS nicht hinbekommen.
Für Spaß, tüfteln und Hobby ok, aber solide sieht anders aus - gerade bei E-Mail-Servern.
Erstmal kontrollierst Du den DNS-Eintrag der Domain dyndns.org nicht (kein MX, keine kostenlose autodiscover-Subdomain), und zweitens hast Du wechselnde IPs.
Das ist ein recht wackeliges Gestell, an dem sich immer wieder mal einige Mailserver stören könnten.
Mailserver sollten immer eine feste IP haben und eine vernünftige, korrekte, RFC-konforme(!) Namensauflösung.

Als Buchtipp kann ich Dir die Bücher von Ulrich Boddenberg sehr empfehlen.
Der hat zwar keins zum Exchange 2010 rausgebracht, aber zum Exchange 2007 - die Unterschiede dürften nicht wirklich groß sein.
Da wird alles von vorn bis hinten leicht verständlich und anschaulich erklärt.

Im Bereich Linux gibt es den Autor Peer Heinlein - lies Bücher von solchen Leuten, und du wirst Deinen DynDNS-Mailserver einstampfen.
Entweder nimmst Du ne feste IP für Deinen Internetanschluss und ne eigene Domain dazu, oder Du buchst Dir nen kleinen virtuellen Linuxserver + eigene Domain. Auch damit kannst Du volle Exchange-Funktionalität bekommen, undzwar kostenlos (mit Zarafa oder Scalix z.B.) - einmal eingerichtet läufts ewig.
Naja, oder man nimmt ein fertiges hosted Exchange bei 1und1 oder so, aber dann bleibt natürlich nix mehr zum tüfteln übrig face-wink
spezicloud
spezicloud 30.03.2014 um 22:01:22 Uhr
Goto Top
Versuche doch mal einen andern DynDNS-Anbieter zB: http//www.clickip.de , der Anbieter ist sogar Kostenlos und hier wird man nicht Zwangsgetrennt