Sicherheitshinweis autodiscover
Hallo Support Forum,
wir haben vor einiger Zeit eine Domain von Strato nach Alfahosting umgezogen.
Bei Strato war ein SSL Zertifikat eingbunden.
Bei Alfahosting wurde dann ebendfalls ein neues SSL Zertifikat installiert.
Die Mails werden über den POP3 Connector vom SBS 2008 Server abgeholt und an die Postfächer verteilt.
Seit dem Umzug erscheint beim starten von Outlook ein Sicherheitshinweis.
autodiscover
Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Weebsite überein.
Hat jemand eine Idee was zu tun ist? Muss ein neues Outlook Profil erstellt werden? Eventuell so, dass ich die Daten nicht über die aoutodiscover Funktion ermitteln lassen. Sind weitere DNS Einstellungen beim Provider notwendig oder muss was am Exchange umkonfiguriert werden?
Vielen Dank!
Alexander Aust
wir haben vor einiger Zeit eine Domain von Strato nach Alfahosting umgezogen.
Bei Strato war ein SSL Zertifikat eingbunden.
Bei Alfahosting wurde dann ebendfalls ein neues SSL Zertifikat installiert.
Die Mails werden über den POP3 Connector vom SBS 2008 Server abgeholt und an die Postfächer verteilt.
Seit dem Umzug erscheint beim starten von Outlook ein Sicherheitshinweis.
autodiscover
Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Weebsite überein.
Hat jemand eine Idee was zu tun ist? Muss ein neues Outlook Profil erstellt werden? Eventuell so, dass ich die Daten nicht über die aoutodiscover Funktion ermitteln lassen. Sind weitere DNS Einstellungen beim Provider notwendig oder muss was am Exchange umkonfiguriert werden?
Vielen Dank!
Alexander Aust
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 219249
Url: https://administrator.de/forum/sicherheitshinweis-autodiscover-219249.html
Ausgedruckt am: 24.12.2024 um 01:12 Uhr
18 Kommentare
Neuester Kommentar
Hallo,
bei dem Sicherheitshinweis steht eigentlich auch der Grund warum der Sicherheitshinweis kommt.
Also was sagt denn der Sicherheitshinweis genau?
Wobei, was mich an der ganzen Einleitung wundert. Wenn du nicht grad den kpl. SBS gehostet hast bzw. irgendeine Reverse Proxy Geschichte am laufen hast Spielt das Zertifikat beim Hoster eigentlich keinerlei Rolle. Bzw. das Zertifikat macht da für den SBS eigentlich überhaupt keinen Sinn.
Wichtig ist das Zertifikat im IIS auf dem SBS
bei dem Sicherheitshinweis steht eigentlich auch der Grund warum der Sicherheitshinweis kommt.
Also was sagt denn der Sicherheitshinweis genau?
Wobei, was mich an der ganzen Einleitung wundert. Wenn du nicht grad den kpl. SBS gehostet hast bzw. irgendeine Reverse Proxy Geschichte am laufen hast Spielt das Zertifikat beim Hoster eigentlich keinerlei Rolle. Bzw. das Zertifikat macht da für den SBS eigentlich überhaupt keinen Sinn.
Wichtig ist das Zertifikat im IIS auf dem SBS
Hallo,
ein neues Outlookprofil wird nicht helfen, vor allem kannst du Outlook 2007+ ohne Autodiscover nicht vollständig konfigurieren (bei Exchange 2007+).
Autodiscover besteht eigentlich aus zwei Dingen:
a) Autodisover selbst: einem Mechanismus zum Auffinden einer URL, unter der die Konfiguration heruntergeladen werden kann
b) Autoconfigure: Ansprechen dieser URL und abfragen der Konfig.
a) scheint bei dir als Hostnamen nur "autodiscover" zurückzugeben - was seltsam ist, wenn der Exchange nicht bei dir im Haus steht, über das Internet kannst du ihn ja nur mit FQDN ansprechen. Frage daher: Funktioniert Outlook vollständig (wenn du die Warnung akzeptierst)? Insbes: Frei & Gebucht, Regeln, OOF. Wie wird denn der Name "autodiscover" aufgelöst, wenn du auf einem Client ein nslookup machst?
Nachdem a) den Namen "autodiscover" zurückgegeben hat, versucht b) diesen Host anzusprechen. Dabei wird anscheinend sogar ein Host erreicht (was ich, wie gesagt, eher seltsam finde). Der Exchange weist dabei ein Zertifikat vor, auf dem der Name "autodiscover" nicht enthalten ist, weswegen die Fehlermeldung erscheint.
Zur Lösung des Problems müsstest du a) dazu bringen, einen FQDN zu ermitteln, der auch auf dem Zertifikat enthalten ist. Zum Ermitteln werden verschiedene Methoden ausprobiert. Bei Clients, die in der gleichen Domäne wie Exchange sind, ist das immer ein Service Connection Point (SCP). Welche URL dieser zurückliefert kannst du mit Set-ClientAccessServer -AutoDiscoverServiceInternalUri ... festlegen, auch set-AutodiscoverVirtualDirectory - InternalUrl .. -ExternalUrl.. sollten dann gesetzt werden. Zumindest bei einem "echten" Exchange, bei SBS ist das mit den Befehlen aus der Powershell ja immer so eine Sachen.
Wenn die Clients gar nicht in der Domäne sind, oder es eine andere Domäne ist als die, in der der Exchange steht, wird es etwas komplizierter.
Man kann das ganze testen: STRG-Taste gedrückt halten, dann mit der Rechten Maustaste auf das Outlook-Icon im Systray. Im Kontextmenü "E-Mail-Autokonfiguration testen" auswählen, "Guessmart verwenden" deaktivieren.
Zusammen mit dem Artikel http://www.msxfaq.de/howto/e2k7autodiscover.htm kommst du dem ganzen vielleicht auf die Spur...
Grüße
Filipp
ein neues Outlookprofil wird nicht helfen, vor allem kannst du Outlook 2007+ ohne Autodiscover nicht vollständig konfigurieren (bei Exchange 2007+).
Autodiscover besteht eigentlich aus zwei Dingen:
a) Autodisover selbst: einem Mechanismus zum Auffinden einer URL, unter der die Konfiguration heruntergeladen werden kann
b) Autoconfigure: Ansprechen dieser URL und abfragen der Konfig.
a) scheint bei dir als Hostnamen nur "autodiscover" zurückzugeben - was seltsam ist, wenn der Exchange nicht bei dir im Haus steht, über das Internet kannst du ihn ja nur mit FQDN ansprechen. Frage daher: Funktioniert Outlook vollständig (wenn du die Warnung akzeptierst)? Insbes: Frei & Gebucht, Regeln, OOF. Wie wird denn der Name "autodiscover" aufgelöst, wenn du auf einem Client ein nslookup machst?
Nachdem a) den Namen "autodiscover" zurückgegeben hat, versucht b) diesen Host anzusprechen. Dabei wird anscheinend sogar ein Host erreicht (was ich, wie gesagt, eher seltsam finde). Der Exchange weist dabei ein Zertifikat vor, auf dem der Name "autodiscover" nicht enthalten ist, weswegen die Fehlermeldung erscheint.
Zur Lösung des Problems müsstest du a) dazu bringen, einen FQDN zu ermitteln, der auch auf dem Zertifikat enthalten ist. Zum Ermitteln werden verschiedene Methoden ausprobiert. Bei Clients, die in der gleichen Domäne wie Exchange sind, ist das immer ein Service Connection Point (SCP). Welche URL dieser zurückliefert kannst du mit Set-ClientAccessServer -AutoDiscoverServiceInternalUri ... festlegen, auch set-AutodiscoverVirtualDirectory - InternalUrl .. -ExternalUrl.. sollten dann gesetzt werden. Zumindest bei einem "echten" Exchange, bei SBS ist das mit den Befehlen aus der Powershell ja immer so eine Sachen.
Wenn die Clients gar nicht in der Domäne sind, oder es eine andere Domäne ist als die, in der der Exchange steht, wird es etwas komplizierter.
Man kann das ganze testen: STRG-Taste gedrückt halten, dann mit der Rechten Maustaste auf das Outlook-Icon im Systray. Im Kontextmenü "E-Mail-Autokonfiguration testen" auswählen, "Guessmart verwenden" deaktivieren.
Zusammen mit dem Artikel http://www.msxfaq.de/howto/e2k7autodiscover.htm kommst du dem ganzen vielleicht auf die Spur...
Grüße
Filipp
Ja, dieser Eintrag muss vorhanden sein und noch mal ein externen Domainumzug kann meiner Meinung nach dafür eigentlich nicht verantwortlich sein.
Läuft eure Interne Domain eftl. mit dem selben Namen wie die externe?
Welchen Fehler das Zertifikat meldet hast du mir ja leider auch noch nicht beantwortet.
Du kannst dich gerne erst mal bei dieser Seite etwas zu diesem Thema einlesen.
http://www.msxfaq.de/
Solltest dich aber vielleicht an jemanden wenden der vor Ort deine konfig unter die Lupe nimmt.
Läuft eure Interne Domain eftl. mit dem selben Namen wie die externe?
Welchen Fehler das Zertifikat meldet hast du mir ja leider auch noch nicht beantwortet.
Du kannst dich gerne erst mal bei dieser Seite etwas zu diesem Thema einlesen.
http://www.msxfaq.de/
Solltest dich aber vielleicht an jemanden wenden der vor Ort deine konfig unter die Lupe nimmt.
Hallo,
Und die Fehlermeldung besagt auch nicht, dass ein Host nicht gefunden wurde, sondern dass ein Host gefunden wurde, nur leider ein "falsches" Zertifikat hatte.
Anpassen der Autodiscover-Einstellungen auf dem Server (und damit des SCPs im AD) oder ersetzen des Zertifikats durch das vorherige sollten helfen.
Grüße
Filipp
Ja, dieser Eintrag muss vorhanden sein und noch mal ein externen Domainumzug kann meiner Meinung nach dafür eigentlich nicht
verantwortlich sein.
Der DNS-Eintrag autodiscover.meinedomaene.de ist überflüssig wie ein Kropf, wenn die Clients in der Domäne sind.verantwortlich sein.
Und die Fehlermeldung besagt auch nicht, dass ein Host nicht gefunden wurde, sondern dass ein Host gefunden wurde, nur leider ein "falsches" Zertifikat hatte.
Anpassen der Autodiscover-Einstellungen auf dem Server (und damit des SCPs im AD) oder ersetzen des Zertifikats durch das vorherige sollten helfen.
Grüße
Filipp
Hallo,
Aber es wird definitiv kein DNS-Eintrag autodiscover.smtpdomaene.tld benötigt, so lange die Clients in der Domäne sind. Der Hostname autodiscover.... ist dann immer die schlechteste Option. Autodiscover nutzt verschiedene Mechanismen zum finden der Einstellungen, unter anderem Raten von URLs. Die URL https://autodiscover.../autodiscover/autdiscover.xml wird relativ früh benutzt. Wenn es dazu eine Host gibt, so muss dieser auf dem zugehörigen Zertifikat auch alle Hostnamen enthalten, also für jede SMTP-Domäne, die den Eintrag hat. Wir haben Kunden mit 30+ Domains, da macht das richtig Freude. Und wenn der Kunde sich dann entscheidet, eine 31ste Domain haben zu wollen, kannst du das SAN-Zertifikat in die Tonne kloppen und ein neues besorgen. Unschön.
Domänen gejointe Clients suchen zuerst immer einen Service Connection Point (SCP) im AD. Den legt Exchange in der eigenen Domäne (bzw. im Forest afaik bei allen Domains für die /preparedomain ausgeführt wurde) automatisch an. Und er kann auf jeden beliebigen Hostname zeigen (vor allem kann er für alle SMTP-Domains auf den gleichen zeigen!). Du brauchst also nur einen Hostname, dieser muss _nicht_ autodiscover im Namen haben, und du brauchst auf dem SSL-Zertifikat dem entsprechend auch nur einen Namen.
Weiteres auch unter http://www.msxfaq.de/e2007/autodiscover.htm
Gruß
Filipp
Überflüssig würd ich jetzt nicht sagen.
Ohne den kannst Probleme mit dem abwesenheitsassistenten und dem Adressbuch haben.
Ich wollte nicht sagen, dass Autodiscover an sich überflüssig ist. Outlook 2007+ nutzt an Exchange 2007+ für verschiedene Funktionen die Exchange Web Services und lässt sich auch nicht davon abbringen. Die zugehörigen URLs lassen sich nicht manuell konfigurieren, sondern nur über Autodiscover bzw. das zugehörige Autoconfigure. Und ohne wird Outlook nicht vollständig funktionieren.Ohne den kannst Probleme mit dem abwesenheitsassistenten und dem Adressbuch haben.
Aber es wird definitiv kein DNS-Eintrag autodiscover.smtpdomaene.tld benötigt, so lange die Clients in der Domäne sind. Der Hostname autodiscover.... ist dann immer die schlechteste Option. Autodiscover nutzt verschiedene Mechanismen zum finden der Einstellungen, unter anderem Raten von URLs. Die URL https://autodiscover.../autodiscover/autdiscover.xml wird relativ früh benutzt. Wenn es dazu eine Host gibt, so muss dieser auf dem zugehörigen Zertifikat auch alle Hostnamen enthalten, also für jede SMTP-Domäne, die den Eintrag hat. Wir haben Kunden mit 30+ Domains, da macht das richtig Freude. Und wenn der Kunde sich dann entscheidet, eine 31ste Domain haben zu wollen, kannst du das SAN-Zertifikat in die Tonne kloppen und ein neues besorgen. Unschön.
Domänen gejointe Clients suchen zuerst immer einen Service Connection Point (SCP) im AD. Den legt Exchange in der eigenen Domäne (bzw. im Forest afaik bei allen Domains für die /preparedomain ausgeführt wurde) automatisch an. Und er kann auf jeden beliebigen Hostname zeigen (vor allem kann er für alle SMTP-Domains auf den gleichen zeigen!). Du brauchst also nur einen Hostname, dieser muss _nicht_ autodiscover im Namen haben, und du brauchst auf dem SSL-Zertifikat dem entsprechend auch nur einen Namen.
Weiteres auch unter http://www.msxfaq.de/e2007/autodiscover.htm
Gruß
Filipp
Hi Alex,
vielen Dank für den Hinweis bzw. Lösung!
Habe letzte Woche bei einem neuen Kunden den SBS2011 installiert. Auch hier habe ich den Zertifikatsfehler gehabt. Das Problem ist nicht das im SBS installierte Zertifikat sondern das Zertifikat beim Hoster, welches entsprechend angesprochen wird, wenn kein DNS eintrag auf dem eigenen Server intern vorliegt.
Einfach in den Nameserver Einstellungen beim Hoster das "*" wegmachen und schon geht der Autodiscover dienst seinen richtigen weg und findet keinen entsprechenden fehlerhaften DNS eintrag.
Viele Grüße
Ertan
vielen Dank für den Hinweis bzw. Lösung!
Habe letzte Woche bei einem neuen Kunden den SBS2011 installiert. Auch hier habe ich den Zertifikatsfehler gehabt. Das Problem ist nicht das im SBS installierte Zertifikat sondern das Zertifikat beim Hoster, welches entsprechend angesprochen wird, wenn kein DNS eintrag auf dem eigenen Server intern vorliegt.
Einfach in den Nameserver Einstellungen beim Hoster das "*" wegmachen und schon geht der Autodiscover dienst seinen richtigen weg und findet keinen entsprechenden fehlerhaften DNS eintrag.
Viele Grüße
Ertan