bergente
Goto Top

Sicherheitshinweis autodiscover

Hallo Support Forum,

wir haben vor einiger Zeit eine Domain von Strato nach Alfahosting umgezogen.
Bei Strato war ein SSL Zertifikat eingbunden.

Bei Alfahosting wurde dann ebendfalls ein neues SSL Zertifikat installiert.
Die Mails werden über den POP3 Connector vom SBS 2008 Server abgeholt und an die Postfächer verteilt.

Seit dem Umzug erscheint beim starten von Outlook ein Sicherheitshinweis.
autodiscover
Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Weebsite überein.

Hat jemand eine Idee was zu tun ist? Muss ein neues Outlook Profil erstellt werden? Eventuell so, dass ich die Daten nicht über die aoutodiscover Funktion ermitteln lassen. Sind weitere DNS Einstellungen beim Provider notwendig oder muss was am Exchange umkonfiguriert werden?

Vielen Dank!
Alexander Aust

Content-ID: 219249

Url: https://administrator.de/forum/sicherheitshinweis-autodiscover-219249.html

Ausgedruckt am: 24.12.2024 um 01:12 Uhr

wiesi200
wiesi200 13.10.2013 um 16:15:31 Uhr
Goto Top
Hallo,

bei dem Sicherheitshinweis steht eigentlich auch der Grund warum der Sicherheitshinweis kommt.
Also was sagt denn der Sicherheitshinweis genau?

Wobei, was mich an der ganzen Einleitung wundert. Wenn du nicht grad den kpl. SBS gehostet hast bzw. irgendeine Reverse Proxy Geschichte am laufen hast Spielt das Zertifikat beim Hoster eigentlich keinerlei Rolle. Bzw. das Zertifikat macht da für den SBS eigentlich überhaupt keinen Sinn.

Wichtig ist das Zertifikat im IIS auf dem SBS
filippg
filippg 13.10.2013 um 16:30:10 Uhr
Goto Top
Hallo,

ein neues Outlookprofil wird nicht helfen, vor allem kannst du Outlook 2007+ ohne Autodiscover nicht vollständig konfigurieren (bei Exchange 2007+).

Autodiscover besteht eigentlich aus zwei Dingen:
a) Autodisover selbst: einem Mechanismus zum Auffinden einer URL, unter der die Konfiguration heruntergeladen werden kann
b) Autoconfigure: Ansprechen dieser URL und abfragen der Konfig.

a) scheint bei dir als Hostnamen nur "autodiscover" zurückzugeben - was seltsam ist, wenn der Exchange nicht bei dir im Haus steht, über das Internet kannst du ihn ja nur mit FQDN ansprechen. Frage daher: Funktioniert Outlook vollständig (wenn du die Warnung akzeptierst)? Insbes: Frei & Gebucht, Regeln, OOF. Wie wird denn der Name "autodiscover" aufgelöst, wenn du auf einem Client ein nslookup machst?
Nachdem a) den Namen "autodiscover" zurückgegeben hat, versucht b) diesen Host anzusprechen. Dabei wird anscheinend sogar ein Host erreicht (was ich, wie gesagt, eher seltsam finde). Der Exchange weist dabei ein Zertifikat vor, auf dem der Name "autodiscover" nicht enthalten ist, weswegen die Fehlermeldung erscheint.

Zur Lösung des Problems müsstest du a) dazu bringen, einen FQDN zu ermitteln, der auch auf dem Zertifikat enthalten ist. Zum Ermitteln werden verschiedene Methoden ausprobiert. Bei Clients, die in der gleichen Domäne wie Exchange sind, ist das immer ein Service Connection Point (SCP). Welche URL dieser zurückliefert kannst du mit Set-ClientAccessServer -AutoDiscoverServiceInternalUri ... festlegen, auch set-AutodiscoverVirtualDirectory - InternalUrl .. -ExternalUrl.. sollten dann gesetzt werden. Zumindest bei einem "echten" Exchange, bei SBS ist das mit den Befehlen aus der Powershell ja immer so eine Sachen.
Wenn die Clients gar nicht in der Domäne sind, oder es eine andere Domäne ist als die, in der der Exchange steht, wird es etwas komplizierter.
Man kann das ganze testen: STRG-Taste gedrückt halten, dann mit der Rechten Maustaste auf das Outlook-Icon im Systray. Im Kontextmenü "E-Mail-Autokonfiguration testen" auswählen, "Guessmart verwenden" deaktivieren.
Zusammen mit dem Artikel http://www.msxfaq.de/howto/e2k7autodiscover.htm kommst du dem ganzen vielleicht auf die Spur...

Grüße

Filipp
BergEnte
BergEnte 14.10.2013 aktualisiert um 18:53:01 Uhr
Goto Top
Hallo Filipp,

vielen dank für deine asführliche Antwort. Der SBS steht im Firmennetzwerk. Bin noch am suchen...
BergEnte
BergEnte 14.10.2013 um 18:43:23 Uhr
Goto Top
Hallo Wiesi,

ich hatte ja geschrieben, dass ein externer Domainumzug vorgenommen wurde. Muss nach so einem Domainumzug etwas umgestellt werde ausser der POP und SMTP Connector?

Danke!
Alex
BergEnte
BergEnte 14.10.2013 um 18:52:40 Uhr
Goto Top
unser sbs 2008 server steht im Firemnnetzwerk
BergEnte
BergEnte 14.10.2013 um 19:06:43 Uhr
Goto Top
Also so wie es aussieht muss ich wohl eine dns eintrag für den autodiscover eintrag erstellen?
http://support.microsoft.com/kb/2772058/de

Ich versteh einfach nicht warum duch einen extenren Domainumzug eine solche Fehlermeldung kommt.

Hat jemand hier richtig Ahnung von diesem Thema? Oder muss ich vielleicht ein altes Zertifikat im IIS löschen?

Danke!
Alex
filippg
filippg 14.10.2013 um 20:11:58 Uhr
Goto Top
Hallo,

wenn der SBS im Firmennetzwerk steht, was soll dann
Bei Alfahosting wurde dann ebendfalls ein neues SSL Zertifikat installiert.
bedeuten?

Gruß

Filipp
wiesi200
wiesi200 14.10.2013 um 20:15:19 Uhr
Goto Top
Ja, dieser Eintrag muss vorhanden sein und noch mal ein externen Domainumzug kann meiner Meinung nach dafür eigentlich nicht verantwortlich sein.

Läuft eure Interne Domain eftl. mit dem selben Namen wie die externe?
Welchen Fehler das Zertifikat meldet hast du mir ja leider auch noch nicht beantwortet.

Du kannst dich gerne erst mal bei dieser Seite etwas zu diesem Thema einlesen.
http://www.msxfaq.de/

Solltest dich aber vielleicht an jemanden wenden der vor Ort deine konfig unter die Lupe nimmt.
BergEnte
BergEnte 14.10.2013 um 20:21:08 Uhr
Goto Top
die externe Domain hat ein SSL Zertifikat. Das ist eine ganz normales Webhostingpaket wobei die Logins dort mit https geschützt sind.
Die interen Domain läuft unter xxx.local.
filippg
filippg 14.10.2013 aktualisiert um 20:23:00 Uhr
Goto Top
Hallo,

Ja, dieser Eintrag muss vorhanden sein und noch mal ein externen Domainumzug kann meiner Meinung nach dafür eigentlich nicht
verantwortlich sein.
Der DNS-Eintrag autodiscover.meinedomaene.de ist überflüssig wie ein Kropf, wenn die Clients in der Domäne sind.
Und die Fehlermeldung besagt auch nicht, dass ein Host nicht gefunden wurde, sondern dass ein Host gefunden wurde, nur leider ein "falsches" Zertifikat hatte.

Anpassen der Autodiscover-Einstellungen auf dem Server (und damit des SCPs im AD) oder ersetzen des Zertifikats durch das vorherige sollten helfen.

Grüße

Filipp
BergEnte
BergEnte 14.10.2013 um 20:25:30 Uhr
Goto Top
Danke!

sind das die Zertifikate die im IIS gespeichert sind?
wiesi200
wiesi200 14.10.2013 um 20:39:11 Uhr
Goto Top
Überflüssig würd ich jetzt nicht sagen.

Ohne den kannst Probleme mit dem abwesenheitsassistenten und dem Adressbuch haben.
filippg
filippg 15.10.2013 um 01:00:21 Uhr
Goto Top
Hallo,

Überflüssig würd ich jetzt nicht sagen.
Ohne den kannst Probleme mit dem abwesenheitsassistenten und dem Adressbuch haben.
Ich wollte nicht sagen, dass Autodiscover an sich überflüssig ist. Outlook 2007+ nutzt an Exchange 2007+ für verschiedene Funktionen die Exchange Web Services und lässt sich auch nicht davon abbringen. Die zugehörigen URLs lassen sich nicht manuell konfigurieren, sondern nur über Autodiscover bzw. das zugehörige Autoconfigure. Und ohne wird Outlook nicht vollständig funktionieren.
Aber es wird definitiv kein DNS-Eintrag autodiscover.smtpdomaene.tld benötigt, so lange die Clients in der Domäne sind. Der Hostname autodiscover.... ist dann immer die schlechteste Option. Autodiscover nutzt verschiedene Mechanismen zum finden der Einstellungen, unter anderem Raten von URLs. Die URL https://autodiscover.../autodiscover/autdiscover.xml wird relativ früh benutzt. Wenn es dazu eine Host gibt, so muss dieser auf dem zugehörigen Zertifikat auch alle Hostnamen enthalten, also für jede SMTP-Domäne, die den Eintrag hat. Wir haben Kunden mit 30+ Domains, da macht das richtig Freude. Und wenn der Kunde sich dann entscheidet, eine 31ste Domain haben zu wollen, kannst du das SAN-Zertifikat in die Tonne kloppen und ein neues besorgen. Unschön.
Domänen gejointe Clients suchen zuerst immer einen Service Connection Point (SCP) im AD. Den legt Exchange in der eigenen Domäne (bzw. im Forest afaik bei allen Domains für die /preparedomain ausgeführt wurde) automatisch an. Und er kann auf jeden beliebigen Hostname zeigen (vor allem kann er für alle SMTP-Domains auf den gleichen zeigen!). Du brauchst also nur einen Hostname, dieser muss _nicht_ autodiscover im Namen haben, und du brauchst auf dem SSL-Zertifikat dem entsprechend auch nur einen Namen.
Weiteres auch unter http://www.msxfaq.de/e2007/autodiscover.htm

Gruß

Filipp
BergEnte
BergEnte 15.10.2013 aktualisiert um 08:22:48 Uhr
Goto Top
Zur Info. Ich habe gestern den Assistenten Behebung von Probleme durchlaufen lassen.
Dieser hat anscheinend den autodiscover Wert wieder richtig gestzete. Die Fehlermedlung erscheint nun nicht mehr.

Danke für Euren Input. Werde mir das ganze noch genauer ansehen.

Gruß
Alex
BergEnte
BergEnte 16.10.2013 um 07:58:47 Uhr
Goto Top
Mist, bekam heute die Meldung von einem User, dass die Fehlermedung wieder erescheint.
Wie gehe ich jetzt vor?

Danke!
BergEnte
BergEnte 16.10.2013 um 08:06:52 Uhr
Goto Top
jetzt kommt auch noch die gleiche meldung mit remote.xxx.de
BergEnte
BergEnte 02.02.2014 um 12:20:40 Uhr
Goto Top
Wir konnten das Problem lösen in dem wir im Alfa DNS den Eintrag *.Domain.tld entfernt haben
edo-munich
edo-munich 08.05.2014 um 00:49:25 Uhr
Goto Top
Hi Alex,

vielen Dank für den Hinweis bzw. Lösung!
Habe letzte Woche bei einem neuen Kunden den SBS2011 installiert. Auch hier habe ich den Zertifikatsfehler gehabt. Das Problem ist nicht das im SBS installierte Zertifikat sondern das Zertifikat beim Hoster, welches entsprechend angesprochen wird, wenn kein DNS eintrag auf dem eigenen Server intern vorliegt.
Einfach in den Nameserver Einstellungen beim Hoster das "*" wegmachen und schon geht der Autodiscover dienst seinen richtigen weg und findet keinen entsprechenden fehlerhaften DNS eintrag.

Viele Grüße
Ertan