Autodiscover treibt mich in den Wahnsinn

  • Autodiscover treibt mich in den Wahnsinn

    Wir haben bei einem Kunden eine Umstellung von Tobit auf Exchange und ich verzweifle etwas mit dem Autoconfig / Autodiscover

    Wir haben diverse Outlook Clients außerhalb der Domäne und wenn möglich sollte natürlich ein Nutzer nur mit seiner
    E-Mail Adresse und seinem Passwort ein Outlook per Outlook Anywhere einbinden können.

    Wir haben alle Einstellungen richtig gesetzt, der manuelle Weg mit dem Eingabe der Werte für Domäne / Nutzername / Mail Server funktioniert auch.
    Der MS Remote Connectivity Analyzer gibt auch bei der Prüfung Active Sync kein Fehler aus und läuft erfolgreich durch.

    Trotzdem wird bei einem automatischen Versuch immer die Einrichtung abgelehnt weil eine Zertifikats-Fehler-Meldung auftaucht dass die Domäne nicht korrekt ist.

    Folgendes wurde eingerichtet :

    Mailserver mit mail.kundenname.de ( Zertifikat auf diesen Namen wurde erstellt und eingebunden / OWA auf diesen Namen geht einwandfrei )

    -Einrichtung einer Subdomain mit autodiscover.kundenname.de und Einrichtung eines CNAME Eintrages der auf mail.kundenname.de verweist
    -Einrichtung eines SRV Autodiscover Eintrages auf der Domäne kundenname.de

    Wenn man in einem Outlook ein Konto einbinden will dann wird nach Eingabe von Mail Adresse und Passwort eine Fehlermeldung gezeigt dass
    das Zertifikat von autodiscover.kundename.de ungültig ist. Als fehlerhaftes Zertifikat sieht man dort das Zertifikat das für die Domäne ausgestellt wurde (das www Zertifkat)

    Das Outlook scheint die CNAME Umleitung von autodiscover.kundenname.de auf mail.kundenname.de mit dem richtigen Zertifikat nicht zu beachten bzw. auch den
    SRV Record für kundenname.de nicht zu nutzen.

    Ich weiß dass die SRV Abfrage erst an Pos. 5 der Ermittlung läuft aber wie es aussieht biegt :) das Outlook oder ein Iphone einfach vorher ab wenn die
    Auflösung auf autodiscover.kundenname.de irgendeinen Wert zurück gibt.

    Kann man das irgendwo nachverfolgen bzw. wo müsste ich jetzt etwas finden um das Problem zu beheben ??

    Die SCP und Service URI usw. sind alle auf mail.kundenname.de ( Public Eintrag) gesetzt.


    Christian
  • nein .. das Zertifikat ist nur auf den Hostnamen mail.kundenserver.de gesetzt.. aber für diese etwas einfachere Sache hatte ich ja den
    CNAME von Autodiscover.kundendomäne.de auf mail.kundenserver.de gesetzt.
    Das bringt auch sauber bei nslookup auf autodiscover.kundendomain.de die Rückmeldung mailkundenserver.de


    Wir haben mittlerweile noch eine andere Vermutung die wir aber mangels technischem Wissen nicht prüfen können :(

    Die 2 Test Iphones connecten sich komischerweise über die Microsoft Outlook APP einwandfrei nur über die integierte Apple APP geht es nicht.

    Komischerweise hat der Provider IPV6 Enträge vollautomatisch auf die Subdomäne gesetzt die wir für den Mailserver und als MX Record gesetzt haben.
    Die können wir dort nicht löschen.

    Wenn nun die Apple Geräte den Eintrag des mail.kundenserver.de über V6 abfragen wird per DNS ein V6 Eintra zurücj geliefert der auf 1und1 zeigt und
    nicht auf unseren Mail Server. Das könnte auch die Erklärung sein warum OWA / Outlook Annywhere und die Microsoft Online Tests alle völlig ohne Fehler laufen.

    Christian immer noch verzweifelt
  • durch Einwurf kleiner Münzen ranholen

    Dann hätte der Gott des Internets doch keine Foren erfunden, bei denen man ohne das Wissen einen Weisen mit dem Wissen fragt und sich so
    das Wissen aneignet ...
    Irgendwann sterben die Weisen alle aus und was nutzt es dann wenn die Ihr Wissen nicht weiter gegeben haben. Und in den meisten
    Fällen sind diese Weisen auch immer bereit Ihr Wissen zu teilen und den Unwissenden zu helfen. (Natürlich nie ohne einen kleinen Seitenhieb
    um den Unwissenden seine Ohnmacht zu verdeutlichen) :/

    Du würdest also immer das Autodiscover direkt auf den Server als Subdomain verweisen lassen und in dem Zertifikat beide Namen aufnehmen.
    Ich dachte ich bekomme das "elegant" mit einem CNAME geregelt, danke für die Aufklärung.
    Der Provider hat einen Redirect von domäne.de auf "domäne.de" gesetzt und da dort auch https läuft wird das CNAME auf
    autodiscover.Domäne.de fehlschlagen soweit ich dich verstanden habe.
    Wenn ich jetzt auf dem Webspace einen Subfolder /autodiscover anlege und die XML dorthin kopiere ... wird wieder eine Zertifikats Warnung kommen ...
    denke ich mal.

    Würdest du noch einen Weg sehen das Problem zu lösen , ohne das Zertifikat neu auszustellen ?
    der Kunde hat dort für den Mailserver gleich ein 3 Jahre Thawte gekauft ...wäre schade wenn die Kosten umsonst wären.





  • Moin,

    eine Ergänzung:

    eblok2001 schrieb:

    Die 2 Test Iphones connecten sich komischerweise über die Microsoft Outlook APP einwandfrei nur über die integierte Apple APP geht es nicht.
    Das liegt daran, dass Apple Mail direkt mit Deinen Exchange Servern spricht, die Outlook App dagegen mit Microsofts Cloud und diese dann auf Deinen Exchange zugreift. Hierbei werden IMHO Zertifikatsfehler ignoriert.

    Ansonsten hat Dir Norbert schon alles gesagt:
    - Entwededer ist autodiscver.domain.tld mit im Zertifikat
    - Oder auf die IP von autodiscver.domain.tld antwortet kein Port 443 nur Port 9ß (so macht es Microsoft in Office 365)
    - Oder Du nutzt SRV Einträge uns verzichtest eventuell auf Smartphones
    Grüße aus Berlin schickt Robert
    MVP Exchange Server