Autodiscovery per HTTP Redirect

  • Hallo Gemeinde...


    ich brauch mal einen Denkanstoß zum Thema Autodiscovery


    Ich versuche mich gerade daran es mit HTTP Redirect einzurichten, wenn ich es aber in Outlook teste bekomme ich einen Fehler (siehe Bild)
    Ich leite http://autodiscover.XXXXXXX.de nach https://XXXXXX.dyndns.org/autodiscover/autodiscover.xml


    nutze ich aber https://www.testexchangeconnectivity.com/
    den Outlook Autodiscovery test ist es OK


    Beim "RPC Over HTTP" Test bemängelt er halt mein selbstsigniertes Zertifikat.



  • Was ist jetzt genau Gegenstand der Frage?


    Ich nehme mal an, dass laut deinem Screenshot Outlook mit AutoDiscover nicht geht.


    Vorweg: Ein selbsterstelltes Zertifikat ist kein Problem.


    Du musst nur vorher nicht das Zertifikat selbst, sondern von deinem Server der das Zertifikat erstellt hat die Root CA auf dem Client als Vertrauenswürdige Zertifikat Stelle importieren. Danach vertraut dein Client dem für Exchange erstellen Zertifikat automatisch und dann sollte auch RPV over HTTP sowie Autodiscover klappen.

    viele Grüsse


    StevensDE

  • Danke


    hatte das Selbstsinierte Zertifikat, einfach als Stammzertifizierungstelle importiert. (Zielrechner)


    Im IE mit Webaccess ist es in Ordung


    Aber werde mal eine Root Ca aufsetzen und nochmal testen.


    Meld mich dann nochmal

  • Quote


    userderalte schrieb:
    hatte das Selbstsinierte Zertifikat, einfach als Stammzertifizierungstelle importiert. (Zielrechner)


    Ergänzend dazu: Das ist prinziell richtig, nur mit dem falschen Zertifikat.


    Du musst das Zertifikat vom Server also von der Root CA in deinem Unternehmen (z.B. Windows Cert Server) als Stammzertifizierungstelle importieren und vertrauen.


    Dann kannst du so viele Exchange Zertifikate erstellen wie du willst.. du vertraust denen dann allen automatisch bzw. deine Clients.

    viele Grüsse


    StevensDE

  • Die Root CA hat auch keine änderung gebracht :(


    leider immer noch der selbe Fehler.



    Wenn ich Outlook von Hand einrichte bekomme ich einmal eine Fehlermeldung weil er die Domain im Internet mit HTTPS abfragt, läuft aber dann. Denke das kommt weil er ja der reihenfolge durchprüft.

    • Official Post

    Da Du leider alle Domänennamen rausgenommen hast, können wir hier nur raten. Es scheint mir so, dass die Weiterleitung nicht klappt, da in der Autoconfig testen der Dyns nicht auftaucht.


    Wie genau hast Du die HTTP-Weiterleitung gemacht?


    Hast Du Zugriff auf den DNS? Dann wäre es deutlich einfacher und sicherer, einen CNAME-Eintrag zu machen, der auf Dyndns zeigt.

  • dann halt mit Domänen Namen, eh meine Testumgebung


    laut MSXFAQ soll es ab outlook 2007 SP1 eine Webweiterleitung funtionieren.
    Habe daher die Subdomain autodiscover.b-tiekoetter.de mit weiterleitung angelegt.


    Sprich http://autodiscover.b-tiekoett…discover/autodiscover.xml weitergeleitet an https://userderalte.dyndns.org/autodiscover/autodiscover.xml


    ruf ich die erste Adresse im Internet Explorer auf (b-tiekoetter) kommt ein Anmeldefenster (Domänen Anmeldung)
    und sehe dann die Dyndns Adresse mit folgenden Inhalt,Zertifkat an dieser Stelle OK


    XML
    <?xml version="1.0" encoding="utf-8" ?> 
    - <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006">
    - <Response>
    - <Error Time="16:05:31.0484556" Id="2779333292">
      <ErrorCode>600</ErrorCode> 
      <Message>Ungültige Anforderung</Message> 
      <DebugData /> 
      </Error>
      </Response>
      </Autodiscover>


    Zugriff auf den DNS hätte ich, hatte diese Möglichkeit gewählt,
    da ich so auf die Dyndns Adresse verweisen konnte.

    • Official Post

    Ok, das wird so nicht funktionieren. Die XML-Datei ist keine statische Datei, sondern wird jedes mal neu erzeugt. Hierzu werden die Anmeldeinformationen benötigt. Es handelt sich also nicht nur um Einmaldaten, sondern um wichtige Informationen.


    Legt für autodiscover.b-tiekoetter.de einen CNAME-Eintrag an, der auf userderalte.dyndns.org zeigt.


    Dann wirst Du in Outlook eine "Redirect"-Warnung bekommen, die man aber abstellen kann. Danach sollte alles funktionieren, auch das mit dem Zertfifikat.

  • Danke erstmal StevensDE und RobertW


    teste dann mal mit dem CNAME eintrag, meld mich dann noch mal wenn die DNS Aktualisierung durch ist

  • Also der CNAME Eintrag klappt auf jeden Fall.


    Address: 10.0.0.225


    Non-authoritative answer:
    Name: userderalte.dyndns.org
    Address: 79.237.136.122
    Aliases: autodiscover.b-tiekoetter.de


    Auf´s OWA komme ich auch drauf und sehe dein selbsterstelltes Zertifikat.


    Aus DNS Sicht klappt also alles bei dir.


    Einen Vorbehalt gibt´s aber:


    Das ganze ist nur auf CNAME Basis. Ich weiss nicht inwieweit Exchange RPC over HTTP über solche CNAME Geschichten unterstützt.


    Du hast ja 2 DNS Namen:


    userderalte.dyndns.org (DnyDNS Name worauf auch das Zertifikat lautet


    und
    autodiscover.b-tiekoetter.de (CNAME auf > userderalte.dyndns.org)


    Ich würde mal probieren alles über userderalte.dyndns.org zu machen, da dies ein Host A Record sein sollte (bei DynDNS)


    D.h. trag im Exchange als Zugriffs-URL die DynDNS Adresse ein also userderalte.dyndns.org wenn du Outlook Anyhwere auf dem Exchange Server aktivierst.


    Mit dieser Adresse https://userderalte.dyndns.org/owa kommst du ja auch auf´s OWA.


    Also solltest du damit auch Outlook Anywhere nutzen können. Weiterhin lautet dein Zertifikat auf die DynDNS Adresse. Daher wird das Zertifikat wohl auch nur mit Outlook funktionieren, wenn der Client über die DynDNS Adresse kommt und nicht wenn er über den CNAME kommt.

    viele Grüsse


    StevensDE