exchange 2007 autodiscover

1. offizieller Beitrag

    Guten Tag,


    dies ist mein erster Post in diesem Forum, aber ich hoffe, dass mir jemand weiterhelfen kann. Ich habe dazu schon eine ganze Menge nachgeforscht und nachgelesen, auch auf diesem Board, aber ich muss zugeben, so richtig komme ich nicht mehr weiter.


    Es geht um den guten Autodiscovery-Dienst von Exchange 2007 (SBS 2008). Ich kriege immer mal wieder Sicherheitshinweise beim Start von Outlook 2007. Grund dafür ist das Zertifikat.


    Wir haben bei uns eine Domäne (xyz.local). Die Internetaddresse, die beim Einrichten des Internets im SBS eingestellt wurde lautet remote.xyz.com . Gleichzeitig haben wir bei einem Provider den DNS-Namen xyz.com als Internetdomain für unsere HP und externen Mailempfang registriert. Mails werden per POP3-Connector vom Mailserver des Providers abgeholt und auf die Postfächer im Exchange verteilt. Funktioniert alles soweit einwandfrei.


    Ich habe vor kurzem eine Migration von SBS 2003 auf SBS 2008 durchgeführt und danach kam es zu den o.g. Sicherheitshinweisen. Ich habe für die Nutzung von OWA ein neues SAN-Zertifikat erstellt, und das auch über die Exchange Shell eingebunden, und auch das funktioniert vernünftig...mehr oder weniger. In diesem Zertifikat steht der DNS-Name remote.xyz.com sowie der DynDNS-Name den wir für OWA benutzen drin.


    Das Problem ist wie gesagt der o.g. auftauchende Sicherheitshinweis. In dem "falschen" Zertifikat, dass er beim Sicherheitshinweis anzeigt, steht als DNS Name der Name unseres Internetproviders drin (remote.xyz.com ist ja quasi die subdomain von xyz.com ,liegts evtl daran?). Der Hinweis kommt aber wie gesagt nicht immer, sondern so 1-2 mal täglich. Wenn ich auf dem Exchange Server den IIS Autodiscovery-APP-Pool (oder wie das nochmal heißt) neustarte, verschwindet der Sicherheitshinweis sofort und das hält dann wieder eine Weile.
    Wenn ich dann z.B. in der Exchange-Shell per Get-clientaccessserver |fl den autodiscoverpfad angucke, sieht der genauso aus wie immer (remote.xyz.com) und da scheint sich auch nix zu ändern.


    Meine Frage: Wie bekomme ich das hin, dass es für immer hält, dass ich keine Fehlermeldungen oder Sicherheitshinwesie mehr bekomme bzw. woran liegt es, dass er da scheinbar selbstständig Sachen hin und her wechselt?



    Falls ich noch etwas vergessen habe, gebt mir bitte einen Hinweis. Ansonsten schonmal vielen Dank für eure Unterstützung!!


    MfG

    • Offizieller Beitrag

    Hallo,


    willkommen im Forum!


    Da du selbstsignierte Zertifikate verwendest, solltest du eine eigene CA installieren und in das Cert den lokalen Domänen-Namen sowie den FQDN und Netbio-Namen des Server einfügen.


    Dann kannst du das Cert über die Richtlinen ausrollen, oder manuell an den Clients installieren.


    Siehe How-To von Robert zu dem 2010er Cert:
    http://www.nobbysweb.de/community/newbb/howto/124.pdf


    Da kannst du ungefähr sehen, wie die Cert-Anforderung aussehen kann.


    Das gleiche wäre übrigens bei einem gekauften Cert erforderlich.


    ;)

    hallo und danke für die antwort.


    das ist alles soweit klar, was mir nicht klar ist, wieso er ab und zu das zertifikat vom provider der externen domain nimmt und warum das ganze nach dem neustart des autodiscoverpools im IIS wieder eine gewisse zeit normal funktioniert (weil er dann das san-zertifikat benutzt).

    • Offizieller Beitrag

    Hallo,


    eventuell hast du ein Problem mit deinem DNS.


    In den LAN-Einstellungen des Servers gehört nur er selber rein, mit der richtigen IP und nicht 127.0.0.1


    Im DNS wird eine weiterleitung auf das I-Net eingerichtet, z.B. den Router.


    Bei den Clients kommt nur der DNS des Servers rein.


    ;)

    Zitat


    NobbyausHB schrieb:


    Im DNS wird eine weiterleitung auf das I-Net eingerichtet, z.B. den Router.


    könntest du das mal ein wenig ausführen? also sowohl das WIE als auch das WARUM?


    die benutzer arbeiten größtenteils aufm terminalserver, dort ist der sbs als primärer und einziger dns-server eingetragen.
    auf dem sbs selbst ist die ip des sbs als primärer und einziger dns-server eingetragen.


    internet, e-mailversand und emfpang usw. funktioniert übrigens, vom o.g. problem abgesehen, einwandfrei.

    • Offizieller Beitrag

    Hallo,


    war ja auch nur eine Idee.


    Wenn es so ist, wie du schreibst, alles OK.


    Dann müsstest du im DNS vom SBS einen Forward auf den Router finden.


    Warum - ganz einfach.
    Sagen wir mal der DNS in den Einstellungen der Clients wäre primär 192.168.10.10 (der Server), aber als weiterer DNS ein externer oder der Router (in meinem Beispiel die 192.168.10.1)
    Jetzt will der Client eswat aus dem Internet - der interne DNS kann das nicht auflösen, also schwenkt der DNS auf den nächsten Eintrag in der Liste, Intenet geht. Allerdings schwenkt der DNS NICHT zurück, somit kennt der Client die lokale Domäne nicht mehr.


    Ich hoffe, ich konnte das verständlich erklären.


    So etwas sehe ich dauernd.


    ;)

    hallo,


    wollte nur nochmal kurz bescheid geben, dass das problem jetzt scheinbar gelöst ist (zumindest bekomme ich keine fehlermeldung mehr). es war tatsächlich am outlook client in den tcp/ip einstellungen des netzwerkadapters noch ein anderer dns server als der SBS eingetragen. hinter der ip des zweiten dns-servers hat sich zwar garkein dns-server verborgen, aber scheinbar hat das irgendwie für konfusion gesorgt. habe den zweiten eintrag einfach entfernt und bisher scheint alles hinzuhauen.


    danke auf jeden fall für die hilfe.



    mfg gosant