Moin!
Danke für eure Hilfe - es funktioniert 
Was beim 13erEX (Immer noch) nicht funktioniert, ist der Test über die EMS:
Get-ClientAccessServer | Test-OutlookWebServices -Identity info@domain.de -MailboxCredential (Get-Credential)
Quittiert der 13erEX mit "failure" - Autodiscover funktioniert intern und extern problemlos.
Der 16erEX macht überhaupt keine Zicken - läuft!
Grassnass nochmal an alle Beteiligten!
LG!
Jan
heisst die o.g."<nicht spezifizierten>" mit email.doamin.de ergänzen der rest ist so i.o?
sorry das ich so akribisch nachfrage - das darf nicht schief gehen... 
Das wird über den Exchange beantragt
Bitte noch eine letzte Frage zum Verständnis...
Der Exchange Zertifikats Assistent möchte definiert wissen:
Outlook Web App (Internet) <not specified>
Outlook Web App (Intranet) email.domain.de
OAB (Internet) <not specified>
OAB (Intranet) email.domain.de
Exchange Web Services (Internet) <not specified>
Exchange Web Services (Intranet) email.domain.de
Exchange ActiveSync <not specified>
Exchange ActiveSync email.domain.de
Autodiscover (Internet) autodiscover.domian.de
Autodiscover (Intranet) autodiscover.domian.de
POP email.domain.de
IMAP email.domain.de
Outlook Anywhere email.domain.de
passt?
Man müsste die hinweise natürlich verstehen und umsetzen;)
100% - ich gebe mir große Mühe und mit eurer Hilfe werde ich lernen und verstehen 
In meinem Fall sind die beiden "Aktoren" autodiscover.domain.local und email.doamin.de
Intern > Split DNS
Für autodiscover.domain.local wird eine neue leere primäre Zone im DNS eingerichtet mir dem Namen:
autodiscover.domain.de > autodiscover.domain.de zeigt per Host(A) auf die interne IP des Exchange.
"https://autodiscover.domain.local" wird intern "https://autodiscover.domain.de"
Eine weitere leere pZ mit dem Namen:
email.doamin.de > email.doamin.de zeigt per Host(A) auf die interne ip des Exchange.
Dementsprechend wird im Zertifikat
autodiscover.domain.de und email.doamin.de definiert und intern geregelt
korrekt?
Moin!
Frage zur tld .local - bsp - u.a. setzt Autodiscover per Definition in Outlook den Proxy "esrv01.domain.local"
Lt. PSW telefonat unterstützen die "neuen Zertifikate" kein .local mehr.
Taucht o.g. tld im Zertifikat von PSW nicht mehr auf, habe ich den nächsten Ärger am Hals?
Hoffentlich das Root Zertifikat und nicht das Serverzert vom Exchange.
Es gib zwei offizielle Wege:
1. Eigene Root-CA und dieses Root-Cert auf die Clients, egal ob inHouse, Mobil, extern ausrollen.
In diesem Fall wurde das Zertifikat von einem internen Root-CA ausgestellt.
Bei den DClients und Workstations der Arbeitsgruppe (externe) ist das Root-Cert bereits installiert und wenn man so will "alles bestens".
Autodiscover läuft von intern und extern. Prima!
Lediglich die Mobils habe ich aktuell nicht im Griff. Zertifikat auf die SD geschoben und installiert - dennoch keine Lust die Biester...
Status Q - ich kann in der Produktionsumgebung nicht weiter "spielen" - das hole ich später in einer TestVM für mich nach.
Deshalb habe ich deinem Rat befolgt und vorab mit PWS telefoniert, da ich mir unsicher war, welches Zertifikat das "Richtige" ist.
Empfohlen wurde mir GlobalSign UCC für 149,-Euronen im Jahr.
https://www.psw-group.de/ssl-zertifikate/uc-ssl-zertifikate/
Passt das oder über das Ziel geschossen?
Dann ist da noch der Exchange Zertifikatsassistent und die Abfrage der Definitionen der Zugriffe für
Outlook Web App etc. intern und extern.
Nächste Hürde der Unwissenheit - Der MA am Telefon sagte mir, das die .local nicht mehr unterstütz werden.
Öhm - Was definiere denn an dieser Stelle intern?
Ich benötige demnach die 2 Einträge wie im 2ten Post beschrieben - autodscover.domain.de und die email.daomain.de - korrekt?
Deshalb der Split DNS autodiscover, der auf die intere IP zeigt? Fragen über Fragen...
Grüße
Jna
Hi Norbert,
nun, die Antwort auf deine Frage - werden wir/ich heur wirklich dazu gezwungen, selbst für kleinere Netzwerke ein Zertifikat zu erwerben?
Mich stört der Zwang und die Absicht dahinter.
Und irgendwo bin ich auch neugierig und möchte "gerne wissen" wie.
Wenn es nicht funktioniert, muss ich halt in den sauren Apfel beißen - befriedigt mich halt weniger.
Gruß
Jan
Warum? Auch dann ist es meist ungünstig, weil kaum einer ein eigenes Root-Cert auf seine mobilen Geräte usw. popeln will/kann.
Moin! Hat soweit alles funktioniert - super und vielen dank für die Infos!
Aktuelles Problem - die mobilen Geräte - irgendwas ist immer...
Was ich "früher" noch mit "ja ich vertraue dem Zertifikat" abhandeln konnte, ist nicht mehr möglich.
Gibt es einen Weg bzw. Anleitung, das/die benötigten Zertifikate in die Smarthones und Tablets zu "popeln"?
Ich habe bereits versucht (Android) bei der Konf. der Exchange Accounts das Zertifikat vom meiner interen CA manuell hinzuzufügen.
Konto einrichten nicht möglich > Verbindung mit dem Server kann nicht geöffnet werden. Sicherheitsfehler aufgetreten.
Client-Zertifikat verwenden > kein Zertifikat gefunden > Installieren
Meldung > Zertifikat installiert! Aber nix passiert. an dieser Stelle komme ich aktuell leider nicht weiter.
Beim Android kommt lediglich eine periodische Meldung "Mögliche Netzwerküberwachung" die auf das eben inst. Zertifikat
in "Vertrauenswürdige Zertifikate" unter Benutzer "hinweist. Vermute mal das muss in System - nur wie?
Warum einfach wenn es auch schwer geht...
Bitte - nochmals - um Euren Rat.
Vielen Dank!
Guten Morgen!
Ich habe vor, "das Problem" heute Abend zu fixen aber bitte vorab noch Fragen zum Verständnis u.a. zum Split DNS...
"Dazu wir erst eine leere Primäre Zone im DNS eingerichtet mit dem Namen Autodiscover.domain.tld und der IP des Exchange-Servers
Jetzt eine weitere leere primäre Zone mit dem externen Namen, in deinem Fall mail.domain.tld"
1. Das "Autodiscover.domain.tld" ist Case-Sensibel? Oder ist das nur Zufall, dass das großgeschrieben ist?
2. mail.domain.tld - verweist man hier auf die interne oder externe IP oder ist das worschd?
3. Fliegt dann der oft Zitierte SRV Eintrag "_autodiscover._tcp 0 0 443 unter domain.local > _tcp im lokalen DNS raus?
Oder ist dieser Eintag dort generell fehl am Platz?
http://lh3.googleusercontent.c…image%25255B23%25255D.png
3.1 Die gleiche Frage zum Alias(CNAME) autodiscover unter domain.local
http://i2.wp.com/office365supp…52_UnabletoSet7.png?w=625
hinfort mit diesem?
Grüße!
