Es gib zwei offizielle Wege:
1. Eigene Root-CA und dieses Root-Cert auf die Clients, egal ob inHouse, Mobil, extern ausrollen.
In diesem Fall wurde das Zertifikat von einem internen Root-CA ausgestellt.
Bei den DClients und Workstations der Arbeitsgruppe (externe) ist das Root-Cert bereits installiert und wenn man so will "alles bestens".
Autodiscover läuft von intern und extern. Prima!
Lediglich die Mobils habe ich aktuell nicht im Griff. Zertifikat auf die SD geschoben und installiert - dennoch keine Lust die Biester...
Status Q - ich kann in der Produktionsumgebung nicht weiter "spielen" - das hole ich später in einer TestVM für mich nach.
Deshalb habe ich deinem Rat befolgt und vorab mit PWS telefoniert, da ich mir unsicher war, welches Zertifikat das "Richtige" ist.
Empfohlen wurde mir GlobalSign UCC für 149,-Euronen im Jahr.
https://www.psw-group.de/ssl-zertifikate/uc-ssl-zertifikate/
Passt das oder über das Ziel geschossen?
Dann ist da noch der Exchange Zertifikatsassistent und die Abfrage der Definitionen der Zugriffe für
Outlook Web App etc. intern und extern.
Nächste Hürde der Unwissenheit - Der MA am Telefon sagte mir, das die .local nicht mehr unterstütz werden.
Öhm - Was definiere denn an dieser Stelle intern?
Ich benötige demnach die 2 Einträge wie im 2ten Post beschrieben - autodscover.domain.de und die email.daomain.de - korrekt?
Deshalb der Split DNS autodiscover, der auf die intere IP zeigt? Fragen über Fragen...
Grüße
Jna