none
Outlook Servername external URL, Autodiscover RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    moin,

    weiß jemand zufällig woher sich Outlook den Exchange-Servernamen nimmt?

    wir haben den internen URL geändert. Autodiscover zeigt am Exchange den neuen internen

    IISReset durchgeführt

    Outlook Profil gelöscht

    Outlook neu gestartet (neues Profil) bei Servername steht der externen URL + langer Nummer

    ist das korrekt?

    Chris

    Freitag, 15. Juli 2016 10:49
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 15.07.2016 schrieb chris__2012:
    Hi,

    Outlook neu gestartet (neues Profil) bei Servername steht der externen URL + langer Nummer

    ist das korrekt?

    Funktioniert irgendwas nicht? ;) Und ja ab Exchange 2013 wäre eine lange Nummer mit deiner Emaildomain korrekt.

    Bye
    Norbert

    Dilbert's words of wisdom #10:
    I don't have an attitude problem. You have a perception problem.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    • Als Antwort markiert -- Chris -- Samstag, 16. Juli 2016 18:44
    Freitag, 15. Juli 2016 12:00
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    die Fragen haben wir Dir übrigens hier schon mal beantwortet:

    https://social.technet.microsoft.com/Forums/de-DE/481aac37-3316-4d2e-bae1-c6242b400bd0/outlook-konto-exchange-server-name?forum=exchange_serverde#481aac37-3316-4d2e-bae1-c6242b400bd0

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    • Als Antwort markiert -- Chris -- Samstag, 16. Juli 2016 18:44
    Samstag, 16. Juli 2016 10:01
    |
  • Question
    Anmelden
    0
    Anmelden
    > Zusätzlich haben wir übersehen, dass Outlook auch die Proxyeinstellungen des IE verwendet und so ging der Traffik über den Proxy, da der neue gemeinsame mailname noch nicht bei den Ausnahmen war.

    Es gibt keine Proxyeinstellungen im IE. Die Einstellungen heißen ja auch nicht "Internet Explorer Optionen", sondern "Internet Optionen". Das sind Windows Einstellungen für das gesamte Betriebssystem und von jeder korrekt erstellten Windows-Applikation genutzt werden (z.B. auch von Chrome).

    > Outlook nutzt AutoDiscover und hier steht bei uns der interne URL.

    Es gibt zwei Mechanismen für Autodiscover. Domänen-Clients nehmen den SCP -> hier würde eine interne URL ausreichen. Nicht-Domänen-Client "raten" die Autodiscover-URL anhand der Mail-Domäne. Hier muss dann eine URL rein, die auch extern erreichbar ist. Da das ganze relativ komplex ist, wird der Einsatz von Split DNS empfehlen, der erleichtert den Aufbau in Bezug auf Outlook und Exchange deutlich.

    > [Nachtrag:] beim internen Autodiscover URL. Komisch das dann Outlook den externen URL bei Servernamen einträgt. Aber egal, ist nicht so wichtig. Wie du so schön sagt, es funktioniert ja.

    Es funktioniert nicht einfach zufällig, sondern weil es das Design von Exchange seit 2013 ist. Denn wie bereits gesagt, verbindet sich Outlook über Outlook Anywhere und NICHT direkt über diese Einstellung. OA-Einstellungen müssen stimmen. Danach ist Outlook schon direkt auf einem Exchange-Server und der braucht nur noch die Mailbox-GUID.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    • Als Antwort markiert -- Chris -- Sonntag, 17. Juli 2016 08:49
    Sonntag, 17. Juli 2016 08:40
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 15.07.2016 schrieb chris__2012:
    Hi,

    Outlook neu gestartet (neues Profil) bei Servername steht der externen URL + langer Nummer

    ist das korrekt?

    Funktioniert irgendwas nicht? ;) Und ja ab Exchange 2013 wäre eine lange Nummer mit deiner Emaildomain korrekt.

    Bye
    Norbert

    Dilbert's words of wisdom #10:
    I don't have an attitude problem. You have a perception problem.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    • Als Antwort markiert -- Chris -- Samstag, 16. Juli 2016 18:44
    Freitag, 15. Juli 2016 12:00
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    die Fragen haben wir Dir übrigens hier schon mal beantwortet:

    https://social.technet.microsoft.com/Forums/de-DE/481aac37-3316-4d2e-bae1-c6242b400bd0/outlook-konto-exchange-server-name?forum=exchange_serverde#481aac37-3316-4d2e-bae1-c6242b400bd0

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    • Als Antwort markiert -- Chris -- Samstag, 16. Juli 2016 18:44
    Samstag, 16. Juli 2016 10:01
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Robert,

    danke nochmals für nochmaligen zusätzlichen Informationen.

    Leider war das Thema für mich noch nicht ganz geklärt, daher die weitere Rückfrage. Der Tipp mit dem Split DNS war gut, leider gab es bei uns diese Woche Problem mit den Exchanges (Outlook fragt im Cache Mode nach Passwort) das wir in der Not auch den internen URL wieder zurückgeändert haben. Zusätzlich haben wir übersehen, dass Outlook auch die Proxyeinstellungen des IE verwendet und so ging der Traffik über den Proxy, da der neue gemeinsame mailname noch nicht bei den Ausnahmen war.

    Diese Artikel bestätigt was leider nicht zutritt, daher mein neuer Tread.

    Outlook nutzt AutoDiscover und hier steht bei uns der interne URL. [Nachtrag:] beim internen Autodiscover URL. Komisch das dann Outlook den externen URL bei Servernamen einträgt. Aber egal, ist nicht so wichtig. Wie du so schön sagt, es funktioniert ja.

    http://www.mustbegeek.com/configure-external-and-internal-url-in-exchange-2016/

    Step 8: Auto Discover

    Auto Discover virtual directory lets Outlook application to discover mailbox settings automatically so that users don’t have to deal with manual configuration of advanced settings of Outlook. Auto Discover feature automatically discovers mailbox settings and setup Outlook. This feature also works for mobile phones. In Exchange 2016, you can configure SCP for AutoDiscover virtual directory from Exchange Management Shell (EMS). The command below will update SCP (Service Connection Point) object. SCP is active directory object and is used by internal domain-joined clients to retrieve autodiscover URL.

    [PS] C:\Windows\system32>Set-ClientAccessService -Identity MBG-EX01 -AutoDiscoverServiceInternalUri https://autodiscover.mustbegeek.com/Autodiscover/Autodiscover.xml

    To verify the URL type following command in Exchange Management Shell.

    [PS] C:\Windows\system32>Get-ClientAccessService | fl AutoDiscoverServiceInternalUri

AutoDiscoverServiceInternalUri : https://autodiscover.mustbegeek.com/Autodiscover/Autodiscover.xml

    Chris


    Samstag, 16. Juli 2016 18:44
    |
  • Question
    Anmelden
    0
    Anmelden
    > Zusätzlich haben wir übersehen, dass Outlook auch die Proxyeinstellungen des IE verwendet und so ging der Traffik über den Proxy, da der neue gemeinsame mailname noch nicht bei den Ausnahmen war.

    Es gibt keine Proxyeinstellungen im IE. Die Einstellungen heißen ja auch nicht "Internet Explorer Optionen", sondern "Internet Optionen". Das sind Windows Einstellungen für das gesamte Betriebssystem und von jeder korrekt erstellten Windows-Applikation genutzt werden (z.B. auch von Chrome).

    > Outlook nutzt AutoDiscover und hier steht bei uns der interne URL.

    Es gibt zwei Mechanismen für Autodiscover. Domänen-Clients nehmen den SCP -> hier würde eine interne URL ausreichen. Nicht-Domänen-Client "raten" die Autodiscover-URL anhand der Mail-Domäne. Hier muss dann eine URL rein, die auch extern erreichbar ist. Da das ganze relativ komplex ist, wird der Einsatz von Split DNS empfehlen, der erleichtert den Aufbau in Bezug auf Outlook und Exchange deutlich.

    > [Nachtrag:] beim internen Autodiscover URL. Komisch das dann Outlook den externen URL bei Servernamen einträgt. Aber egal, ist nicht so wichtig. Wie du so schön sagt, es funktioniert ja.

    Es funktioniert nicht einfach zufällig, sondern weil es das Design von Exchange seit 2013 ist. Denn wie bereits gesagt, verbindet sich Outlook über Outlook Anywhere und NICHT direkt über diese Einstellung. OA-Einstellungen müssen stimmen. Danach ist Outlook schon direkt auf einem Exchange-Server und der braucht nur noch die Mailbox-GUID.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    • Als Antwort markiert -- Chris -- Sonntag, 17. Juli 2016 08:49
    Sonntag, 17. Juli 2016 08:40
    |
  • Question
    Anmelden
    0
    Anmelden

    nochmals danke,

    habe jetzt wieder auf SPLIT-DNS umgestellt und alles richtig gestellt. Outlook Passwort Abfrage im Cached Mode scheint auch gelöst zu sein. (Windows Kennwort Tresor)

    Robert, meine Security Kollegen haben bedenken bzgl. externen autodiscover. Hast du da schon einmal etwas negatives gehört.

    Sie meinen durch Autodiscover wird es einem Angreifer leicht gemacht den Servername zu erhalten. (Lächerlich) und da bräuchte man nur mit Social hacking den User und Passwort erfragen meinen sie. Daher wurde bei uns jetzt AutoDiscover am incoming TMG Proxy u. abgedreht.

    Habe leider noch keine Argumente um die Security Gruppe umzustimmen.

    Vermutlich habe wir dann irgendwann sicher wieder einmal ein Probleme.

    Die paar Handy die bei uns im Einsatz sind bekommen Servername und Domäne schriftlich mitgeteilt.

    Chris

    Sonntag, 17. Juli 2016 08:48
    |
  • Question
    Anmelden
    0
    Anmelden
    Moin,

    na ja, die ganze Welt nutzt Autodiscover bei Exchange (inkl. Office 365) und man liest jeden Tag von dutzenden gehackten Firmen, oder?

    :)

    Spaß beiseite: Die Antwort für das externe Autodiscover liefert Exchange erst nach Authentifikation.

    Der Angreifer hat also schon Benutzer und Passwort, wenn er die Info von Autodiscover abruft.

    Office 365 überträgt die Autodiscover Infos danach sogar unverschlüsselt und hat keine Probleme damit.

    Außerdem sind die Server-Infos auch im öffentlichen DNS zu finden und Super-Einfach bei Port-Scanning aufzufinden. Denn normalerweise ist OWA ja auf dem gleichen Server zu finden.

    Also leider wieder mal falsch verstanden Security: Wichtig ist nicht die Autodiscover-Info, die lässt sich ohne Fremdhilfe auch sehr einfach alleine rausfinden.

    Wichtig ist der Schutz der Credentials, der Rest ist nur "Security by Obscurity".

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Sonntag, 17. Juli 2016 09:15
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 17.07.2016 schrieb Robert Wille [MVP]:

    na ja, die ganze Welt nutzt Autodiscover bei Exchange (inkl. Office 365) und man liest jeden Tag von dutzenden gehackten Firmen, oder?

    Ich habs gewußt: MS ist dran schuld. Und alles nur wegen Autodiscover. ;)

    Bye
    Norbert

    Dilbert's words of wisdom #19:
    Am I getting smart with you? How would you know?
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Sonntag, 17. Juli 2016 21:44
    |
  • Question
    Anmelden
    0
    Anmelden

    bei mir ist bei IIS - Autodiscover Anonymousper Default  enabled. Ist das bei euch ausgeschalten?

    das wäre ja eine Security Lücke.

    https://technet.microsoft.com/en-us/library/ff360825(v=exchg.140).aspx

    Chris

    Montag, 18. Juli 2016 05:55
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    da die Antworten personalisiert sind, kann es anonym keine gescheiten antworten geben. Da Autodiscover-Dienst muss ja wissen, für welchen User er die Info ausliefern muss.

    Darum ist der "Security Problem" in Deinem Link ja auch nur ein offenlegen von Mail-Adressen. Die bekommt man aber auch anders heraus, wenn man will.

    Für 2010 mit TMG habe ich die folgenden Einstellungen konfiguriert:

    InternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated, WSSecurity}
    ExternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated, WSSecurity}
    LiveIdSpNegoAuthentication    : False
    WSSecurityAuthentication      : True
    LiveIdBasicAuthentication     : False
    BasicAuthentication           : True
    DigestAuthentication          : False
    WindowsAuthentication         : True

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Montag, 18. Juli 2016 09:02
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 18.07.2016 schrieb chris__2012:

    bei mir ist bei IIS - Autodiscover Anonymousper Default  enabled. Ist das bei euch ausgeschalten?

    Ja.

    das wäre ja eine Security Lücke.

    Glaub ich in dem Fall eher nicht.
    https://technet.microsoft.com/de-de/library/gg247612(v=exchg.150).aspx

    Bye
    Norbert


    Montag, 18. Juli 2016 14:11
    |
  • Question
    Anmelden
    0
    Anmelden

    danke nochmals für eure ausführlichen Informationen.

    Ich möchte noch für andere ergänzen, dass von extern folgende Autodiscover Auflösung erfolgt.

    man kann es gut mit dem Microsoft Analyzer sehen. https://testconnectivity.microsoft.com/

    https://firma.de/autodiscover/autodiscover.xml (ist meist der Firmen WebServer und dort liegt keine XML)

    https://autodiscover.firma.de:443/Autodiscover/Autodiscover.xml

    wir hatten daher extern noch einen DNS Eintrag autodiscover.firma.de einfügen müssen. Und am TMG Listener eine autodiscover angelegt. Die Pfade gehen ja nur auf /owa oder /autodiscover. DNS Eintrag alleine reichte nicht. Intern war kein DNS Eintrag erforderlich.

    habe zufällig herausgefunden, dass bei dem Werkzeugschlüssel noch ein anderer Dialog ebenfalls mit einem externen URL kommt. Gilt für alle virtuell Directorys. Wurde mit ConfigExchangeURL.ps1 nicht mitkonfiguriert?

    Configure external Access Domain.

    Bei Server wird kein Server angeboten.

    soll man hier den externen bei uns inzwischen (Split DNS) einheitlichen URL "mail.firma.de" eintragen. Was  bringt das? Lt. Internet könnte man hier einen Loadbalancer eintragen. Wir haben extern keinen Loadbalancer? Nur eine MS TMG der als Proxy fungiert.

    Chris

    Dienstag, 19. Juli 2016 08:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    dieser Dialog ist nur eine GUI für das "ConfigExchangeURL.ps1" Script und trägt dann automatisch den externen (aber auch nur den!) Namen in alle vDirs ein.

    Kannst Du nutzen, bringt aber vermutlich nichts mehr.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Dienstag, 19. Juli 2016 08:45
    |
  • Question
    Anmelden
    0
    Anmelden

    ist das eine Altlast von Exchange 2007.

    wir haben bei uns keine SRV Record, weil es ja wie du beschrieben hast über SCP aufgelöst wird.

    oder hätte wir im internen DNS Firma.de Zone den SRV Record anlegen sollen.

    https://support.microsoft.com/en-us/kb/940881

    https://www.mva.ch/support/hosted-exchange/installation-client-toubleshoot/srv-autodiscover/

    Chris

    Freitag, 22. Juli 2016 09:16
    |
  • Question
    Anmelden
    0
    Anmelden

    wir haben bei uns keine SRV Record, weil es ja wie du beschrieben hast über SCP aufgelöst wird.


    Da bringst Du was durcheinader. SRV und SCP sind keine Alternativen oder Ersatz.

    Der SCP-Eintrag wird zwingend für interne Clients (=Domänen Clients) benötigt.

    Der SRV-Eintrag wäre für externe Clients (= nicht Domäne). Und hier gäbe es noch Alternativen. Aber eben nur für diese.

    Das hat sich übrigens seit 2007 nicht verändert und ist damit auch keine "Altlast".

    Ob SRV-Einträge intern notwendig sind, hängt davon ab, ob nicht-domänen Clients im internen Netzwerk auch Exchange machen sollen.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Freitag, 22. Juli 2016 09:20
    |
  • Question
    Anmelden
    0
    Anmelden

    danke,

    mein Kollege hatte bisher auch intern eine A Record "autodiscover" . Er hätte noch gerne gewusst ob das nun das selbe bewirkt. Da die Exchange Analyzer bzw. Outlook offensichtlich das fix einprogrammiert haben und man mit Fiddler und Exchange Analyzer sieht das er gleich auf autodiscover.firma.de geht.

    noch eine kurze Rückfrage bzgl. externen Autodiscover: heißt das, dass externe Clients (IPAD, Handy usw.) den Autodiscovery lediglich für den Servernamen beim Ersteinrichten nutzen damit man bei neuen Accounts sich das Servername eingeben spart? Oder braucht man künftig für externen Clients auch zwingend eine Autodiscover Auflösung. Es wäre ja denkbar, dass Outlook auf einem Laptop auch im Hintergrund öfters nach dem Autodiscover frägt. Oder vielleicht Kalenderdienst (was weiß ich) kommen, die eine Autodiscover Auflösung benötigen.

    Chris

    Freitag, 22. Juli 2016 09:34
    |
  • Question
    Anmelden
    0
    Anmelden

    Der "autodiscover.*" Eintrag ist eine Alternativ zum SRV-Eintrag (egal ob intern oder extern). Er hat den Vorteil, dass er bei allen Geräten funktioniert (SRV kann nicht immer jeder), dafür muss er aber im Zertifikat stehen (SRV nicht). Outlook und Analyzer machen auch SRV.

    Das "externe Autodiscover" hat nicht mit dem Gerätetyp zu tun, sondern mit dem Ort, an dem sich das Gerät befindet.

    Outlook fragt bei jedem Start die Autodiscver Infos ab. Was andere Clients tun, kann ich nicht sagen.

    Das zeigt aber mal wieder, wie schwierig das Thema in einem Forum zu erklären ist, wenn nicht alle Bedingungen bekannt sind. Es gibt eben keine pauschale Lösung. Vor Ort evaluiere ich die Clients, wo sie sind, wie sie sich verbinden und welchen Aufwand der Kunde betreiben will. Und dann gibt es seine Lösung.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Freitag, 22. Juli 2016 09:40
    |