none
Autodiscover: comportamento dominio esterno RRS feed

  • Domanda

  • (utilizzo contoso.it non me ne voglia il sempre gentile roberto perazzi  )

    Exchange 2013 CU3, configurato ruolo CAS e MB su un membro di AD.

    il server ha indirizzo interno srv-exchange.contoso.local ed utilizza un certificato self signed (quello installato automaticamente)

    In fase di collegamento dei Client Outlook ho questo comportamento:

    a. i client riconoscono il server in autodiscover ma del tipo GUID@contoso.it   (NB: contoso.it è dominio accettato autorevole)

    b. i client riconoscono il certificato rilasciato da srv-exchange.contoso.local 

    c. I CLIENT CERCANO UN CERTIFICATO RILASCIATO DAL SERVER AUTODISCOVER.CONTOSO.IT (praticamente aruba...) 

    Ora installando il certificato selfsigned interno tutto funziona.

    Ma perchè mi viene notificato il punto c), è un comportamento normale?

    L.

    mercoledì 30 aprile 2014 08:01

Risposte

  • Prima cosa, non so se ti stai riferendo a me, ma io mi chiamo Ferazzi, non Perazzi, seconda cosa, sentiti pure libero di abusare del dominio Contoso, mamma Microsoft sarà contenta :-)

    Veniamo alle cose serie :-)

    1) La prima cosa che ti chiedo e se i client in questione sono a dominio oppure no, questo determina come eseguono la procedura di autodiscover

    2) Il formato con cui ti si compila il campo "server" in outlook è corretto, GUID@DominioSmtpPrimario

    3) il record dns autodiscover.contoso.it esiste? a cosa punta?

    Se il record DNS esiste, durante la fase di autodiscover il client tenta una connessione e quindi si aspetta un certificato valido e con il nome corretto.

    Questa potrebbe essere la spiegazione.

    Roberto



    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT

    • Contrassegnato come risposta Anca Popa lunedì 5 maggio 2014 12:07
    mercoledì 30 aprile 2014 13:34
    Moderatore
  • In manuale non va perché non è cosi che si configura la connessione a Exchange 2013.

    Leggi questo post, alla fine della lettura vedrai la luce :-)

    http://blogs.technet.com/b/exchange/archive/2013/01/25/exchange-2013-client-access-server-role.aspx

    Roberto


    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT

    • Contrassegnato come risposta Anca Popa lunedì 5 maggio 2014 12:08
    venerdì 2 maggio 2014 15:02
    Moderatore

Tutte le risposte

  • Prima cosa, non so se ti stai riferendo a me, ma io mi chiamo Ferazzi, non Perazzi, seconda cosa, sentiti pure libero di abusare del dominio Contoso, mamma Microsoft sarà contenta :-)

    Veniamo alle cose serie :-)

    1) La prima cosa che ti chiedo e se i client in questione sono a dominio oppure no, questo determina come eseguono la procedura di autodiscover

    2) Il formato con cui ti si compila il campo "server" in outlook è corretto, GUID@DominioSmtpPrimario

    3) il record dns autodiscover.contoso.it esiste? a cosa punta?

    Se il record DNS esiste, durante la fase di autodiscover il client tenta una connessione e quindi si aspetta un certificato valido e con il nome corretto.

    Questa potrebbe essere la spiegazione.

    Roberto



    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT

    • Contrassegnato come risposta Anca Popa lunedì 5 maggio 2014 12:07
    mercoledì 30 aprile 2014 13:34
    Moderatore
  • Si scusa il misunderstanding di cognome;)

    1. i client sono a dominio

    2. ok

    3. no, io non ho messo alcun record DNS.

    Però un nslookup autodiscover.contoso.it punta allo stesso dns di www.contoso.it, sarà che devo chiedere al manteiner di contoso.it di rimuovere questo "alias"?

    Può costituire per te un problema rilevante?


    mercoledì 30 aprile 2014 15:03
  • Il fatto che i client risolvano autodiscover.contoso.it con un ip che non corrisponde al servizio autodiscover pubblicato correttamente, sicuramento rappresenta un problema.

    Più che rimuovere il record, andrebbe gestito. Internamente puoi registrare il record nel tuo dns interno e farlo puntare all'exchange; esternamente il record dovrebbe puntare all'IP pubblico sul quale è pubblicata la URL dell'autodiscover.

    In tutto ciò ti consiglio di non usare il certificato self-signed ma di crearne uno con la tua PKI interna o acquistarne uno da una CA Pubblica, con i nomi corretti, sicuramente "autodiscover.contoso.it" e l'fqnd che hai usato per il resto del web services (OWA, EWS, ecc..).

    Roberto


    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT

    mercoledì 30 aprile 2014 21:37
    Moderatore
  • Praticamente creo un record A dove autodiscover.contoso.it equivale a 192.168.1.100 ip interno di exchange corretto?

    O deve equivalere al path autodiscover del server exchange?

    Esternamente non usando outlook anywhere ma collegandosi solo in vpn posso bypassare?

    La causa di tutto, secondo te, qual'e'?

    Grazie ancora...

    mercoledì 30 aprile 2014 21:48
  • da quel che capisco la issue è ancora irrisolta da MS.

    Praticamente il comportamento di autodiscover:

    Prima cerco https://contoso.local/autodiscover/autodiscover.xml

    Poi cerco (sempre-per una questione di backup...?)  https://contoso.COM/autodiscover/autodiscover.xml

    Se è così il comportamento è corretto, anche perchè il client quando vede (per primo) il contoso.local si connette correttamente. E' il secondo che non deve essere contattato.

    Non è che contatta contoso.com al posto del .local, li contatta tutti e due uno risolve perchè è il server interno l'altro trova un cert. che non corrisponde al server exchange.

    Ma poi funziona...

    Cosa ne pensi?

    giovedì 1 maggio 2014 07:50
  • Una cosa importante che non ti ho chiesto è la versione di Outlook.

    Se stiamo parlando di Outlook 2013, la spiegazione è che per velocizzare il processo di autodiscover, hanno introdotto una nuova modalità nel processo di autodiscover.

    In questo post è spiegato bene:

    http://exchangemaster.wordpress.com/2013/05/07/new-behavior-in-outlook-2013-causing-certificate-errors-in-some-environments/

    Roberto


    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT

    venerdì 2 maggio 2014 06:46
    Moderatore
  • Veramente lo fa anche con outlook 2010.

    Ho notato anche un'altra cosa, che probabilmente può essere legata: quando collego un client outlook INTERNO AL DOMINIO in manuale SENZA autodiscover, mettendo a mano il nome del server 192.168.1.xxx non mi connette.

    Se uso autodiscover mi assegna un GUID e si connette correttamente.

    Come mai secondo te in manuale non va?

    venerdì 2 maggio 2014 09:47
  • In manuale non va perché non è cosi che si configura la connessione a Exchange 2013.

    Leggi questo post, alla fine della lettura vedrai la luce :-)

    http://blogs.technet.com/b/exchange/archive/2013/01/25/exchange-2013-client-access-server-role.aspx

    Roberto


    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT

    • Contrassegnato come risposta Anca Popa lunedì 5 maggio 2014 12:08
    venerdì 2 maggio 2014 15:02
    Moderatore
  • Ciao,

    In attesa delle tue notizie, ho evidenziato i consigli di Roberto (magari possono tornare utili per gli altri membri del forum, che riescono cosi' ad individuare la soluzione piu' velocemente).

    Facci sapere com'e' andata, grazie.


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

    lunedì 5 maggio 2014 12:09