Fehler beim Exchange Autodiscover in Outlook 2013

Liebe Leserinnen und Leser

Heute habe ich mich eine Zeit mit Exchange 2010 und Autodiscover herumgeschlagen, da ich trotz korrekter Einstellungen aller Systeme bei manchen Domänen eine Zertifikatsfehlermeldung mit Outlook 2013 bekomme:

Certificate Error Outlook 2013Wir verwenden bei diesem Kunden einen Exchange 2010 mit SP2 und Outlook 2013. Die Auflösung der vielen verschiedenen Domänenkunden erfolgt über SRV Records, da wir uns teuere SAN Zertifikate ersparen wollen.

Grundsätzlich funktioniert diese Vorgehensweise sehr gut und die verschiedenen Mailboxen auf den verschiedenen Domänen werden über Autodiscover aufgelöst und die Postfächer verbunden.

Bei einer Domäne haben wir jedoch das Problem das trotz richter Einstellungen bei jeder Abfrage von Autodiscover die Zertifikatsfehlermeldung wie oben ausgegeben wurde.

Wir haben uns danach auf die Fehlersuche begeben und konnten feststellen das dieser Fehler im Outlook 2007SP1 und Outlook 2010 nicht auftritt. Der Fehler tritt nur in Kombination von Outlook 2013 + Exchange 2010 auf. Daraufhin haben wir alles Settings überprüft um noch einma sicher zu stellen das unsere Einstellungen richtig sind.

Etwas später haben wir herausgefunden das Outlook 2013 etwas sensibler bei der Abfrage der Autodiscover URL´s herangeht und den Fehler gefunden:

Problematik

Outlook 2013 prüft als LETZES den SRV Record. Zuerst wird folgende URL abgefragt:

HTTPS-POST: https://contoso.com/autodiscover/autodiscover.xml

und genau hier befindet sich bereits das Problem mit SHARED IP Apache Webservern.

Der Exchange-Mailserver antwortet unter mail.kundendomain.com und der UNIX Webserver auf dem die Webseite liegt unter http://kundendomain.com und https://kundendomain.com. Wenn ihr jedoch die Webseite des Kunden auf einen SHARED IP V-Host liegt, auf dem SSL aktiviert ist und nicht alle Kunden davon eine gültiges Zertifikat besitzen (Weil nicht alle 443 benötigen) antwortet der V-HOST des UNIX Servers auf 443 und gibt die Defaultwebseite zurück. Natürlich entspricht der Name der Defaultwebseite nicht dem Namen der Webseite im Request, was einen Zertifikatsfehler verursacht.

Da Autodiscover als erstes auf https://kundendomain.com über 443 zugreift (Wenn am Webserver aktiv) passiert folgendes:

1) Prüfen ob Webserver auf 443 Antwortet – OK

2) Prüfe des Zertifikats. Anfrage http://kundendomain.com entspricht nicht http://defaultwebseite.com – Zertifikatserror, den Autodiscover ausgibt. (Wichtig! Der Fehler wird NUR im Outlook 2013 ausgegeben. Die Überprüfung von Autodiscover mit dem Outlook eingebauten Teststool verursacht den Fehler nicht.)

3) Manuelle Bestätigung des „falschen“ Zertifikats.

4) Webserver Antwortet: Autodiscover XML nicht gefunden. Probiere nächsten Schritt.

5) SRV Record gefunden, umleitung erfolgreich.

Im Prinzip resultiert der Fehler daraus das Zuerst 443 geöffnet wird, dann das Zertifikat geprüft wird und dann erst überprüft wird ob die URL überhaupt existiert. Natürlich existiert die URL nicht, da die Autodiscover XML nicht auf diesem Webserver liegt, sondern am Exchange.

Komischerweiße wird der Fehler erst seit Windows 7 und Office 2013 ausgegeben. In füheren Windows und Outlook Versionen wurde der Zertifikatsfehler einfach ignoriert, da die URL sowieso nicht existiert. Das Teststool https://www.testexchangeconnectivity.com/ zeigt sehr gut, das hier ein falscher Webserver antwortet.

Lösungsvorschlag

Lösung gibts leider keine. Die einzige Möglichkeit ist für diesen Kunden ein Zertifikat am UNIX Webserver zu kaufen oder den UNIX Server dazu zu zwingen nicht mehr auf 443 zu antworten. (Was bei SHARED IP Hostern natürlich nicht geht)

Liebe Grüße,

Roland

 / Kommentare deaktiviert für Fehler beim Exchange Autodiscover in Outlook 2013  / in Allgemein