6
Outlook App via VPN
Hallo zusammen,
ich habe die letzte Exchange Lücke dazu genutzt, den direkten Mailabruf mit der Outlook von mobilen Geräten auf "nur-mit-VPN" (OpenVPN) um zu stellen. Leider gibt es Probleme.
Was ist derzeit gegeben?
Wir haben ein Exchange Server 2019 mit CU12 ohne EP (wird morgen auf CU14 mit EP aktualisiert), der bis vor kurzem noch direkt aus dem WWW hinter einem NGINX Reverse Proxy erreichbar war. Der Zugriff aufs OWA und Verbindung mit der Outlook App hat ohne VPN funktioniert.
Jetzt habe ich den Direktzugriff gestoppt und alle Mitarbeiter auf VPN umgestellt, außerdem dem Exchange-Server in Vorbereitung auf die EP direkt mit einem LE Zertifikat mit certifytheweb.com ausgestattet (vorher hat der NGINX das Zertifikat präsentiert).
Ich dachte, super easy, einfach VPN aktivieren und DNS forcieren, damit die Adresse mail.domäne.com und autodiscover.domäne.com über den gepushten DNS auf die interne IP-Adresse des Exchanges auflöst (statt die öffentliche IP wie bisher). Das OWA funktioniert auch ohne Murren (Browser zeigt alles sauber zertifiziert an), nur die Outlook-App will sich aufgrund eines "Zertifikatsfehlers" nicht mit dem Exchange verbinden.
Warum? Vor wenigen Tagen war die gleiche Outlook-App mit dem LE Zertifikat des NGINX zufrieden.
Ich zertifiziere mit certyfytheweb.com folgende URLS:
mail.domäne.com
autodiscover.domäne.com
ex01.ad.domäne.com (ad.domäne.com ist unsere interne AD Domäne, intern hat sich auch kein Outlook über das neue Zertifikat beschwert oder so)
Ich konnte das ganze mit einem fremden Outlook ebenfalls erfolgreich testen; VPN aktiviert (nslookup mail.domäne.com usw alles die interne IP), Outlook gestartet und mit etwas manuellem Einstellen hat sich Outlook dann auch erfolgreich verbunden - während die Outlook App weiter nicht will.
Was mache ich falsch?
Da die Outlook-App keinerlei Debug-Informationen gibt kann ich nur raten. Ich habe vermutet, dass sie am DNS vorbei, vielleicht mit DNS over HTTPS o.ä. noch die öffentliche IP auflöst und daher bei einem anderen NGINX-Service landet, aber auch nachdem ich den öffentlichen DNS-Namen die interne IP vergeben habe, geht es noch immer nicht. Gleicher Fehler.
Hat jemand eine Idee?
Danke!
MfG
ich habe die letzte Exchange Lücke dazu genutzt, den direkten Mailabruf mit der Outlook von mobilen Geräten auf "nur-mit-VPN" (OpenVPN) um zu stellen. Leider gibt es Probleme.
Was ist derzeit gegeben?
Wir haben ein Exchange Server 2019 mit CU12 ohne EP (wird morgen auf CU14 mit EP aktualisiert), der bis vor kurzem noch direkt aus dem WWW hinter einem NGINX Reverse Proxy erreichbar war. Der Zugriff aufs OWA und Verbindung mit der Outlook App hat ohne VPN funktioniert.
Jetzt habe ich den Direktzugriff gestoppt und alle Mitarbeiter auf VPN umgestellt, außerdem dem Exchange-Server in Vorbereitung auf die EP direkt mit einem LE Zertifikat mit certifytheweb.com ausgestattet (vorher hat der NGINX das Zertifikat präsentiert).
Ich dachte, super easy, einfach VPN aktivieren und DNS forcieren, damit die Adresse mail.domäne.com und autodiscover.domäne.com über den gepushten DNS auf die interne IP-Adresse des Exchanges auflöst (statt die öffentliche IP wie bisher). Das OWA funktioniert auch ohne Murren (Browser zeigt alles sauber zertifiziert an), nur die Outlook-App will sich aufgrund eines "Zertifikatsfehlers" nicht mit dem Exchange verbinden.
Warum? Vor wenigen Tagen war die gleiche Outlook-App mit dem LE Zertifikat des NGINX zufrieden.
Ich zertifiziere mit certyfytheweb.com folgende URLS:
mail.domäne.com
autodiscover.domäne.com
ex01.ad.domäne.com (ad.domäne.com ist unsere interne AD Domäne, intern hat sich auch kein Outlook über das neue Zertifikat beschwert oder so)
Ich konnte das ganze mit einem fremden Outlook ebenfalls erfolgreich testen; VPN aktiviert (nslookup mail.domäne.com usw alles die interne IP), Outlook gestartet und mit etwas manuellem Einstellen hat sich Outlook dann auch erfolgreich verbunden - während die Outlook App weiter nicht will.
Was mache ich falsch?
Da die Outlook-App keinerlei Debug-Informationen gibt kann ich nur raten. Ich habe vermutet, dass sie am DNS vorbei, vielleicht mit DNS over HTTPS o.ä. noch die öffentliche IP auflöst und daher bei einem anderen NGINX-Service landet, aber auch nachdem ich den öffentlichen DNS-Namen die interne IP vergeben habe, geht es noch immer nicht. Gleicher Fehler.
Hat jemand eine Idee?
Danke!
MfG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6661123574
Url: https://administrator.de/contentid/6661123574
Printed on: April 27, 2024 at 21:04 o'clock
6 Comments
Latest comment
Ich habe vermutet, dass sie am DNS vorbei...
Statt wild zu vermuten wäre es dann nicht sinnvoller mal den Wireshark zur Hand zu nehmen und zu prüfen ob dem wirklich so ist? Auf die "Idee" sollte ein Profi wie du doch auch zuerst kommen?! 
Outlook > Datei > Optionen > Erweitert
Unter "Andere" > "Protokollierung der Problembehandlung aktivieren (erfordert einen Neustart von Outlook)"
Outlook neu starten
In %Temp% findet sich die ganzen Log-Files (ggf. unter "Diagnostics">"OUTLOOK"
Sind allerdings schwer interpretierbar.
Unter "Andere" > "Protokollierung der Problembehandlung aktivieren (erfordert einen Neustart von Outlook)"
Outlook neu starten
In %Temp% findet sich die ganzen Log-Files (ggf. unter "Diagnostics">"OUTLOOK"
Sind allerdings schwer interpretierbar.
1
Zitat von @aqui:
Statt wild zu vermuten wäre es dann nicht sinnvoller mal den Wireshark zur Hand zu nehmen und zu prüfen ob dem wirklich so ist? Auf die "Idee" sollte ein Profi wie du doch auch zuerst kommen?!
Hm, wie kann man denn ein Handy mit Wireshark mitschneiden? Das Handy hängt direkt im LTE Netz.Statt wild zu vermuten wäre es dann nicht sinnvoller mal den Wireshark zur Hand zu nehmen und zu prüfen ob dem wirklich so ist? Auf die "Idee" sollte ein Profi wie du doch auch zuerst kommen?!
Mal davon abgesehen, dass ich mit Wireshark nicht klar komme. Diesbezüglich bin ich nur ein Halb-Profi ;)
Zitat von @MayBeSec:
Outlook > Datei > Optionen > Erweitert
Unter "Andere" > "Protokollierung der Problembehandlung aktivieren (erfordert einen Neustart von Outlook)"
Outlook neu starten
In %Temp% findet sich die ganzen Log-Files (ggf. unter "Diagnostics">"OUTLOOK"
Sind allerdings schwer interpretierbar.
Outlook > Datei > Optionen > Erweitert
Unter "Andere" > "Protokollierung der Problembehandlung aktivieren (erfordert einen Neustart von Outlook)"
Outlook neu starten
In %Temp% findet sich die ganzen Log-Files (ggf. unter "Diagnostics">"OUTLOOK"
Sind allerdings schwer interpretierbar.
Danke, für die Zukunft merke ich mir das mal. Aber derzeit brauche ich es nicht, da Outlook ja funktioniert. Die Outlook "App" will nicht.
Habe ich denn etwas übersehen? Mehr als HTTPs läuft doch da nicht, oder?
MfG
iirc läuft zumindest auf dem Iphone die Outlook-App immer über Microsoft-Server. DIese bauen dann die Verbindung zu deinem Exchange auf.
2Zitat von @Delta9:
iirc läuft zumindest auf dem Iphone die Outlook-App immer über Microsoft-Server. DIese bauen dann die Verbindung zu deinem Exchange auf.
iirc läuft zumindest auf dem Iphone die Outlook-App immer über Microsoft-Server. DIese bauen dann die Verbindung zu deinem Exchange auf.
Damn, ja das wars. Mir war bewusst, dass die Outlook App die Zugangsdaten an MS sendet, aber ich hätte nicht gedacht, dass der Exchange-Zugriff dann über die Microsoft-Server stattfindet!
Habe die GMAIL App genutzt und schwupp die wupp war meine Mail eingerichtet. Problem ist nun aber, dass mein „Google-Konto“ mit dem Firmen-Posteingang zusammen angezeigt wird. Das ist etwas ätzend und bisher habe ich keine Einstellung gefunden, die das ändert…aber nun habe ich gute weitere Ansätze!
Siehe auch hier:
https://www.anleitungen.rrze.fau.de/e-mail/exchange/exchange-postfach-in ...
https://hilfe.uni-paderborn.de/Exchange_einrichten_mit_Android
Vielen Dank!
aber ich hätte nicht gedacht, dass der Exchange-Zugriff dann über die Microsoft-Server stattfindet!
Ging mit einem Riesenaufschrei (zu Recht!) auch durch die Presse:https://www.heise.de/news/Microsoft-krallt-sich-Zugangsdaten-Achtung-vor ...
https://www.heise.de/news/Neues-Outlook-Microsoft-bezieht-Stellung-zur-U ...
Feind liest immer mit. Ein Schelm wer Böses dabei denkt...
2