An einigen Stellen, hier im Forum, wurde das Thema bereits angeschnitten. Richtet man Autodiscover so ein, wie es im kb#13 beschrieben ist, funktioniert es grundsätzlich. Nur Outlook wirft jedes Mal einen Zertifikatsfehler, da das Zertifikat der Domäne, die das Autodiscover-XML ausliefert, nicht zur Domäne des Nutzers passt.
Wir haben diese Einträge:
autodiscover.kundendomain.tld cname autodiscover.anbieterdomain.tld
autoconfig.kundendomain.tld cname autodiscover.anbieterdomain.tld
Outlook fragt per default https://autodiscover.kundendomain.tld und bekommt zur Antwort das Zertifikat von autodiscover.anbieterdomain.tld.
Nun wird hier und da angemerkt, dass sich dieses Problem lösen ließe, wenn ein SRV-Record angelegt wird, da Outlook diesen vorziehen würde:
Das ist aber leider nicht so. Outlook prüft erst, ob ein solcher Record existiert, nachdem es die HTTPS-Abfrage durchführt. Es kommt also wieder zum Zertifikats-Fehler.
Da offensichtlich ausschließlich Outlook nach autodiscover.kundendomain.tld sucht, könnte man den entsprechenden CNAME-Record doch einfach löschen. In der Folge müsste Outlook nach dem SRV-Record suchen.
Ja - fast! Ich gehe mal davon aus, dass die allermeisten hier per default einen Wildcard-Record für jede Domain setzen, wenn - wie bei uns - ein eigener DNS verwendet wird und nicht die DNS-Funktionalität in LiveConfig. Letztere würde das Problem lösen, da es dann tatsächlich nur Records für existierende Sub-Domains des Kunden anlegen würde. Da es aber bisher keine brauchbare Template-Verwaltung gibt um default-Einträge zu verwalten, fällt das zumindest bei uns aus.
Also, besteht ein WildCard-Record für die Kunden-Domäne und der CNAME-Record autodiscover.kundendomain.tld ist NICHT vorhanden, wird das i. d. R. ebenfalls nicht funktionieren, wenn der WebServer mindestens ein SSL-Zertifikat installiert hat. (Anderes Thema, wurde aber hier auch schon besprochen). In diesem Fall (probiert es gerne einmal aus) führt ein HTTPS-Request dazu, dass - selbst wenn für die angefragte Domain kein Zertifikat eingerichtet ist - der WebServer offensichtlich das alphabetisch erste Zertifikat nimmt und damit antwortet. Somit bekommt der Kunde ggf. ein völlig fremdes Zertifkat ausgeliefert, was (wiederholt) zu besorgten Anfragen führt.
Abgesehen davon liefert der WebServer dann auch kein Autodiscover-XML aus.
Lösung (vielleicht nicht schön, aber läuft):
Ich habe bei den Kundendomains, mit denen ich getestet habe, den CNAME-Record autodiscover.kundendomain.tld gegen einen A-Record auf 0.0.0.0 getauscht. Der CNAME-Record autoconfig.kundendomain.tld auf autodiscover.anbieterdomain.tld bleibt aber bestehen, damit Thunderbird bedient werden kann! Außerdem habe ich natürlich den o. g. SRV-Record gesetzt.
Voilà! Ab jetzt gibt es keine gruseligen Zertifikats-Fehler mehr. Outlook richtet ohne Meckern bei Angabe von eMail-Adresse und Passwort das Konto ein.
Hoffe, diese Problemanalyse nebst Lösungsansatz hilft weiter!
Grüße,
Oskar