Exchange 2013 Autodiscover funktinoniert nicht

Hallo Zusammen,

aktuell haben wir bei einem Kunden wieder das Problem, dass Autodicover auf einem Exchange 2013 nicht mehr richtig funktioniert.
Das Setup war bisher
( Aus Datenschutzgründen habe ich Domain und Adressen umbenannt in Domain.com )
Interne URL : EXCHANGE2013.domain.local
Externe URL : mail.domain.com

Es wurde bisher ein selbstsigniertes SAN Zertifikat genutzt.
Aufgrund der Iphones benötigen wir also jetzt ein Öffentlich Signiertes Zertifikat.
Outlook auf den Rechnern wurde bisher nicht genutzt.

Das soll sich jetzt ändern.
Also habe ich die virtuellen Verzeichnisse von dem lokalen EXCHANGE2013.domain.local auf den externen mail.domain.com umgestellt und mit dem Powershell Befehl " Test-OutlookWebServices " das Autodiscover getestet.

RunspaceId          : a3266278-2c52-4de2-adce-38f83571712d
Source              : EXCHANGE2013.domain.local
ServiceEndpoint     : mail.domain.com
Scenario            : AutoDiscoverOutlookProvider
ScenarioDescription : AutoErmittlung: Outlook-Anbieter
Result              : Failure
Latency             : 53
Error               : System.Net.WebException: Der Remoteserver hat einen Fehler zurückgegeben: (401) Nicht 
                      autorisiert.
                         bei System.Net.HttpWebRequest.GetResponse()
                         bei 
                      Microsoft.Exchange.Management.SystemConfigurationTasks.ServiceValidatorBase.InternalInvoke()
                         bei Microsoft.Exchange.Management.SystemConfigurationTasks.ServiceValidatorBase.Invoke()
Verbose             : [2020-01-10 15:27:27Z] 'AutoErmittlung' stellt eine Verbindung mit   
                      'https://mail.domain.com/AutoDiscover/AutoDiscover.xml' her.  
                      [2020-01-10 15:27:27Z] Testkonto: administrator Kennwort: ******
                      [2020-01-10 15:27:27Z] Anforderung von AutoErmittlung:
                      User-Agent: EXCHANGE2013/Test-OutlookWebServices/domain.com
                      Content-Type: text/xml; charset=utf-8
                      Authorization: Negotiate TlRMTVNTUAADAAAAGAAYAJQAAABkAWQBrAAAAAoACgBYAAAAGgAaAGIAAAAYABgAfAAAABAA
                      EAAQAgAAFYKI4gYDgCUAAAAPMiSoYDXeoea4zfKp40441WEAdwBvAG0AZQBhAGQAbQBpAG4AaQBzAHQAcgBhAHQAbwByAEUAW
                      ABDAEgAQQBOAEcARQAyADAAMQAzAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAHeEdRMZk+7YYETfs1Tr3ksBAQAAAAAAAPx1+X
                      bKx9UBGjxFQ9TbJJsAAAAAAgAKAEEAVwBPAE0ARQABABgARQBYAEMASABBAE4ARwBFADIAMAAxADMABAAWAEEAVwBPAE0ARQA
                      uAGwAbwBjAGEAbAADADAARQBYAEMASABBAE4ARwBFADIAMAAxADMALgBBAFcATwBNAEUALgBsAG8AYwBhAGwABQAWAEEAVwBP
                      AE0ARQAuAGwAbwBjAGEAbAAHAAgA/HX5dsrH1QEGAAQAAgAAAAgAMAAwAAAAAAAAAAAAAAAAQAAAtQT1Bl7JGnXXpS1tEwcSX
                      SkeiasjoH+16fPla0QXksAKABAAKFRj5y8j/+LM7cDvrlVptAkAPgBIAFQAVABQAC8AbQBhAGkAbAAuAGEAdwBvAC0AawByAG
                      UAaQBzAC0AbQBlAHQAdABtAGEAbgBuAC4AZABlAAAAAAAAAAAA9tXclg9e9hVA20M1ixNK9A==
                      Host: mail.domain.com
                      Cookie: ClientId=ETHUZ9HUWQNPHRYEQ
                      Content-Length: 474
                      Expect: 100-continue
                      [2020-01-10 15:27:27Z] Anforderung von AutoErmittlung:
                      <?xml version="1.0"?>  
                      <Autodiscover xmlns:xsd="http://www.w3.org/2001/XMLSchema"   
                      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"   
                      xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/requestschema/2006">  
                        <Request>
                          <EMailAddress>Administrator@domain.com</EMailAddress>
                          <AcceptableResponseSchema>http://schemas.microsoft.com/exchange/autodiscover/outlook/response
                      schema/2006a</AcceptableResponseSchema>
                        </Request>
                      </Autodiscover>
                      [2020-01-10 15:27:27Z] Antwort von AutoErmittlung:
                      request-id: 19c5d406-edde-41bd-b6b6-177ef748dbde
                      Server: Microsoft-IIS/8.5
                      WWW-Authenticate: Negotiate,NTLM,Basic realm="mail.domain.com"  
                      X-Powered-By: ASP.NET
                      X-FEServer: EXCHANGE2013
                      Date: Fri, 10 Jan 2020 15:27:27 GMT
                      Content-Length: 0
                      [2020-01-10 15:27:27Z] Antwort von AutoErmittlung:
                      System.Net.WebException: Der Remoteserver hat einen Fehler zurückgegeben: (401) Nicht 
                      autorisiert.
                         bei System.Net.HttpWebRequest.GetResponse()
                         bei 
                      Microsoft.Exchange.Management.SystemConfigurationTasks.ServiceValidatorBase.InternalInvoke()
                         bei Microsoft.Exchange.Management.SystemConfigurationTasks.ServiceValidatorBase.Invoke()
MonitoringEventId   : 6001

DNS Einträge habe ich sowohl intern als auch extern angelegt.
autodiscover.mail.local --> externe IP des Exchange Server
intern das ganze nur mit der internen IP.

Ein SRV Record habe ich auch angelegt.

Der Connectivity Analyser von Microsoft sagt auch dass alles funktioniert.
Die Warnungen waren nur, dass er zuerst auf die domain.com/Autodiscover/autodiscover.xml gegangen ist.
Da liegt ja nur die Webseite drauf und nicht der Mailserver.

Die internen Clients können leider nicht Outlook einrichten.
Die automatische Konfiguration füllt er aus, allerdings hängt er danach bei der Anmeldung.