📁 Microsoft 365 / Exchange · ⏱ Leitura: ~18 min · 👤 Nível: Administrador de Sistemas · 🗓 Abril 2026
O Autodiscover é o serviço da Microsoft responsável por configurar automaticamente o perfil do Outlook — servidor de email, portas, TLS, OAB, EWS e políticas de utilizador — sem qualquer intervenção manual. Quando falha, o utilizador fica sem acesso ao email, entra em loop de credenciais ou recebe avisos de certificado inválido. Este guia cobre o diagnóstico completo para ambientes Exchange On-Premises, Microsoft 365 e híbridos.
📋 Índice
1. Como Funciona o Autodiscover
O Outlook testa os seguintes endpoints por ordem de preferência, parando assim que obtém uma resposta válida:
| # | Endpoint / Método | Ambiente |
|---|---|---|
| 1 | SCP (Service Connection Point) no Active Directory | On-Premises / Híbrido |
| 2 | https://autodiscover.dominio.pt/autodiscover/autodiscover.xml | On-Premises / M365 |
| 3 | https://dominio.pt/autodiscover/autodiscover.xml | On-Premises |
| 4 | DNS SRV: _autodiscover._tcp.dominio.pt |
On-Premises / M365 |
| 5 | https://autodiscover-s.outlook.com | Microsoft 365 |
| 6 | Redirect HTTP → HTTPS (se configurado) | Genérico |
⚠️ Nota importante: O Outlook 2016+ e o New Outlook ignoram o SCP e dão prioridade ao DNS externo. Em ambientes híbridos, isto pode provocar redirects incorretos para o Exchange Online sem aviso ao utilizador.
2. Identificar os Sintomas
Os problemas de Autodiscover manifestam-se de formas distintas consoante o cliente e o ambiente:
- Janela de credenciais em loop no arranque do Outlook
- Erro “A ligação ao Microsoft Exchange está indisponível”
- Aviso de certificado SSL inválido ou nome não coincidente
- Outlook a apontar para servidor errado (ex: IP interno em vez de FQDN)
- M365: Outlook a usar endpoint on-premises em vez do Exchange Online
- New Outlook / Outlook para Mac sem conectividade após migração
- OAB (Offline Address Book) desatualizado ou em falta
- EWS com falha — calendário e contactos não sincronizam
3. Ferramentas de Diagnóstico
3.1 — Microsoft Remote Connectivity Analyzer
Ferramenta gratuita da Microsoft disponível em testconnectivity.microsoft.com — testa Autodiscover, EWS, ActiveSync e SMTP externamente. Ideal para diagnóstico inicial sem acesso ao servidor.
Testes recomendados:
- Outlook Autodiscover
- Exchange ActiveSync Autodiscover
- Inbound SMTP Email
3.2 — Outlook: Teste Autodiscover Local
No Outlook clássico, forçar o teste do Autodiscover diretamente do cliente:
- Fechar qualquer janela de erro do Outlook
- Manter Ctrl e clicar com o botão direito no ícone do Outlook na barra de tarefas
- Selecionar “Testar configuração automática de email”
- Preencher o endereço de email e clicar em “Testar”
- Analisar os separadores “Resultados” e “Registo”
💡 Dica: O separador “Registo” mostra todos os URLs testados pelo Outlook e a resposta de cada um — essencial para identificar exatamente onde está a falha.
3.3 — PowerShell: Exchange On-Premises
PowerShell — Exchange Management Shell
# Verificar URLs do Autodiscover no Exchange
Get-ClientAccessService | Select Name, AutoDiscoverServiceInternalUri
Get-AutodiscoverVirtualDirectory | Select Server, InternalUrl, ExternalUrl
# Verificar SCP
Get-ClientAccessService -Identity SERVIDOR | Select AutoDiscoverServiceInternalUri
# Testar Autodiscover internamente
Test-OutlookWebServices -Identity [email protected] -MailboxCredential (Get-Credential)
3.4 — Verificação de DNS
PowerShell / CMD
# Testar registo DNS A do Autodiscover
Resolve-DnsName autodiscover.dominio.pt
nslookup autodiscover.dominio.pt 8.8.8.8
# Verificar registo SRV
nslookup -type=SRV _autodiscover._tcp.dominio.pt
# Verificar CNAME (M365)
nslookup -type=CNAME autodiscover.dominio.pt
3.5 — Teste Manual via cURL / OpenSSL
Bash / PowerShell
# Teste direto ao endpoint Autodiscover
curl -v -k https://autodiscover.dominio.pt/autodiscover/autodiscover.xml
# Com autenticação Basic (Exchange On-Premises)
curl -v -k -u [email protected] https://mail.dominio.pt/autodiscover/autodiscover.xml
# Verificar certificado TLS
openssl s_client -connect autodiscover.dominio.pt:443 -servername autodiscover.dominio.pt
💡 Dica: No powershell ao usar o comando com o “curl” colocar curl.exe.
4. Causas Mais Comuns e Como Resolver
4.1 — Registo DNS Autodiscover em Falta ou Errado
O DNS é a causa número um de falhas no Autodiscover, especialmente em migrações para Microsoft 365 onde o gestor de DNS não foi atualizado.
| Ambiente | Tipo de Registo | Valor Correto |
|---|---|---|
| Microsoft 365 | CNAME |
autodiscover.outlook.com |
| Exchange On-Premises | A / CNAME |
IP ou FQDN do CAS |
| Híbrido | CNAME → M365 |
autodiscover.outlook.com |
| SRV (alternativo) | SRV |
_autodiscover._tcp → mail.dominio.pt:443 |
DNS Zone — Exemplos
# Registo CNAME para M365 (zona DNS externa)
autodiscover.dominio.pt. IN CNAME autodiscover.outlook.com.
# Registo SRV alternativo ao CNAME
_autodiscover._tcp.dominio.pt. IN SRV 0 0 443 mail.dominio.pt.
4.2 — Erro de Certificado SSL / SAN Incorreto
O Outlook valida o certificado SSL apresentado pelo servidor Autodiscover. Se o nome não corresponder ao hostname, o utilizador recebe um aviso de segurança.
Cenários frequentes:
- Certificado tem
mail.dominio.ptmas não temautodiscover.dominio.ptno SAN - Certificado expirado (verificar com
Get-ExchangeCertificate | Select NotAfter) - Certificado self-signed — não confiável por clientes externos
- Exchange a apresentar o certificado padrão em vez do personalizado
PowerShell — Exchange Management Shell
# Listar certificados e data de expiração
Get-ExchangeCertificate | Select Thumbprint, Subject, Services, NotAfter
# Atribuir certificado correto ao Autodiscover e IIS
Enable-ExchangeCertificate -Thumbprint <thumbprint> -Services IIS,SMTP
# Verificar bindings SSL no IIS
netsh http show sslcert ipport=0.0.0.0:443
⚠️ Atenção: O certificado deve incluir nos SANs: mail.dominio.pt, autodiscover.dominio.pt e o FQDN interno se for acedido internamente. Para M365, o CNAME para autodiscover.outlook.com resolve este requisito automaticamente.
4.3 — SCP Incorreto (On-Premises / Híbrido)
O SCP (Service Connection Point) é um objeto no Active Directory que aponta os clientes do domínio para o endpoint Autodiscover. Se estiver com URL errado, os clientes internos falham mesmo que o DNS externo esteja correto.
PowerShell — Exchange Management Shell
# Ver SCP atual
Get-ClientAccessService | Select Name, AutoDiscoverServiceInternalUri
# Corrigir SCP
Set-ClientAccessService -Identity SERVIDOR `
-AutoDiscoverServiceInternalUri https://mail.dominio.pt/autodiscover/autodiscover.xml
# M365 puro — remover SCP para evitar conflitos
Set-ClientAccessService -Identity SERVIDOR -AutoDiscoverServiceInternalUri $null
4.4 — Redirect para URL Errado (Ambiente Híbrido)
Em ambientes híbridos, o Outlook pode seguir um redirect incorreto entre On-Premises e Exchange Online, ficando preso num loop. Verificar e corrigir as Virtual Directories do Autodiscover:
PowerShell — Exchange Management Shell
# Corrigir URLs das Virtual Directories
Set-AutodiscoverVirtualDirectory `
-Identity ‘SERVIDOR\Autodiscover (Default Web Site)’ `
-ExternalUrl https://autodiscover.dominio.pt/autodiscover/autodiscover.xml `
-InternalUrl https://mail.dominio.pt/autodiscover/autodiscover.xml
# Registo de cliente para teste (APENAS diagnóstico — não usar em produção)
# HKCU\Software\Microsoft\Office\16.0\Outlook\AutoDiscover
# DWORD: ExcludeScpLookup = 1
4.5 — IIS: Application Pool com Problemas
O serviço Autodiscover é exposto pelo IIS no servidor Exchange. Problemas no Application Pool causam erros HTTP 500 ou 503 sem aviso explícito ao utilizador.
PowerShell — Windows
# Verificar estado dos Application Pools
Import-Module WebAdministration
Get-WebConfiguration system.applicationHost/applicationPools/add | Select name, state
# Reiniciar Application Pool do Autodiscover
Restart-WebAppPool -Name MSExchangeAutodiscoverAppPool
# Verificar logs IIS (últimas 50 entradas com autodiscover)
Get-Content ‘C:\inetpub\logs\LogFiles\W3SVC1\u_ex*.log’ | `
Select-String ‘autodiscover’ | Select-Object -Last 50
4.6 — Modern Authentication (OAuth 2.0) Mal Configurada
Com a Modern Authentication ativada no M365, o Outlook usa tokens OAuth em vez de autenticação Basic. Se o tenant tiver configuração inconsistente, o Autodiscover falha na autenticação.
PowerShell — Exchange Online
# Verificar estado do Modern Auth no Exchange Online
Get-OrganizationConfig | Select OAuth2ClientProfileEnabled
# Ativar Modern Auth (se desativado)
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
# Registo de cliente para forçar Modern Auth no Autodiscover (Outlook 2016+)
# HKCU\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover
# DWORD: 1
5. Checklist de Diagnóstico Rápido
📋 Percorrer esta checklist na ordem indicada — da causa mais simples para a mais complexa — poupa tempo e evita alterações desnecessárias na configuração.
| ✓ | Verificação | Ferramenta |
|---|---|---|
| ☐ | Registo DNS autodiscover.dominio.pt resolve corretamente |
nslookup / dig |
| ☐ | Certificado SSL válido e com SAN correto | openssl / navegador |
| ☐ | Endpoint responde com XML válido (HTTP 200) | cURL / ExRCA |
| ☐ | SCP aponta para URL acessível internamente | PowerShell Exchange |
| ☐ | IIS / Application Pool ativo e sem erros | IIS Manager / logs |
| ☐ | ExternalUrl e InternalUrl das Virtual Directories corretos | PowerShell Exchange |
| ☐ | Firewall permite HTTPS saída para *.outlook.com (M365) |
Firewall / Proxy |
| ☐ | Modern Auth ativo e consistente no tenant (M365) | PowerShell / AAD |
| ☐ | Perfil Outlook recriado após correções aplicadas | Painel de Controlo |
6. Cenários Frequentes no Mercado Português
Cenário A
M365 com domínio .pt sem registo Autodiscover
Situação típica em migrações rápidas para M365 onde o DNS não foi atualizado. O Outlook tenta os endpoints locais e falha por ausência de resposta.
✅ Solução: Criar CNAME autodiscover.dominio.pt → autodiscover.outlook.com no gestor de DNS (Sapo/MEO Empresas, NOS, Cloudflare, etc.).
Cenário B
Exchange On-Premises com certificado expirado
O certificado SSL do servidor Exchange expirou ou foi renovado sem ser atribuído ao IIS. O Outlook apresenta aviso de certificado e alguns clientes recusam a ligação.
✅ Solução: Renovar o certificado, garantir que autodiscover.dominio.pt está no SAN e executar Enable-ExchangeCertificate -Services IIS,SMTP.
Cenário C
Ambiente Híbrido com redirect loop
O Exchange On-Premises está configurado para redirecionar para M365 mas o SCP ainda aponta para o servidor local. Utilizadores internos ficam presos num loop de autenticação.
✅ Solução: Atualizar o SCP para autodiscover.outlook.com ou remover o SCP para forçar resolução via DNS externo.
Cenário D
New Outlook não conecta após migração para M365
O New Outlook (e Outlook para Mac) não usa SCP — depende exclusivamente de DNS e Modern Auth. Se o CNAME não estiver criado ou o Modern Auth não estiver ativo, não conecta independentemente de outras configurações.
✅ Solução: Verificar CNAME DNS, ativar OAuth2ClientProfileEnabled no Exchange Online e confirmar que as políticas de Acesso Condicional do Azure AD são compatíveis com o cliente.
7. Referências e Recursos Adicionais
- Microsoft Remote Connectivity Analyzer
- Microsoft Docs — Autodiscover service (Exchange)
- Autodiscover for Exchange (EWS)
- M365 DNS Records Reference
🔗 Artigos Relacionados no kbase.pt
