harley-mike
Goto Top

Der Name des Sicherheitszertifikats ist ungültig

Hallo Zusammen,
dies mein erster Eintrag da ich, auf die Schnelle, nicht weiterkomme:
Aufgabe: Migration SBS2011 - Exchange 2010 auf Exchange 2016
Zertifikat: extern gekauftes und importiert
Migration hat funktioniert. OWA / Mailversand - empfang funktionieren. Clients: Outlook 2010
Problem: bei den meisten Clients kommt Meldung:

"Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyservers vor.
Der Name des Sicherheitszertifikates ist ungültig oder entspricht nicht
dem Name der Zielwebseite `exchange.meinedomain.local`.

Von Outlook kann keine Verbindung mit dem Proxyserver hergestellt
werden (Fehlercode: 10)."


Das Zertifikat lautet auf "mail.domain.de"

Es funktioniert alles, wie aber bekomme ich die Fehlermeldung weg?

Danke für Eure Hilfe

Mike

Content-ID: 636070

Url: https://administrator.de/forum/der-name-des-sicherheitszertifikats-ist-ungueltig-636070.html

Ausgedruckt am: 24.12.2024 um 01:12 Uhr

tech-flare
tech-flare 28.12.2020 um 22:47:15 Uhr
Goto Top
Hallo Zusammen,
Hallo
Aufgabe: Migration SBS2011 - Exchange 2010 auf Exchange 2016
Aufgabe als was? Mitarbeiter? Dienstleister?
//"Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyservers vor.
Der Name des Sicherheitszertifikates ist ungültig oder entspricht nicht
dem Name der Zielwebseite `exchange.meinedomain.local`.
Hier siehst du den Fehler.
Das Zertifikat lautet auf "mail.domain.de"
Es funktioniert alles, wie aber bekomme ich die Fehlermeldung weg?
Du musst den Exchange anpassen. Das Zertifikat
Kann kein .local enthalten.

Der Zertifikatsname muss mit dem des Exchange übereinstimmen. Besser bzw einfacher wäre ein Wildcard Zertifikat

Gruß
tikayevent
tikayevent 28.12.2020 um 22:57:43 Uhr
Goto Top
Ich bin jetzt nicht so der Exchange-Überspezi, aber man kann/muss an einigen Stellen die URL eintragen. Zum Teil im IIS, zum Teil in der Client Access Rolle eines jeden Servers und in der Powershell gibt es auch noch entsprechende Einträge. Ich hab gerade kein System, um die Stellen rauszusuchen, aber diese Stellen einfach mal finden und prüfen, wo es drinsteht. Ich würde mit der Client Access-Rolle anfangen.
Mosurama
Mosurama 28.12.2020 um 23:20:46 Uhr
Goto Top
Hallo,

bei Exchange Migration führt nichts an frankysweb vorbei:

www.frankysweb.de/

ansonsten mache ich die URL-Änderungen auch noch nach dieser Anleitung:

configure internal and external urls in exchange 2016
Harley-Mike
Harley-Mike 29.12.2020 um 00:01:26 Uhr
Goto Top
HI, danke für die schnellen Meldungen.
1.) Dienstleister - aber spielt ja keine Rolle. Bereits 20 Jahre dabei
2.) frankysweb hilft. Gehe gerade nach seiner Anleitung vor.
Sieht gut aus. Mehr aber morgen wenn ich weitere Clients einbinde. Anpassungen und Neueinrichtung des lokalen Profils könnte Lösung sein.
Danke erst einmal
StefanKittel
StefanKittel 29.12.2020 aktualisiert um 01:33:25 Uhr
Goto Top
Zitat von @tech-flare:
Der Zertifikatsname muss mit dem des Exchange übereinstimmen. Besser bzw einfacher wäre ein Wildcard Zertifikat
Deutlich besser weil dann auch autodiscover.domain.de abgedeckt ist.
Dies führt das, je nach Umgebung, zu Zertifikatsfehlern.

Ich stelle die internen und externen URLs immer auf mail.firma.de.
Dazu Split DNS. Heist der Client bekommt intern die LAN IP für diese Hostnamen und externe Clients die WAN IP für mail.firma.de.

Der Support für Office 2010 ist bereits abgelaufen.
Aus Sicherheitsgründen würde ich das nicht mehr einsetzten.

Es wird Dir vermutlich bei irgendeinem Update des Exchange um die Ohren fliegen.
Hatte ich mit Outlook 2007 damals gesehen als Microsoft die Verschlüsselung am Exchange geändert hatte.

Über eine Firewall oder Sicherheitslösung für den Zugriff aus dem Internet solltest Du nachdenken wenn es noch keine gibt.

Stefan
Alianna
Alianna 29.12.2020 um 07:43:53 Uhr
Goto Top
thanx
Harley-Mike
Harley-Mike 29.12.2020 um 10:51:34 Uhr
Goto Top
Hi Stefan,
so wie es aussieht habe ich es über die URL´s von Frankysweb hin bekommen. Ohne Wildcardzertifikat.
Das mit Office 2010 ist mir natürlich bekannt und ich hoffe dass MS mal etwas ändert damit meine Kunden umsteigen müssen. Solange es aber läuft fehlen mir die Argumente.
Der genannte Fehler ist auch bei Office 2016 aufgetreten.
Na ja und Firewall Portweiterleitung etc. sind natürlich vorhanden. Aber trotzdem danke.
tech-flare
tech-flare 29.12.2020 aktualisiert um 11:27:08 Uhr
Goto Top
Zitat von @Harley-Mike:

Hi Stefan,
so wie es aussieht habe ich es über die URL´s von Frankysweb hin bekommen.
Ok.
Ohne Wildcardzertifikat.
Klar klappt das auch ohne Wildcard. Du musst nur aufpassen, wenn die die Geräte nach autodiscover.Domain.de Suchen und das nicht als alternativer Name im CERT steht.

Das mit Office 2010 ist mir natürlich bekannt und ich hoffe dass MS mal etwas ändert damit meine Kunden umsteigen müssen. Solange es aber läuft fehlen mir die Argumente.
- ungepatche Sicherheitslücken?
- kein offizieller support seitens Hersteller?
Das sind keine Argumente? Ich würde dafür keinen support übernehmen bzw. mich schriftlich von der Haftung befreien lassen.

Na ja und Firewall Portweiterleitung etc. sind natürlich vorhanden.
Ich hoffe ihr habt eine WAF davor und der steht nicht blank im Netz ... nur so als Info face-smile

Gruß
117471
117471 29.12.2020 um 16:57:35 Uhr
Goto Top
Hallo,

Zitat von @Harley-Mike:

Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyservers vor.

Was für einen Proxyserver hast Du denn dazwischengeschaltet?

Der Name des Sicherheitszertifikates ist ungültig oder entspricht nicht
dem Name der Zielwebseite `exchange.meinedomain.local`.

Das hätte mich auch gewundert. Eine externe Zertifizierungstelle wird Dir sicher kein Zertifikat für eine lokale Domain ausstellen - das machst Du letztendlich selber über deine eigene, im SBS2011 enthaltene CA.

Normalerweise zieht man immer erst mal die Hostnamen für's Autodiscover gerade. Ich ziehe die internen und externen URIs grundsätzlich gleich und arbeite dann mit Split-DNS.

Anzumerken wäre auch, dass sich Apple-Geräte an .local Domains stören. Bei einem entsprechend großen Umbau bietet es sich an, das gleich mit geradezuziehen.

Gruß,
Jörg

P.S.: Bist Du sicher, dass Du der Richtige für den Job bist? Das ist elementäres Hintergrundwissen und dass Du nicht einmal die eindeutige (deutschsprachige) Fehlermeldung verstehst legt die Vermutung nahe, dass Du dich ziemlich pragmatisch auf eine extrem schwierige Aufgabe stürzt...
Harley-Mike
Harley-Mike 30.12.2020 um 13:27:14 Uhr
Goto Top
Hallo Jörg,
es ist kein Proxyserver dazwischen geschaltet und wie schrieb ich in der letzten Zeile:

"Es funktioniert alles, wie aber bekomme ich die Fehlermeldung weg"

Inzwischen läuft alles, ohne Fehlermeldung. Und ob ich der Richtige für den Job bin entscheiden meine Kunden. Und die sind mehr als zufrieden nachdem ich den "Job" bereits 20 Jahre erfolgreich mache. Und so schwierig war die Aufgabe dann doch nicht.

Gruß Michael