11
Exchange 2007 und Zertifikate
Hallo Ihr
ich habe ein grundsätzliches Verständnissproblem mit den Exchangezertifikaten.
Ich habe einen einzelnen Exchangeserver mit nur einem Namespace bzw. Domain.
Nehmen wir als Beispiel einfach als Domain "contoso.de" - intern natürlich "contoso.local" und der Mailserver heißt: "mailserver"
Jetzt möchte ich ein Zertifikat bei Verisign kaufen. Dort muss ich die Subject Alternate Name (SAN) angben.
Welche sind das in diesem Fall? Wo ich mir sicher bin ist:
(WINS-Name + FQDN)
- mailserver
- mailserver.contoso.de
Aber was ist mit:
- mailserver.contoso.local ???
- autodiscover.contoso.local ???
- autodiscover.contoso.de ???
Ich habe bei Exchange immer 2 Domains. *.local und *.de
Ich verstehe nicht wie ich mit *.local umgehen muss??
Vielen Dank für die wahrscheinliche bescheuerte Frage....
Viele Grüße
ich habe ein grundsätzliches Verständnissproblem mit den Exchangezertifikaten.
Ich habe einen einzelnen Exchangeserver mit nur einem Namespace bzw. Domain.
Nehmen wir als Beispiel einfach als Domain "contoso.de" - intern natürlich "contoso.local" und der Mailserver heißt: "mailserver"
Jetzt möchte ich ein Zertifikat bei Verisign kaufen. Dort muss ich die Subject Alternate Name (SAN) angben.
Welche sind das in diesem Fall? Wo ich mir sicher bin ist:
(WINS-Name + FQDN)
- mailserver
- mailserver.contoso.de
Aber was ist mit:
- mailserver.contoso.local ???
- autodiscover.contoso.local ???
- autodiscover.contoso.de ???
Ich habe bei Exchange immer 2 Domains. *.local und *.de
Ich verstehe nicht wie ich mit *.local umgehen muss??
Vielen Dank für die wahrscheinliche bescheuerte Frage....
Viele Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 155101
Url: https://administrator.de/contentid/155101
Ausgedruckt am: 25.11.2024 um 12:11 Uhr
11 Kommentare
Neuester Kommentar
Was willst Du mit dem Zertifikat erreichen?
Von Außen z.B. für Handys erreichbar sein oder OWA nutzen?
Von Außen z.B. für Handys erreichbar sein oder OWA nutzen?
Hei,
erst mal vielen Dank für die Antwort.
Ja, ich möchte OWA und ActiveSync nutzen.
Viele Grüsse...
erst mal vielen Dank für die Antwort.
Ja, ich möchte OWA und ActiveSync nutzen.
Viele Grüsse...
Hi,
es kommt auf deinen öffentlichen Namen an. Also den im DNS. Wenn du z.b. owa.contoso.de auf deine feste IP routen lässt muss auch das Zertifikat auf owa.contoso.de ausgestellt sein. Active Sync tut hier auch. Wenn du von intern auch activesyncen willst (über USB-Kabel) musst du dir halt eine contoso.de Zone in deinem DNS anlegen und da den beispielhaften Eintrag owa als Host (A) auf deine interne IP des Exchange.
Kurz und Knapp, aber es Essen is fertig
Gruß MiniStrator
es kommt auf deinen öffentlichen Namen an. Also den im DNS. Wenn du z.b. owa.contoso.de auf deine feste IP routen lässt muss auch das Zertifikat auf owa.contoso.de ausgestellt sein. Active Sync tut hier auch. Wenn du von intern auch activesyncen willst (über USB-Kabel) musst du dir halt eine contoso.de Zone in deinem DNS anlegen und da den beispielhaften Eintrag owa als Host (A) auf deine interne IP des Exchange.
Kurz und Knapp, aber es Essen is fertig
Gruß MiniStrator
Hi
Wir haben das anderst gelöst....
Wir haben uns ein klassischens Wildcard gelöst... *.contoso.com...
Hat den riesen vorteil, kann für alle subdomains genutzt werden, jedoch den Nachteil, is ein bisserl teuerer....
Aber hat sich bei uns schon bezahlt gemacht, schliesslich nutzen wir dieses schon für Sync (OMA) mail. (OWA) und in Zukunft auch noch für Citrix ..
3 Zertifikate sind erheblich teurer...
Kläre ab, was du noch alles brauchst... Nimm das Wildcard, und du musst nicht mehr den Zertifikaten nachrennen.
Gruess uss dr schwyyyz
Fredy
Wir haben das anderst gelöst....
Wir haben uns ein klassischens Wildcard gelöst... *.contoso.com...
Hat den riesen vorteil, kann für alle subdomains genutzt werden, jedoch den Nachteil, is ein bisserl teuerer....
Aber hat sich bei uns schon bezahlt gemacht, schliesslich nutzen wir dieses schon für Sync (OMA) mail. (OWA) und in Zukunft auch noch für Citrix ..
3 Zertifikate sind erheblich teurer...
Kläre ab, was du noch alles brauchst... Nimm das Wildcard, und du musst nicht mehr den Zertifikaten nachrennen.
Gruess uss dr schwyyyz
Fredy
Hei,
ok - das mit dem Wildcard klingt plausibel und ein guter Gedankenanreiz. Aber mir geht es mehr um die TLD - *.local & *.de
Was passiert, wenn ich "nur"
- mailserver
- mailserver.contoso.de
angebe.....
Funktioniert dann noch mein "autodiscover" von intern und mein OWA von intern sowie mein Outlookzugriff per Mapi????
Mit der OWA als A klingt logisch - aber was ist mit autodiscover und mapi....
1. Wildcard ist eine Überlegung wert - löst aber nicht mein Problem
2. @ Ministrator - klingt irgendwie logisch - aber funktioniert denn dann noch der Outlookzugriff per Mapi sowie Autodiscover??
ok - das mit dem Wildcard klingt plausibel und ein guter Gedankenanreiz. Aber mir geht es mehr um die TLD - *.local & *.de
Was passiert, wenn ich "nur"
- mailserver
- mailserver.contoso.de
angebe.....
Funktioniert dann noch mein "autodiscover" von intern und mein OWA von intern sowie mein Outlookzugriff per Mapi????
Mit der OWA als A klingt logisch - aber was ist mit autodiscover und mapi....
1. Wildcard ist eine Überlegung wert - löst aber nicht mein Problem
2. @ Ministrator - klingt irgendwie logisch - aber funktioniert denn dann noch der Outlookzugriff per Mapi sowie Autodiscover??
Hi
Dem Wildcard kann ich nur voll und ganz zustimmen. Ist alles einfacher und evtl auch günstiger.
Wenn ihr 'nur' Owa etc. machen wollt, warum dann so ein hochheiliges Verisign Zertifikat für ein paar hundert Euro? Da gibt es doch günstigere Alternativen, so für 69€/3 Jahre oder 109 für 5. Wildcard 3 Jahre 499.
Ich poste hier mal lieber keinen Link, falls Interesse schick ich dir ne PN. (Ist keine Schleichwerbung oder so, wir kaufen da halt unsere Zertifikate)
Gruß MiniStrator
Dem Wildcard kann ich nur voll und ganz zustimmen. Ist alles einfacher und evtl auch günstiger.
Wenn ihr 'nur' Owa etc. machen wollt, warum dann so ein hochheiliges Verisign Zertifikat für ein paar hundert Euro? Da gibt es doch günstigere Alternativen, so für 69€/3 Jahre oder 109 für 5. Wildcard 3 Jahre 499.
Ich poste hier mal lieber keinen Link, falls Interesse schick ich dir ne PN. (Ist keine Schleichwerbung oder so, wir kaufen da halt unsere Zertifikate)
Gruß MiniStrator
Klaro - Interesse... bin für alles offen.... schickst du mir bitte ne PN??
Hi,
also bei uns gehts wunderbar. Wir haben intern noch ein selbsterstelltes Zertifikat auf servername.domain.bla. Outlook ist hochzufrieden damit, Autodiscover tut auch. Was ich noch nicht probiert habe weil nicht erwünscht ist Outlook Anywhere.
Das offizielle Zert lautet auf owa.bla.bla und tut für OWA und syncen mit dem Windows Mobile geht auch wunderbar.
Gruß MiniStrator
also bei uns gehts wunderbar. Wir haben intern noch ein selbsterstelltes Zertifikat auf servername.domain.bla. Outlook ist hochzufrieden damit, Autodiscover tut auch. Was ich noch nicht probiert habe weil nicht erwünscht ist Outlook Anywhere.
Das offizielle Zert lautet auf owa.bla.bla und tut für OWA und syncen mit dem Windows Mobile geht auch wunderbar.
Gruß MiniStrator
HI @ all un guten Morgen
Der Exchange kann seine Zertifikate für Intern selber erstellen. ist relativ einfach. Danach (jedenfalls beim 2007 Exchange) kannst Du via CMDlet das Zertifikat auf dem Exchange so registrieren, dass die Zertifikatmeldungen beim Klient verschwinden...
Die internen Exchange Zertifikate sind einfach nur 12 Monate gültig....
Für die Syncronisation, pass einfach auf, nimm einen Herstell, welcher bereits auf dem Mobile drauf ist mit einem Trust... Ansonsten musst Du das Zertifikat umständlich auf jedem Gerät installieren.....
Das spricht auch noch für ein externes "offizielles" Zertifikat...
Okay wenns nur um ein Gerät geht, passt das aber wenns um mehrere Geräte geht, wirds mühsam.
Gruess uss dr Schwyyyz
Fredy
Der Exchange kann seine Zertifikate für Intern selber erstellen. ist relativ einfach. Danach (jedenfalls beim 2007 Exchange) kannst Du via CMDlet das Zertifikat auf dem Exchange so registrieren, dass die Zertifikatmeldungen beim Klient verschwinden...
Die internen Exchange Zertifikate sind einfach nur 12 Monate gültig....
Für die Syncronisation, pass einfach auf, nimm einen Herstell, welcher bereits auf dem Mobile drauf ist mit einem Trust... Ansonsten musst Du das Zertifikat umständlich auf jedem Gerät installieren.....
Das spricht auch noch für ein externes "offizielles" Zertifikat...
Okay wenns nur um ein Gerät geht, passt das aber wenns um mehrere Geräte geht, wirds mühsam.
Gruess uss dr Schwyyyz
Fredy
OK,
wie würde das im folgenden Beispiel aussehen:
Zert-Aussteller: Verisign
Name des Mailserver: mailserver
Domäne: domaene.local
Akzeptiere Domänen in Exchange: domaene.local, domaene.de
1. Ich erstelle wie folgt den Request in der Exchange Powershell:
New-ExchangeCertificate -GenerateRequest -SubjectName "C=DE, S=BAYERN, L=CITY, O=FIRMA, OU=IT, CN=mailserver.domaene.de" -privatekeyexportable:$true -keysize 1024 -Path c:\certificate_request.txt
https://knowledge.verisign.de/support/ssl-certificates-support/index?vpr ...
2. Beim Einreichen gebe ich die SAN (alle erreichbaren Namen) an:
- mailserver
- mailserver.domaene.de
- autodiscover.domaene.de
3. Das erhaltene Zertifikat importieren:
Import-ExchangeCertificate -Path c:\cert.cer
4. Dem Zertifikat die Dienste zuweisen
Enable-ExchangeCertificate -thumbprint blubberlaberlatsch -Services IIS,POP,IMAP,SMTP
(Abfrage des Thumbprints mittels Get-ExchangeCertificate | fl)
5. Zertifikat wird funktionieren - ABER WIE ERSTELLE ICH JETZT DAS ZERTIFIKAT FÜR
- AUTODISCOVER.DOMAENE.LOCAL
- MAILSERVER.DOMAENE.LOCAL
New-ExchangeCertificate -SubjectName "C=DE, S=BAYERN, L=CITY, O=FIRMA, OU=IT, CN=mailserver.domaene.local, autodiscover.domaene.local"
Enable-ExchangeCertificate -thumbprint des selbsterstellen Zertifikates -Services IIS,POP,IMAP,SMTP
Ist das soweit richtig?????????
Alternative:
Ich erstelle eine secondary zone im DNS namens "domaene.de"
setze dort zwei A - Einträge namens
A - autodiscover auf die IP des lokalen Servers (sich selber)
A - mailserver auf die IP des lokalen Server (sich selber)
Ist das ausreichend, oder muss ich noch weitere Eintrage wie z.B. SRV - Einträge oder ähnliches vornhmen.
Vielen Dank für eure Antworten
Viele Grüße
wie würde das im folgenden Beispiel aussehen:
Zert-Aussteller: Verisign
Name des Mailserver: mailserver
Domäne: domaene.local
Akzeptiere Domänen in Exchange: domaene.local, domaene.de
1. Ich erstelle wie folgt den Request in der Exchange Powershell:
New-ExchangeCertificate -GenerateRequest -SubjectName "C=DE, S=BAYERN, L=CITY, O=FIRMA, OU=IT, CN=mailserver.domaene.de" -privatekeyexportable:$true -keysize 1024 -Path c:\certificate_request.txt
https://knowledge.verisign.de/support/ssl-certificates-support/index?vpr ...
2. Beim Einreichen gebe ich die SAN (alle erreichbaren Namen) an:
- mailserver
- mailserver.domaene.de
- autodiscover.domaene.de
3. Das erhaltene Zertifikat importieren:
Import-ExchangeCertificate -Path c:\cert.cer
4. Dem Zertifikat die Dienste zuweisen
Enable-ExchangeCertificate -thumbprint blubberlaberlatsch -Services IIS,POP,IMAP,SMTP
(Abfrage des Thumbprints mittels Get-ExchangeCertificate | fl)
5. Zertifikat wird funktionieren - ABER WIE ERSTELLE ICH JETZT DAS ZERTIFIKAT FÜR
- AUTODISCOVER.DOMAENE.LOCAL
- MAILSERVER.DOMAENE.LOCAL
New-ExchangeCertificate -SubjectName "C=DE, S=BAYERN, L=CITY, O=FIRMA, OU=IT, CN=mailserver.domaene.local, autodiscover.domaene.local"
Enable-ExchangeCertificate -thumbprint des selbsterstellen Zertifikates -Services IIS,POP,IMAP,SMTP
Ist das soweit richtig?????????
Alternative:
Ich erstelle eine secondary zone im DNS namens "domaene.de"
setze dort zwei A - Einträge namens
A - autodiscover auf die IP des lokalen Servers (sich selber)
A - mailserver auf die IP des lokalen Server (sich selber)
Ist das ausreichend, oder muss ich noch weitere Eintrage wie z.B. SRV - Einträge oder ähnliches vornhmen.
Vielen Dank für eure Antworten
Viele Grüße
Hei Ihr,
so - nun habe ich mir ein UCC-Zertifikat erstellen lassen.
SAN:
mailserver
mailserver.contoso.de
mailserver.contoso.local
autodiscover.contoso.de
Desweiteren habe ich bei meinem Provider eine Subdomain erstellt: autodiscover.contoso.de
Dessen DNS-Eintrag habe ich auf die feste IP des ExchangeServers (SBS2008) verweisen lassen.
Das Zertifikat funktioniert mit OWA und ActiveSync.
Autodiscover funktioniert intern
Autodiscover funktioniert nicht von EXTERN
1. Zuerst wird mittels SCP im AD nach https://autodiscover.contoso.local/autodiscover/autodiscover.xml gesucht
Geht vom Internet logischerweise nicht - (intern findet er den SCP im AD)
2. Danach versucht er mittels DNS einen SRV-Eintrag zu finden der auf https://autodiscover.contoso.de/autodiscover/autodiscover.xml verweist
Damit er Ihn finden kann habe ich zusätzlich eine Primäre DNS-Zone (contoso.de) mit einem SRV Eintrag (_autodiscover._tcp.contoso.de auf mailserver.contoso.local) erstellt.
Nun müsste es ihn doch finden - aber leider funktioniert es autodiscover vom Internet immer noch nicht!! Also habe ich die DNS-Zone contoso.de vom SBS wieder gelöscht....
Auf der Website "www.testexchangeconnectivity.com" habe ich es mit folgendem Ergebniss testen lassen:
Es wird versucht, die mögliche AutoErmittlungs-URL https://autodiscover.contoso.de/AutoDiscover/AutoDiscover.xml zu testen.
Fehler beim Testen dieser potenziellen AutoErmittlungs-URL.
Testschritte
Es wird versucht, den Hostnamen autodiscover.contoso.de im DNS aufzulösen.
Der Hostname wurde erfolgreich aufgelöst.
Weitere Details
Zurückgegebene IP-Adressen: 1.2.3.4
Es wird getestet, ob TCP-Port 443 auf Host autodiscover.contoso.de überwacht wird/geöffnet ist.
Der Port wurde erfolgreich geöffnet.
Die Gültigkeit des SSL-Zertifikats wird überprüft.
Das Zertifikat hat alle Überprüfungsanforderungen bestanden.
Testschritte
Der Zertifikatsname wird überprüft.
Zertifikatsnamen erfolgreich überprüft.
Weitere Details
Hostname autodiscover.contoso.de wurde im Eintrag für den alternativen Antragstellernamen des Zertifikats gefunden.
Zertifikatsvertrauensstellung wird überprüft.
Das Zertifikat wird als vertrauenswürdig angesehen, und in der Kette sind alle Zertifikate vorhanden.
Weitere Details
Die Zertifikatskette wurde bis zu einem vertrauenswürdigen Stamm überprüft. Stamm = CN=Entrust.net Secure Server Certification Authority, OU=(c) 1999 Entrust.net Limited, OU=www.entrust.net/CPS incorp. by ref. (limits liab.), O=Entrust.net, C=US.
Das Datum des Zertifikats wird getestet, um zu bestätigen, dass das Zertifikat gültig ist.
Datenüberprüfung bestanden. Das Zertifikat ist nicht abgelaufen.
Weitere Details
Das Zertifikat ist gültig. NotBefore = 11/18/2010 12:00:00 AM, NotAfter = 2/16/2012 11:59:59 PM
Die IIS-Konfiguration Wird im Hinblick auf die Clientzertifikatsauthentifizierung überprüft.
Keine Clientzertifikatsauthentifizierung erkannt.
Weitere Details
Clientzertifikate für Akzeptieren/Anfordern nicht konfiguriert.
Es wird versucht, dem AutoErmittlungsdienst eine POST-Anforderung zu senden, damit er URLs ggf. automatisch erkennen kann.
Beim Senden der POST-Anforderungen für die AutoErmittlung konnten keine AutoErmittlungseinstellungen abgerufen werden.
Testschritte
ExRCA versucht, eine XML-Antwort des AutoErmittlungsdiensts von URL https://autodiscover.contoso.de/AutoDiscover/AutoDiscover.xml für Benutzer mustermann@contoso.de abzurufen.
Von ExRCA konnte keine XML-Antwort von der AutoErmittlung abgerufen werden.
Weitere Details
Webausnahme aufgrund des Empfangs der Antwort 'HTTP 401 - Unauthorized' von Unknown.
Es wird versucht, mit der HTTP-Umleitungsmethode eine Verbindung zum AutoErmittlungsdienst herzustellen.
Fehler beim Verbindungsversuch zur AutoErmittlung mit der HTTP-Umleitungsmethode.
Testschritte
Es wird versucht, den Hostnamen autodiscover.contoso.de im DNS aufzulösen.
Der Hostname wurde erfolgreich aufgelöst.
Weitere Details
Zurückgegebene IP-Adressen: 5.6.7.8
Es wird getestet, ob TCP-Port 80 auf Host autodiscover.contoso.de überwacht wird/geöffnet ist.
Der Port wurde erfolgreich geöffnet.
AutoErmittlung von Host contoso.de wird von ExRCA für HTTP-Umleitung zum AutoErmittlungsdienst überprüft.
Von ExRCA konnte keine HTTP-Umleitungsantwort für die AutoErmittlung abgerufen werden.
Weitere Details
Webausnahme aufgrund des Empfangs der Antwort 'HTTP 404 - NotFound' von IIS7.
Es wird versucht, mit der DNS-SRV-Umleitungsmethode eine Verbindung zum AutoErmittlungsdienst herzustellen.
Mit der DNS-SRV-Umleitungsmethode konnte keine Verbindung von ExRCA zum AutoErmittlungsdienst hergestellt werden.
Testschritte
Es wird versucht, den SRV-Datensatz _autodiscover._tcp.contoso.de im DNS zu finden.
Der SRV-Datensatz für die AutoErmittlung wurde nicht in DNS gefunden.
----------------
Jetzt noch 2 Dinge:
1.
Bei diesem Test habe ich den Benutzername "UPN" also als E-Mailadresse angegeben.
Gebe ich domaene benutzername an - scheint der Test wie folgt erfolgreich zu sein.
Es wird versucht, dem AutoErmittlungsdienst eine POST-Anforderung zu senden, damit er URLs ggf. automatisch erkennen kann.
ExRCA hat AutoErmittlung-Einstellungen erfolgreich durch Senden von AutoErmittlung-POST-Daten abgerufen.
Testschritte
ExRCA versucht, eine XML-Antwort des AutoErmittlungsdiensts von URL https://autodiscover.contoso.de/AutoDiscover/AutoDiscover.xml für Benutzer mustermann@contoso.de abzurufen.
Die XML-Antwort der AutoErmittlung wurde erfolgreich abgerufen.
Wieso???? Wie kann ich das umstellen, damit auch UPN akzeptiert wird??? (Das wäre für die Smartphones wichtig, da die nur die E-Mailadresse und Passwort wollen!)
2.
Wieso findet er https://autodiscover.contoso.de/AutoDiscover/AutoDiscover.xml obwohl ich die DNS-Zone auf dem lokalen SBS gar nicht mehr existiert!!! (Hab jch ja wieder gelöscht)
Vielen Dank für eure Hilfe
so - nun habe ich mir ein UCC-Zertifikat erstellen lassen.
SAN:
mailserver
mailserver.contoso.de
mailserver.contoso.local
autodiscover.contoso.de
Desweiteren habe ich bei meinem Provider eine Subdomain erstellt: autodiscover.contoso.de
Dessen DNS-Eintrag habe ich auf die feste IP des ExchangeServers (SBS2008) verweisen lassen.
Das Zertifikat funktioniert mit OWA und ActiveSync.
Autodiscover funktioniert intern
Autodiscover funktioniert nicht von EXTERN
1. Zuerst wird mittels SCP im AD nach https://autodiscover.contoso.local/autodiscover/autodiscover.xml gesucht
Geht vom Internet logischerweise nicht - (intern findet er den SCP im AD)
2. Danach versucht er mittels DNS einen SRV-Eintrag zu finden der auf https://autodiscover.contoso.de/autodiscover/autodiscover.xml verweist
Damit er Ihn finden kann habe ich zusätzlich eine Primäre DNS-Zone (contoso.de) mit einem SRV Eintrag (_autodiscover._tcp.contoso.de auf mailserver.contoso.local) erstellt.
Nun müsste es ihn doch finden - aber leider funktioniert es autodiscover vom Internet immer noch nicht!! Also habe ich die DNS-Zone contoso.de vom SBS wieder gelöscht....
Auf der Website "www.testexchangeconnectivity.com" habe ich es mit folgendem Ergebniss testen lassen:
Es wird versucht, die mögliche AutoErmittlungs-URL https://autodiscover.contoso.de/AutoDiscover/AutoDiscover.xml zu testen.
Fehler beim Testen dieser potenziellen AutoErmittlungs-URL.
Testschritte
Es wird versucht, den Hostnamen autodiscover.contoso.de im DNS aufzulösen.
Der Hostname wurde erfolgreich aufgelöst.
Weitere Details
Zurückgegebene IP-Adressen: 1.2.3.4
Es wird getestet, ob TCP-Port 443 auf Host autodiscover.contoso.de überwacht wird/geöffnet ist.
Der Port wurde erfolgreich geöffnet.
Die Gültigkeit des SSL-Zertifikats wird überprüft.
Das Zertifikat hat alle Überprüfungsanforderungen bestanden.
Testschritte
Der Zertifikatsname wird überprüft.
Zertifikatsnamen erfolgreich überprüft.
Weitere Details
Hostname autodiscover.contoso.de wurde im Eintrag für den alternativen Antragstellernamen des Zertifikats gefunden.
Zertifikatsvertrauensstellung wird überprüft.
Das Zertifikat wird als vertrauenswürdig angesehen, und in der Kette sind alle Zertifikate vorhanden.
Weitere Details
Die Zertifikatskette wurde bis zu einem vertrauenswürdigen Stamm überprüft. Stamm = CN=Entrust.net Secure Server Certification Authority, OU=(c) 1999 Entrust.net Limited, OU=www.entrust.net/CPS incorp. by ref. (limits liab.), O=Entrust.net, C=US.
Das Datum des Zertifikats wird getestet, um zu bestätigen, dass das Zertifikat gültig ist.
Datenüberprüfung bestanden. Das Zertifikat ist nicht abgelaufen.
Weitere Details
Das Zertifikat ist gültig. NotBefore = 11/18/2010 12:00:00 AM, NotAfter = 2/16/2012 11:59:59 PM
Die IIS-Konfiguration Wird im Hinblick auf die Clientzertifikatsauthentifizierung überprüft.
Keine Clientzertifikatsauthentifizierung erkannt.
Weitere Details
Clientzertifikate für Akzeptieren/Anfordern nicht konfiguriert.
Es wird versucht, dem AutoErmittlungsdienst eine POST-Anforderung zu senden, damit er URLs ggf. automatisch erkennen kann.
Beim Senden der POST-Anforderungen für die AutoErmittlung konnten keine AutoErmittlungseinstellungen abgerufen werden.
Testschritte
ExRCA versucht, eine XML-Antwort des AutoErmittlungsdiensts von URL https://autodiscover.contoso.de/AutoDiscover/AutoDiscover.xml für Benutzer mustermann@contoso.de abzurufen.
Von ExRCA konnte keine XML-Antwort von der AutoErmittlung abgerufen werden.
Weitere Details
Webausnahme aufgrund des Empfangs der Antwort 'HTTP 401 - Unauthorized' von Unknown.
Es wird versucht, mit der HTTP-Umleitungsmethode eine Verbindung zum AutoErmittlungsdienst herzustellen.
Fehler beim Verbindungsversuch zur AutoErmittlung mit der HTTP-Umleitungsmethode.
Testschritte
Es wird versucht, den Hostnamen autodiscover.contoso.de im DNS aufzulösen.
Der Hostname wurde erfolgreich aufgelöst.
Weitere Details
Zurückgegebene IP-Adressen: 5.6.7.8
Es wird getestet, ob TCP-Port 80 auf Host autodiscover.contoso.de überwacht wird/geöffnet ist.
Der Port wurde erfolgreich geöffnet.
AutoErmittlung von Host contoso.de wird von ExRCA für HTTP-Umleitung zum AutoErmittlungsdienst überprüft.
Von ExRCA konnte keine HTTP-Umleitungsantwort für die AutoErmittlung abgerufen werden.
Weitere Details
Webausnahme aufgrund des Empfangs der Antwort 'HTTP 404 - NotFound' von IIS7.
Es wird versucht, mit der DNS-SRV-Umleitungsmethode eine Verbindung zum AutoErmittlungsdienst herzustellen.
Mit der DNS-SRV-Umleitungsmethode konnte keine Verbindung von ExRCA zum AutoErmittlungsdienst hergestellt werden.
Testschritte
Es wird versucht, den SRV-Datensatz _autodiscover._tcp.contoso.de im DNS zu finden.
Der SRV-Datensatz für die AutoErmittlung wurde nicht in DNS gefunden.
----------------
Jetzt noch 2 Dinge:
1.
Bei diesem Test habe ich den Benutzername "UPN" also als E-Mailadresse angegeben.
Gebe ich domaene benutzername an - scheint der Test wie folgt erfolgreich zu sein.
Es wird versucht, dem AutoErmittlungsdienst eine POST-Anforderung zu senden, damit er URLs ggf. automatisch erkennen kann.
ExRCA hat AutoErmittlung-Einstellungen erfolgreich durch Senden von AutoErmittlung-POST-Daten abgerufen.
Testschritte
ExRCA versucht, eine XML-Antwort des AutoErmittlungsdiensts von URL https://autodiscover.contoso.de/AutoDiscover/AutoDiscover.xml für Benutzer mustermann@contoso.de abzurufen.
Die XML-Antwort der AutoErmittlung wurde erfolgreich abgerufen.
Wieso???? Wie kann ich das umstellen, damit auch UPN akzeptiert wird??? (Das wäre für die Smartphones wichtig, da die nur die E-Mailadresse und Passwort wollen!)
2.
Wieso findet er https://autodiscover.contoso.de/AutoDiscover/AutoDiscover.xml obwohl ich die DNS-Zone auf dem lokalen SBS gar nicht mehr existiert!!! (Hab jch ja wieder gelöscht)
Vielen Dank für eure Hilfe
