15
Exchange 2010 Webservices - HTTPS Zertifikat-Probleme
Exchange 2010
Windows Server 2008 R2 Enterprise
Internet-Informationsdienste 7
Hallo,
ich weiß nicht ganz, ob ich in diesem Bereich des Forums richtig bin oder ob mein Problem in einen anderen Bereich gehört
zur Umgebung:
Wir haben hausintern 2 Domänencontroller und 2 Exchange-Server.
Eine Umgebung läuft mit Windows Server 2003 und dem Exchange-Server 2003. (Dom1)
Die Andere mit Windows Server 2008 R2 und Exchange 2010. (Dom2)
Zum Thema:
Auf der Umgebung mit Server 2008 soll nun der Zugriff auf die Exchange Webservices über HTTPS erfolgen und in Dom1 und Dom2 verfügbar sein.
Ich habe nach folgenden Anleitungen ein Domänenzertifikat erstellt . . .
OWA Zertifikat unter Server 2008
http://www.tecchannel.de/server/windows/1752569/iis_7_ssl_einrichten/
. . . und die Exchange Webservices auf den HTTPS-Zugriff so vorbereitet
http://blogs.msdn.com/b/dvespa/archive/2009/12/22/how-to-configure-a-ht ...
Nun ist es so, dass beim Aufruf der EWS über Dom2 folgende Warnung im Internet-Explorer erscheint.
Es besteht ein Problem mit dem Sicherheitszertifikat der Website.
Nach einem Klick auf "Laden fortsetzen" installiere ich das Zertifikat manuell in die "Vertrauenswürdigen Stammzertifizierungsstellen". Nachdem schließen des IE und wieder öffnen muss ich diesen Vorgang allerdings wiederholen.
Ich glaube, dass ich hier ein ungültiges Zertifikat erstellt habe. Oder wie seht ihr das?
Die Exchange Webservices über die Adresse https://localhost/ews ist auch nach installieren des Zertifikats nicht erreichbar.
Der IE zeigt an, dass "Diese Website erfordert, dass Sie sich anmelden."
Das sollte auch nicht so sein.
Zum Schluss wäre es auch noch schön, wenn der EWS der Dom2 über DOM1 auch erreichbar wäre. Aber das ist erst einmal Kosmetik.
Welche Informationen benötigt ihr noch?
Wisst ihr Rat?
Freue mich über jede Antwort.
Grüße
Tray
Windows Server 2008 R2 Enterprise
Internet-Informationsdienste 7
Hallo,
ich weiß nicht ganz, ob ich in diesem Bereich des Forums richtig bin oder ob mein Problem in einen anderen Bereich gehört
zur Umgebung:
Wir haben hausintern 2 Domänencontroller und 2 Exchange-Server.
Eine Umgebung läuft mit Windows Server 2003 und dem Exchange-Server 2003. (Dom1)
Die Andere mit Windows Server 2008 R2 und Exchange 2010. (Dom2)
Zum Thema:
Auf der Umgebung mit Server 2008 soll nun der Zugriff auf die Exchange Webservices über HTTPS erfolgen und in Dom1 und Dom2 verfügbar sein.
Ich habe nach folgenden Anleitungen ein Domänenzertifikat erstellt . . .
OWA Zertifikat unter Server 2008
http://www.tecchannel.de/server/windows/1752569/iis_7_ssl_einrichten/
. . . und die Exchange Webservices auf den HTTPS-Zugriff so vorbereitet
http://blogs.msdn.com/b/dvespa/archive/2009/12/22/how-to-configure-a-ht ...
Nun ist es so, dass beim Aufruf der EWS über Dom2 folgende Warnung im Internet-Explorer erscheint.
Es besteht ein Problem mit dem Sicherheitszertifikat der Website.
Nach einem Klick auf "Laden fortsetzen" installiere ich das Zertifikat manuell in die "Vertrauenswürdigen Stammzertifizierungsstellen". Nachdem schließen des IE und wieder öffnen muss ich diesen Vorgang allerdings wiederholen.
Ich glaube, dass ich hier ein ungültiges Zertifikat erstellt habe. Oder wie seht ihr das?
Die Exchange Webservices über die Adresse https://localhost/ews ist auch nach installieren des Zertifikats nicht erreichbar.
Der IE zeigt an, dass "Diese Website erfordert, dass Sie sich anmelden."
Das sollte auch nicht so sein.
Zum Schluss wäre es auch noch schön, wenn der EWS der Dom2 über DOM1 auch erreichbar wäre. Aber das ist erst einmal Kosmetik.
Welche Informationen benötigt ihr noch?
Wisst ihr Rat?
Freue mich über jede Antwort.
Grüße
Tray
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 158432
Url: https://administrator.de/contentid/158432
Ausgedruckt am: 08.11.2024 um 09:11 Uhr
15 Kommentare
Neuester Kommentar
Wenn du das über diese Anleitungen gemacht hast, hast du dir ein Selfsigned Zertifikat gemacht da ist es normal das der Internet Explorer diese meldung bringt :
Nach einem Klick auf "Laden fortsetzen" installiere ich das Zertifikat manuell in die "Vertrauenswürdigen Stammzertifizierungsstellen". Nachdem schließen des IE und wieder öffnen muss ich diesen Vorgang allerdings wiederholen.
Um die Meldung zu umgehen musst du das Zertifikat auf allen Clients installieren auf denen du das amchen willst.
Besser würde ich finden wenn du dir ein offizielles zertifikat kaufst und dieses verwendest den dann musst du nichts mehr auf den rechnern installieren und es geht von überall aus.
Ich würde ein multidomain Zertifikat nehmen und die interne und externe domain ins zertifikat eintragen lassen damit auch von deinen Internen Rechnern ein zugriff ohne zertifikatsfehler möglich ist.
LG Andreas Ausserwöger
Nach einem Klick auf "Laden fortsetzen" installiere ich das Zertifikat manuell in die "Vertrauenswürdigen Stammzertifizierungsstellen". Nachdem schließen des IE und wieder öffnen muss ich diesen Vorgang allerdings wiederholen.
Um die Meldung zu umgehen musst du das Zertifikat auf allen Clients installieren auf denen du das amchen willst.
Besser würde ich finden wenn du dir ein offizielles zertifikat kaufst und dieses verwendest den dann musst du nichts mehr auf den rechnern installieren und es geht von überall aus.
Ich würde ein multidomain Zertifikat nehmen und die interne und externe domain ins zertifikat eintragen lassen damit auch von deinen Internen Rechnern ein zugriff ohne zertifikatsfehler möglich ist.
LG Andreas Ausserwöger
Hi,
danke für die rasche Antwort.
Ich habe aber ein Domänenzertifikat erstellt und auch wenn ich das Zertifikat auf den Clients installiere, darf ich nach jedem neuen Aufruf, eben nach einem Neustart des IE, das Zertifikat wieder installieren.
Grüße
danke für die rasche Antwort.
Ich habe aber ein Domänenzertifikat erstellt und auch wenn ich das Zertifikat auf den Clients installiere, darf ich nach jedem neuen Aufruf, eben nach einem Neustart des IE, das Zertifikat wieder installieren.
Grüße
Zitat von @tray-park:
Hi,
danke für die rasche Antwort.
Ich habe aber ein Domänenzertifikat erstellt und auch wenn ich das Zertifikat auf den Clients installiere, darf ich nach
jedem neuen Aufruf, eben nach einem Neustart des IE, das Zertifikat wieder installieren.
Grüße
Hi,
danke für die rasche Antwort.
Ich habe aber ein Domänenzertifikat erstellt und auch wenn ich das Zertifikat auf den Clients installiere, darf ich nach
jedem neuen Aufruf, eben nach einem Neustart des IE, das Zertifikat wieder installieren.
Grüße
Ok dann gefällt deinem PC auf dem du das Zertifikat installierst der Domainname nicht. Das ist nicht zufällig ein interner Client der nicht über die externe domain auf das Webservice geht?
beispiel: Wenn das Zertifikat auf test.at läuft und der interne benutzer den link http:\\server1.test.local\Exchange verwendet stimmen die domains nicht zusammen.
PS: Du kannst auch noch über den Internet Explorer prüfen (punkt Zertifikate in den optionen) ob das Zertifikat auch in den vertrauenswürdigen Stammzertifizierungsstellen zu finden ist.
LG Andreas Ausserwöger
Zitat von @Ausserwoeger:
> Zitat von @tray-park:
> ----
Ok dann gefällt deinem PC auf dem du das Zertifikat installierst der Domainname nicht. Das ist nicht zufällig ein
interner Client der nicht über die externe domain auf das Webservice geht?
> Zitat von @tray-park:
> ----
Ok dann gefällt deinem PC auf dem du das Zertifikat installierst der Domainname nicht. Das ist nicht zufällig ein
interner Client der nicht über die externe domain auf das Webservice geht?
Also die Clients in der DOM2, also in der Domäne auf deren Exchange-Webservices zugreifen möchte, sprechen die EWS mit https://192.168.0.1/ews an. Dann tritt eben des genannte Problem auf.
Ein externer Zugriff, beispielsweise von Clients in der DOM1, ist derzeit noch gar nicht möglich.
beispiel: Wenn das Zertifikat auf test.at läuft und der interne benutzer den link http:\\server1.test.local\Exchange
verwendet stimmen die domains nicht zusammen.
verwendet stimmen die domains nicht zusammen.
???
PS: Du kannst auch noch über den Internet Explorer prüfen (punkt Zertifikate in den optionen) ob das Zertifikat auch in
den vertrauenswürdigen Stammzertifizierungsstellen zu finden ist.
den vertrauenswürdigen Stammzertifizierungsstellen zu finden ist.
Das Zertifikat ist dort zu finden.
Allerdings nicht über das MMC Snap-In "Zertifikate". Dort ist es nicht vorhanden.
LG Andreas Ausserwöger
Grüße
Tray
> beispiel: Wenn das Zertifikat auf test.at läuft und der interne benutzer den link http:\\server1.test.local\Exchange
> verwendet stimmen die domains nicht zusammen.
???
Damit meine ich wenn du über den internet explorer auf outlook webaccess zugreifst und der link im internet explorer auf die interne Domain lautet stimmt das zertifikat nicht da du es ja für die externe domain als den externen link ausgestellt hast.
> verwendet stimmen die domains nicht zusammen.
???
Damit meine ich wenn du über den internet explorer auf outlook webaccess zugreifst und der link im internet explorer auf die interne Domain lautet stimmt das zertifikat nicht da du es ja für die externe domain als den externen link ausgestellt hast.
Kurz du brauchst ein multidomain zertifikat um die meldung von intern und extern zu unterdrücken. da wird der fehler liegen.
LG Andreas Ausserwöger
Okay. Und dieses muss ich kaufen? Oder kann man das auch selbst erstellen?
Was mir viel wichtiger wäre.....
Seit ich das Zertifikat erstellt habe, kommt beim Aufruf der EWS Seite die Meldung
Was ist das für ein Problem?
Was mir viel wichtiger wäre.....
Seit ich das Zertifikat erstellt habe, kommt beim Aufruf der EWS Seite die Meldung
Die Website hat die Anzeige dieser Webseite abgelehnt.
HTTP 403
Wahrscheinlichste Ursachen:
• Diese Website erfordert, dass Sie sich anmelden. Zitat von @tray-park:
Okay. Und dieses muss ich kaufen? Oder kann man das auch selbst erstellen?
Was mir viel wichtiger wäre.....
Seit ich das Zertifikat erstellt habe, kommt beim Aufruf der EWS Seite die Meldung
Was ist das für ein Problem?
Okay. Und dieses muss ich kaufen? Oder kann man das auch selbst erstellen?
Was mir viel wichtiger wäre.....
Seit ich das Zertifikat erstellt habe, kommt beim Aufruf der EWS Seite die Meldung
> Die Website hat die Anzeige dieser Webseite abgelehnt.
> HTTP 403
> Wahrscheinlichste Ursachen:
> • Diese Website erfordert, dass Sie sich anmelden.
> Ja das musst du kaufen. Kostet aber nicht viel. Beim aufruf von EWS ? EWS ist was Outlook webaccess ?
Hab ich zwar noch nie gesehen aber ich tippe mal auf ein Berechtigungsproblem im IIS oder ähnliches!
LG Andreas Ausserwöger
EWS sind die Exchange Webservices.
Darüber kann man wohl den Exchange über ein Webfrontend managen.
Ich könnte es dir genauer beantworten, wenn ich drauf käme
Darüber kann man wohl den Exchange über ein Webfrontend managen.
Ich könnte es dir genauer beantworten, wenn ich drauf käme
Also das meinst du da sollte eigendlich der Anmeldebildschirm kommen ! Kannst du noch benutzername und PW eingeben oder kommst du nichtmal soweit ?
Was passiert den wenn du in der Exchangeconsole unter Serverconfiguration ein neues Zertifikat erstellst für den exchange und dem zertifikat
IIS IMAP POP und SMTP zuweisst ? Dann sollte die seite eigendlich wieder gehen.
LG Andreas Ausserwöger
Was passiert den wenn du in der Exchangeconsole unter Serverconfiguration ein neues Zertifikat erstellst für den exchange und dem zertifikat
IIS IMAP POP und SMTP zuweisst ? Dann sollte die seite eigendlich wieder gehen.
LG Andreas Ausserwöger
Das hat auch nichts genützt.
Also erst wenn ich auf untergeordnete Dateien vom EWS zugreifen möchte, dann muss ich mich autorisieren.
Zum Verständnis.
Es gibt im Exchange Installationsverzeichnis folgenden Pfad
D:\Microsoft\Exchange Server\V14\ClientAccess\exchweb\ews
und darunter liegen diverse Dateien. Z.B. die "Exchange.asmx".
Gebe ich im Browser nun
https://Rechnername.Dom1/ews
ein, kommt die besagte Fehlermeldung.
Gebe ich aber
https://Rechnername.Dom1/ews/Exchange.asmx
ein, muss ich Benutzername und Passwort eingeben.
Daraufhin wird mir die Seite angezeigt.
Was ist das?
Also erst wenn ich auf untergeordnete Dateien vom EWS zugreifen möchte, dann muss ich mich autorisieren.
Zum Verständnis.
Es gibt im Exchange Installationsverzeichnis folgenden Pfad
D:\Microsoft\Exchange Server\V14\ClientAccess\exchweb\ews
und darunter liegen diverse Dateien. Z.B. die "Exchange.asmx".
Gebe ich im Browser nun
https://Rechnername.Dom1/ews
ein, kommt die besagte Fehlermeldung.
Gebe ich aber
https://Rechnername.Dom1/ews/Exchange.asmx
ein, muss ich Benutzername und Passwort eingeben.
Daraufhin wird mir die Seite angezeigt.
Was ist das?
Am sorry aber das is bei meinem Exchange auch so ! Ich kann aber über die Exchange Managementkonsole unter Tools die benutzerverwaltung öffnen und alles andere ebenfalls ! Also geht alles bei mir.
Ich denke du musst diese seite über die Managmentconsole öffnen.
LG Andreas Ausserwöger
Ich denke du musst diese seite über die Managmentconsole öffnen.
LG Andreas Ausserwöger
Hi,
jetzt laufen die ews gar nicht mehr. Heut morgen bei einem Test die Seite aufzurufen
https://Rechnername.Dom1/ews/Exchange.asmx
Stürzt der MSExchangeServiceAppPool ab.
Folgende Meldungen bekomme ich im Event-Log
Irgendwie ungewöhnlich.
Immer wenn man die Seite aufruft, wird der Service beendet.
jetzt laufen die ews gar nicht mehr. Heut morgen bei einem Test die Seite aufzurufen
https://Rechnername.Dom1/ews/Exchange.asmx
Stürzt der MSExchangeServiceAppPool ab.
Folgende Meldungen bekomme ich im Event-Log
Fehler beim Entfernen von Rechten von Prozess 'c:\windows\system32\inetsrv\w3wp.exe' (PID=5272, LABEL=MSExchangeServicesAppPool); Fehlercode 0x80070005. WebHost konnte eine Anforderung nicht verarbeiten.
Absenderinformationen: System.ServiceModel.ServiceHostingEnvironment+HostingManager/41754082
Ausnahme: System.ServiceModel.ServiceActivationException: Der Dienst "/EWS/Exchange.asmx" kann aufgrund einer Ausnahme während der Kompilierung nicht aktiviert werden. Die Ausnahmemeldung lautet: Diese Sammlung enthält bereits eine Adresse mit Schema "https". Diese Sammlung kann maximal eine Adresse pro Schema enthalten.
Parametername: item. ---> System.ArgumentException: Diese Sammlung enthält bereits eine Adresse mit Schema "https". Diese Sammlung kann maximal eine Adresse pro Schema enthalten.
Parametername: item
bei System.ServiceModel.UriSchemeKeyedCollection.InsertItem(Int32 index, Uri item)
bei System.Collections.Generic.SynchronizedCollection`1.Add(T item)
bei System.ServiceModel.UriSchemeKeyedCollection..ctor(Uri addresses)
bei System.ServiceModel.ServiceHost..ctor(Type serviceType, Uri baseAddresses)
bei System.ServiceModel.Activation.ServiceHostFactory.CreateServiceHost(Type serviceType, Uri baseAddresses)
bei System.ServiceModel.Activation.ServiceHostFactory.CreateServiceHost(String constructorString, Uri baseAddresses)
bei System.ServiceModel.ServiceHostingEnvironment.HostingManager.CreateService(String normalizedVirtualPath)
bei System.ServiceModel.ServiceHostingEnvironment.HostingManager.ActivateService(String normalizedVirtualPath)
bei System.ServiceModel.ServiceHostingEnvironment.HostingManager.EnsureServiceAvailable(String normalizedVirtualPath)
--- Ende der internen Ausnahmestapelüberwachung ---
bei System.ServiceModel.ServiceHostingEnvironment.HostingManager.EnsureServiceAvailable(String normalizedVirtualPath)
bei System.ServiceModel.ServiceHostingEnvironment.EnsureServiceAvailableFast(String relativeVirtualPath)
Prozessname: w3wp
Prozess-ID: 2336Immer wenn man die Seite aufruft, wird der Service beendet.
Was hast du den gemacht ? Ein neues zertifikat ?
Schau dir mal am IIS die Rechte für die seite an.
http://weblogs.asp.net/owscott/archive/2004/09/21/Which-w3wp.exe-proces ...
Die sollten Anonyme und Windows Authentifizierung aktiv sein.
Die seite findest du eh mit dem namen EWS
Wenn das Richtig ist muss das Problem irgendwo bei den Rechten liegen.
Aber wie gesagt ich kann auch nicht auf die seite zugreifen mit /ews ich denke das ist normal und man kann nur über die Verwaltungskonsole von Exchange auf EWS zugreifen.
LG Andreas Ausserwöger
Schau dir mal am IIS die Rechte für die seite an.
http://weblogs.asp.net/owscott/archive/2004/09/21/Which-w3wp.exe-proces ...
Die sollten Anonyme und Windows Authentifizierung aktiv sein.
Die seite findest du eh mit dem namen EWS
Wenn das Richtig ist muss das Problem irgendwo bei den Rechten liegen.
Aber wie gesagt ich kann auch nicht auf die seite zugreifen mit /ews ich denke das ist normal und man kann nur über die Verwaltungskonsole von Exchange auf EWS zugreifen.
LG Andreas Ausserwöger
Hallo,
ich habe nun einmal Service Pack 1 und Rollup 1 und 2 installiert.
Die Berechtigungen waren auch etwas seltsam verschachtelt.
Kurz und knapp . . . Es funktioniert nun alles.
Vielen Dank für die Hilfe
Grüße
Tray
ich habe nun einmal Service Pack 1 und Rollup 1 und 2 installiert.
Die Berechtigungen waren auch etwas seltsam verschachtelt.
Kurz und knapp . . . Es funktioniert nun alles.
Vielen Dank für die Hilfe
Grüße
Tray
OK cool vieleicht sollte ich das auch mal machen.
LG Andy
LG Andy
