tray-park
Goto Top

Exchange 2010 Webservices - HTTPS Zertifikat-Probleme

Exchange 2010
Windows Server 2008 R2 Enterprise
Internet-Informationsdienste 7

Hallo,

ich weiß nicht ganz, ob ich in diesem Bereich des Forums richtig bin oder ob mein Problem in einen anderen Bereich gehört

zur Umgebung:

Wir haben hausintern 2 Domänencontroller und 2 Exchange-Server.

Eine Umgebung läuft mit Windows Server 2003 und dem Exchange-Server 2003. (Dom1)

Die Andere mit Windows Server 2008 R2 und Exchange 2010. (Dom2)

Zum Thema:

Auf der Umgebung mit Server 2008 soll nun der Zugriff auf die Exchange Webservices über HTTPS erfolgen und in Dom1 und Dom2 verfügbar sein.

Ich habe nach folgenden Anleitungen ein Domänenzertifikat erstellt . . .

OWA Zertifikat unter Server 2008

http://www.tecchannel.de/server/windows/1752569/iis_7_ssl_einrichten/

. . . und die Exchange Webservices auf den HTTPS-Zugriff so vorbereitet

http://blogs.msdn.com/b/dvespa/archive/2009/12/22/how-to-configure-a-ht ...

Nun ist es so, dass beim Aufruf der EWS über Dom2 folgende Warnung im Internet-Explorer erscheint.

Es besteht ein Problem mit dem Sicherheitszertifikat der Website.

Nach einem Klick auf "Laden fortsetzen" installiere ich das Zertifikat manuell in die "Vertrauenswürdigen Stammzertifizierungsstellen". Nachdem schließen des IE und wieder öffnen muss ich diesen Vorgang allerdings wiederholen.

Ich glaube, dass ich hier ein ungültiges Zertifikat erstellt habe. Oder wie seht ihr das?

Die Exchange Webservices über die Adresse https://localhost/ews ist auch nach installieren des Zertifikats nicht erreichbar.

Der IE zeigt an, dass "Diese Website erfordert, dass Sie sich anmelden."

Das sollte auch nicht so sein.

Zum Schluss wäre es auch noch schön, wenn der EWS der Dom2 über DOM1 auch erreichbar wäre. Aber das ist erst einmal Kosmetik.

Welche Informationen benötigt ihr noch?

Wisst ihr Rat?

Freue mich über jede Antwort.

Grüße


Tray

Content-ID: 158432

Url: https://administrator.de/forum/exchange-2010-webservices-https-zertifikat-probleme-158432.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

Ausserwoeger
Ausserwoeger 12.01.2011 um 10:22:01 Uhr
Goto Top
Wenn du das über diese Anleitungen gemacht hast, hast du dir ein Selfsigned Zertifikat gemacht da ist es normal das der Internet Explorer diese meldung bringt :

Nach einem Klick auf "Laden fortsetzen" installiere ich das Zertifikat manuell in die "Vertrauenswürdigen Stammzertifizierungsstellen". Nachdem schließen des IE und wieder öffnen muss ich diesen Vorgang allerdings wiederholen.

Um die Meldung zu umgehen musst du das Zertifikat auf allen Clients installieren auf denen du das amchen willst.

Besser würde ich finden wenn du dir ein offizielles zertifikat kaufst und dieses verwendest den dann musst du nichts mehr auf den rechnern installieren und es geht von überall aus.
Ich würde ein multidomain Zertifikat nehmen und die interne und externe domain ins zertifikat eintragen lassen damit auch von deinen Internen Rechnern ein zugriff ohne zertifikatsfehler möglich ist.

LG Andreas Ausserwöger
tray-park
tray-park 12.01.2011 um 10:26:59 Uhr
Goto Top
Hi,

danke für die rasche Antwort.

Ich habe aber ein Domänenzertifikat erstellt und auch wenn ich das Zertifikat auf den Clients installiere, darf ich nach jedem neuen Aufruf, eben nach einem Neustart des IE, das Zertifikat wieder installieren.

Grüße
Ausserwoeger
Ausserwoeger 12.01.2011 um 10:36:37 Uhr
Goto Top
Zitat von @tray-park:
Hi,

danke für die rasche Antwort.

Ich habe aber ein Domänenzertifikat erstellt und auch wenn ich das Zertifikat auf den Clients installiere, darf ich nach
jedem neuen Aufruf, eben nach einem Neustart des IE, das Zertifikat wieder installieren.

Grüße

Ok dann gefällt deinem PC auf dem du das Zertifikat installierst der Domainname nicht. Das ist nicht zufällig ein interner Client der nicht über die externe domain auf das Webservice geht?

beispiel: Wenn das Zertifikat auf test.at läuft und der interne benutzer den link http:\\server1.test.local\Exchange verwendet stimmen die domains nicht zusammen.

PS: Du kannst auch noch über den Internet Explorer prüfen (punkt Zertifikate in den optionen) ob das Zertifikat auch in den vertrauenswürdigen Stammzertifizierungsstellen zu finden ist.

LG Andreas Ausserwöger
tray-park
tray-park 12.01.2011 um 12:56:44 Uhr
Goto Top
Zitat von @Ausserwoeger:
> Zitat von @tray-park:
> ----
Ok dann gefällt deinem PC auf dem du das Zertifikat installierst der Domainname nicht. Das ist nicht zufällig ein
interner Client der nicht über die externe domain auf das Webservice geht?

Also die Clients in der DOM2, also in der Domäne auf deren Exchange-Webservices zugreifen möchte, sprechen die EWS mit https://192.168.0.1/ews an. Dann tritt eben des genannte Problem auf.

Ein externer Zugriff, beispielsweise von Clients in der DOM1, ist derzeit noch gar nicht möglich.

beispiel: Wenn das Zertifikat auf test.at läuft und der interne benutzer den link http:\\server1.test.local\Exchange
verwendet stimmen die domains nicht zusammen.

???

PS: Du kannst auch noch über den Internet Explorer prüfen (punkt Zertifikate in den optionen) ob das Zertifikat auch in
den vertrauenswürdigen Stammzertifizierungsstellen zu finden ist.

Das Zertifikat ist dort zu finden.
Allerdings nicht über das MMC Snap-In "Zertifikate". Dort ist es nicht vorhanden.

LG Andreas Ausserwöger

Grüße

Tray
Ausserwoeger
Ausserwoeger 13.01.2011 um 12:56:41 Uhr
Goto Top
> beispiel: Wenn das Zertifikat auf test.at läuft und der interne benutzer den link http:\\server1.test.local\Exchange
> verwendet stimmen die domains nicht zusammen.

???
Damit meine ich wenn du über den internet explorer auf outlook webaccess zugreifst und der link im internet explorer auf die interne Domain lautet stimmt das zertifikat nicht da du es ja für die externe domain als den externen link ausgestellt hast.

Kurz du brauchst ein multidomain zertifikat um die meldung von intern und extern zu unterdrücken. da wird der fehler liegen.

LG Andreas Ausserwöger
tray-park
tray-park 13.01.2011 um 15:44:01 Uhr
Goto Top
Okay. Und dieses muss ich kaufen? Oder kann man das auch selbst erstellen?

Was mir viel wichtiger wäre.....

Seit ich das Zertifikat erstellt habe, kommt beim Aufruf der EWS Seite die Meldung
 Die Website hat die Anzeige dieser Webseite abgelehnt. 
 HTTP 403  
   Wahrscheinlichste Ursachen:
• Diese Website erfordert, dass Sie sich anmelden. 
Was ist das für ein Problem?
Ausserwoeger
Ausserwoeger 13.01.2011 um 15:55:23 Uhr
Goto Top
Zitat von @tray-park:
Okay. Und dieses muss ich kaufen? Oder kann man das auch selbst erstellen?

Was mir viel wichtiger wäre.....

Seit ich das Zertifikat erstellt habe, kommt beim Aufruf der EWS Seite die Meldung
>  Die Website hat die Anzeige dieser Webseite abgelehnt. 
>  HTTP 403  
>    Wahrscheinlichste Ursachen:
> • Diese Website erfordert, dass Sie sich anmelden. 
> 
Was ist das für ein Problem?

Ja das musst du kaufen. Kostet aber nicht viel. Beim aufruf von EWS ? EWS ist was Outlook webaccess ?

Hab ich zwar noch nie gesehen aber ich tippe mal auf ein Berechtigungsproblem im IIS oder ähnliches!

LG Andreas Ausserwöger
tray-park
tray-park 13.01.2011 um 16:10:23 Uhr
Goto Top
EWS sind die Exchange Webservices.

Darüber kann man wohl den Exchange über ein Webfrontend managen.

Ich könnte es dir genauer beantworten, wenn ich drauf käme face-smile
Ausserwoeger
Ausserwoeger 13.01.2011 um 17:31:53 Uhr
Goto Top
Also das meinst du da sollte eigendlich der Anmeldebildschirm kommen ! Kannst du noch benutzername und PW eingeben oder kommst du nichtmal soweit ?

Was passiert den wenn du in der Exchangeconsole unter Serverconfiguration ein neues Zertifikat erstellst für den exchange und dem zertifikat
IIS IMAP POP und SMTP zuweisst ? Dann sollte die seite eigendlich wieder gehen.

LG Andreas Ausserwöger
tray-park
tray-park 14.01.2011 um 13:16:08 Uhr
Goto Top
Das hat auch nichts genützt.

Also erst wenn ich auf untergeordnete Dateien vom EWS zugreifen möchte, dann muss ich mich autorisieren.

Zum Verständnis.

Es gibt im Exchange Installationsverzeichnis folgenden Pfad

D:\Microsoft\Exchange Server\V14\ClientAccess\exchweb\ews

und darunter liegen diverse Dateien. Z.B. die "Exchange.asmx".

Gebe ich im Browser nun

https://Rechnername.Dom1/ews

ein, kommt die besagte Fehlermeldung.

Gebe ich aber

https://Rechnername.Dom1/ews/Exchange.asmx

ein, muss ich Benutzername und Passwort eingeben.

Daraufhin wird mir die Seite angezeigt.

Was ist das?
Ausserwoeger
Ausserwoeger 14.01.2011 um 14:00:02 Uhr
Goto Top
Am sorry aber das is bei meinem Exchange auch so ! Ich kann aber über die Exchange Managementkonsole unter Tools die benutzerverwaltung öffnen und alles andere ebenfalls ! Also geht alles bei mir.

Ich denke du musst diese seite über die Managmentconsole öffnen.

LG Andreas Ausserwöger
tray-park
tray-park 18.01.2011 um 14:55:44 Uhr
Goto Top
Hi,

jetzt laufen die ews gar nicht mehr. Heut morgen bei einem Test die Seite aufzurufen

https://Rechnername.Dom1/ews/Exchange.asmx

Stürzt der MSExchangeServiceAppPool ab.

Folgende Meldungen bekomme ich im Event-Log
Fehler beim Entfernen von Rechten von Prozess 'c:\windows\system32\inetsrv\w3wp.exe' (PID=5272, LABEL=MSExchangeServicesAppPool); Fehlercode 0x80070005.  
WebHost konnte eine Anforderung nicht verarbeiten.
 Absenderinformationen: System.ServiceModel.ServiceHostingEnvironment+HostingManager/41754082
 Ausnahme: System.ServiceModel.ServiceActivationException: Der Dienst "/EWS/Exchange.asmx" kann aufgrund einer Ausnahme während der Kompilierung nicht aktiviert werden. Die Ausnahmemeldung lautet: Diese Sammlung enthält bereits eine Adresse mit Schema "https". Diese Sammlung kann maximal eine Adresse pro Schema enthalten.   
Parametername: item. ---> System.ArgumentException: Diese Sammlung enthält bereits eine Adresse mit Schema "https". Diese Sammlung kann maximal eine Adresse pro Schema enthalten.   
Parametername: item
   bei System.ServiceModel.UriSchemeKeyedCollection.InsertItem(Int32 index, Uri item)
   bei System.Collections.Generic.SynchronizedCollection`1.Add(T item)
   bei System.ServiceModel.UriSchemeKeyedCollection..ctor(Uri addresses)
   bei System.ServiceModel.ServiceHost..ctor(Type serviceType, Uri baseAddresses)
   bei System.ServiceModel.Activation.ServiceHostFactory.CreateServiceHost(Type serviceType, Uri baseAddresses)
   bei System.ServiceModel.Activation.ServiceHostFactory.CreateServiceHost(String constructorString, Uri baseAddresses)
   bei System.ServiceModel.ServiceHostingEnvironment.HostingManager.CreateService(String normalizedVirtualPath)
   bei System.ServiceModel.ServiceHostingEnvironment.HostingManager.ActivateService(String normalizedVirtualPath)
   bei System.ServiceModel.ServiceHostingEnvironment.HostingManager.EnsureServiceAvailable(String normalizedVirtualPath)
   --- Ende der internen Ausnahmestapelüberwachung ---
   bei System.ServiceModel.ServiceHostingEnvironment.HostingManager.EnsureServiceAvailable(String normalizedVirtualPath)
   bei System.ServiceModel.ServiceHostingEnvironment.EnsureServiceAvailableFast(String relativeVirtualPath)
 Prozessname: w3wp
 Prozess-ID: 2336
Irgendwie ungewöhnlich.

Immer wenn man die Seite aufruft, wird der Service beendet.
Ausserwoeger
Ausserwoeger 19.01.2011 um 09:17:17 Uhr
Goto Top
Was hast du den gemacht ? Ein neues zertifikat ?

Schau dir mal am IIS die Rechte für die seite an.
http://weblogs.asp.net/owscott/archive/2004/09/21/Which-w3wp.exe-proces ...

Die sollten Anonyme und Windows Authentifizierung aktiv sein.
Die seite findest du eh mit dem namen EWS

Wenn das Richtig ist muss das Problem irgendwo bei den Rechten liegen.

Aber wie gesagt ich kann auch nicht auf die seite zugreifen mit /ews ich denke das ist normal und man kann nur über die Verwaltungskonsole von Exchange auf EWS zugreifen.

LG Andreas Ausserwöger
tray-park
tray-park 02.02.2011 um 16:35:43 Uhr
Goto Top
Hallo,

ich habe nun einmal Service Pack 1 und Rollup 1 und 2 installiert.

Die Berechtigungen waren auch etwas seltsam verschachtelt.

Kurz und knapp . . . Es funktioniert nun alles.

Vielen Dank für die Hilfe

Grüße

Tray
Ausserwoeger
Ausserwoeger 02.02.2011 um 16:52:24 Uhr
Goto Top
OK cool vieleicht sollte ich das auch mal machen.

LG Andy