absurt
Goto Top

Exchange 2013 mit neuem öffentlichen Zertifikat und geht Outlook-Client geht nicht mehr

Hallo Kollegen!

Ich verzweifele an diesem Problem:

Mit einen selbst ausgestellten Zertifikat geht Outlook auf den Clients.
Spiele ich das gekaufte Zertifikat ein kann sich Outlook nicht mehr mit dem Exchange verbinden...

Es geht um Server 2012R2 mit Exchnage 2013 , Office (Outlook) 2013

Im IIS 8 sind alle Pfade angepasst (autodiscover, mail, remote)

Verwendet man ein schon eingerichtetes Konto, dann startet Outlook nicht und bring folgende Fehlermeldungen:

77129ef5318f8a8cbcdc50787946cae6

90e98fc66bc6df1399bfb7c5da55e733

Es ist kein Proxy eingerichtet oder eingetragen!

Möchte man ein neues Konto einrichten liegt es wohl an der Verschlüsselung....

Hier etwas, wie der Microsoft Remote Connectivity Analyzer das bewertet:

Es wird versucht, mit der DNS-SRV-Umleitungsmethode eine Verbindung mit dem AutoErmittlungsdienst herzustellen. Die Microsoft-Verbindungsuntersuchung konnte mit der DNS-SRV-Umleitungsmethode keine Verbindung mit dem AutoErmittlungsdienst herstellen. Testschritte Es wird versucht, den SRV-Datensatz _autodiscover._tcp.domain.com im DNS zu finden. Der SRV-Eintrag für die AutoErmittlung wurde nicht in DNS gefunden.Weitere Informationen zu diesem Problem und zu möglichen Lösungenhttps://technet.microsoft.com/en-us/library/f7432938-9087-4033-9648-2245 ...

Aber ein Lösung habe ich nicht gefunden!
Hat jemand eine Idee???

Besten Dank vorab!
Grüße
absurt

Content-ID: 277881

Url: https://administrator.de/forum/exchange-2013-mit-neuem-oeffentlichen-zertifikat-und-geht-outlook-client-geht-nicht-mehr-277881.html

Ausgedruckt am: 27.12.2024 um 02:12 Uhr

beidermachtvongreyscull
beidermachtvongreyscull 20.07.2015 um 16:57:36 Uhr
Goto Top
Was für ein Zertifikat hast Du denn? (z.B. Wildcard?)
Für welche Dienste ist es eingerichtet?

Nur IIS oder auch auf den Connectoren von Exchange (z.B. für TLS)?
certifiedit.net
certifiedit.net 20.07.2015 um 17:03:41 Uhr
Goto Top
Hallo Absurt,

wie greifst du denn auf den Exchange zu - intern/Extern?

Grüße,

Christian
certified IT
122990
122990 20.07.2015 aktualisiert um 17:05:32 Uhr
Goto Top
Hallo absurt,
Im IIS 8 sind alle Pfade angepasst (autodiscover, mail, remote)
Wie ... du hast Pfade im IIS geändert ?? Dort ist Nullkommanix zu ändern, die URLs müssen entweder über die Powershell:
Powershell: Konfigurieren der internen und externen URLs von Exchange Server 2013, 2016
oder über die ECP sowohl für intern als auch extern geändert werden.

Bei bereits bestehende Profile solltest du in den Einstellungen resetten denn die speichern intern den alten CAS.

Gruß grexit
absurt
absurt 21.07.2015 um 09:20:14 Uhr
Goto Top
Hallo,

@122990
Habe diese Befehle per PS schon gestern ausgeführt, heute Nacht den AD und Exchange Server durchgestartet. Nun findet Outlook den Exchange nicht mehr.

@Christian
Sowohl intern als auch extern sollte das funktionieren

Es ist Exchange Zertifikat, keine Wildcard oder Selbsterstelltes

Problem liegt wohl hier, über den IIS ist eine mail.domäne.com eingerichtet
Intern ist die Domäne work.domäne-svr.com
da haben die Einträge was zerwürfelt!
absurt
absurt 21.07.2015 um 15:44:48 Uhr
Goto Top
Update, habe den Exhange zurückgesichtert auf den alten Snapshot.

OWA geht wieder und auch die Mobilen Geräte,
aber Outlook selbst lässt sich immer noch nicht starten!

Was habe ich verbogen? Bzw. wie bekomme ich das wieder hin?

Auszug auch dem Test-Connectivity

Der Zertifikatsname wird überprüft. Fehler bei der Überprüfung des Zertifikatsnamens. Fehler bei mindestens einem Zertifikatüberprüfungstest für das SSL-Zertifikat.Fehler bei der Überprüfung der Vertrauenswürdigkeit des Zertifikats.Für das Zertifikat konnte keine Zertifikatkette erstellt werden.

Die hilfe bei MS Support kannst du dazu kicken... face-sad


Ich habe folgendes Verändert:
IIS Bindung an das Zertifikat vor dem Crash, SSL-Einstellungen auf ignorieren
AD GPO Vertrauenswürdige Stammzertifizierungsstellen ist nur noch das eine Zertifikat enthalten!

Outlook kann immer noch nicht zum Exchange verbinden!

Bin für jeden Ansatz dankbar!
Grüße
120479
120479 21.07.2015 aktualisiert um 16:06:39 Uhr
Goto Top
Du brauchst ein SAN Zertifikat

Name 1: mail.domäne.com
Name 2: autodiscover.domäne.com

Gekauft / offiziell - nicht selbst gebaut.

-> ECP unter
- Server -> virtuelle Verzeichnise alle Einträge (bis auf Autodiscover) anpassen.

Interne + Externe URL:
https://mail.domäne.com/ecp
https://mail.domäne.com/ews

etc...

-> ECP unter
- Server -> bearbeiten -> Outlook Anywhere anpassen:

Internet + Externer Hostname:
mail.domäne.com

Und zu letzt Exchange Shell:
Set-ClientaccessServer -Identity Server01.domain.com -AutoDiscoverServiceInternalUri "https:://mail.domain.com/autodiscover/autodiscover.xml"

Das Entscheidene ist das SAN Zertifikat mit den zwei Namen.


-> DNS Server anpassen:

Neue Zone mail.domäne.com mit einem A-Record mit der IP deines Exchange-Servers.


IIS anpassen:
SSL Zertifikat für Frontend und Backend für die HTTPS Verbindungen auswählen.
absurt
absurt 23.07.2015 um 10:47:26 Uhr
Goto Top
Ja danke!
Ich denke, das wegen der Externen Adresse und der Domänen-Adresse es zu Schwierigkeiten kommt.
Intern möchte er für Outlook den Servernamen und den mail.domäne-intern.com haben.
OWA etc gehen schon über die mail.domäne.com. Nur wenn ich diese Einstellungen über alles stülpe, wie du oben gezeigt, dann geht das Outlook lokal nicht mehr!
Jeder Eingriff in die Pfade verursacht unerwartete Nebenwirkungen - Zertifikate mit der dem öffentlichen Schlüssel killt Outlook, alles andere geht.

Ich denke darüber nach, die Domäne auf mail.domäne.com umzustellen - sollte da dann das Problem gelöst sein?

Grüße
122990
122990 23.07.2015 aktualisiert um 11:22:38 Uhr
Goto Top
Split-DNS heißt hier das Stichwort face-smile
absurt
absurt 23.07.2015 um 16:52:59 Uhr
Goto Top
Ja, das ist wahr, Intern oder Externen ist OWA kein Problem, nur Outlook verweigert sich und will einen anderen Pfad haben:
Get-WebServicesVirtualDirectory |fl identity,internalurl,externalurlSet-WebServicesVirtualDirectory -Identity “srv-exchange-01\EWS (Default Web Site)” -InternalUrl https://mail.domäne.com/EWS/Exchange.asmx -BasicAuthentication:$trueGet-ClientAccessServer |fl identity,autodiscoverserviceinternaluriSet-ClientAccessServer -Identity SRV-EXCHANGE-01 –AutoDiscoverServiceInternalUri https://mail.domäne.com/Autodiscover/Autodiscover.xml
Mit Zertifikatsänderung (öffentlich) startet Outlook dann gar nicht mehr während OWA ohne Zertifikatsprobleme läuft!

Habe ich eine Skript bekommen, dass alle Pfade "korrigiert" - dann hatte ich Exchange auf einen anderen Snap zurückgesetzt und die Postfächer wieder eingespielt!
122990
122990 23.07.2015 aktualisiert um 16:58:09 Uhr
Goto Top
Wie schon gesagt wurde nach URL-Änderung solltest du das Outlook-Profill resetten, denn Outlook merkt sich hier intern die URL des CAS im Profil und dann gibt es solche Probleme.
absurt
absurt 23.07.2015 um 17:01:11 Uhr
Goto Top
Ähnliche Problematik wie in diesem Thema Split :
Exchange 2010 - Split DNS - Zertifikatswarnung
Profil Löschen war bei mir nicht die Lösung... werde aber die Quellen durchackern face-wink
absurt
absurt 23.07.2015 um 17:02:15 Uhr
Goto Top
Okay, Testen ich, mehr denn morgen!
absurt
absurt 24.07.2015 um 09:53:30 Uhr
Goto Top
Noch eine Frage zu DNS-Split:

Es gibt nur ein aktives Zertifikat? Wird Outlook über den internen Pfad dann laufen?
122990
122990 24.07.2015 aktualisiert um 10:22:38 Uhr
Goto Top
Wenn du nur ein einzige Domäne in deinem Zertifikat hast, dann müssen alle URLs auf die gleiche Domain lauten, d.h. Du musst für die für den externen Zugriff genutzte Domain auf deinem DNS Server eine Zone erstellen und dort den Mailserver mit einem A-Record hinterlegen der auf die interne IP zeigt, ebenso wie für autodiscover. Alle URLs des Exch. müssen dann auf deine extern genutzte Domain zeigen, ruft jetzt ein Benutzer intern die externe URL auf antwortet der DNS Server mit der internen IP, und fertig ist die Geschichte !! Da immer die selbe Domain genutzt wird gibt's auch keine Zertifikatsfehler.
Das SAN Zertifikat sollte dann mindestens folgende zwei Einträge haben:
mail.domain.comautodiscover.domain.com
absurt
absurt 26.08.2015 um 11:02:23 Uhr
Goto Top
Hallo und Danke für die viele Anregungen.

Also, wenn das Zertifikat MIT privaten Schlüssel exponieren und im Exchange eingebunden ist, dann die Pfade glatt ziehen:

* VIRTUELLE PFADE *

Set-OwaVirtualDirectory -Identity "SRV-EXCHANGE\owa (Default Web Site)" -InternalUrl "https://mail.contoso.com/owa" -ExternalUrl "https://mail.contoso.com/owa"
Set-WebServicesVirtualDirectory -Identity "SRV-EXCHANGE\EWS (Default Web Site)" -InternalUrl "https://mail.contoso.com/EWS/Exchange.asmx" -ExternalURL "https://mail.contoso.com/EWS/Exchange.asmx"
Set-OutlookAnywhere -Identity "SRV-EXCHANGE\Rpc (Default Web Site)" -InternalHostname "mail.contoso.com" -InternalClientAuthenticationMethod Ntlm -InternalClientsRequireSsl $true -IISAuthenticationMethods Negotiate,NTLM,Basic
Set-OutlookAnywhere -Identity "SRV-EXCHANGE\Rpc (Default Web Site)" -InternalHostname "mail.contoso.com" -InternalClientAuthenticationMethod Ntlm -InternalClientsRequireSsl $true -ExternalHostname "mail.contoso.com" -ExternalClientAuthenticationMethod Basic -ExternalClientsRequireSsl $true -IISAuthenticationMethods Negotiate,NTLM,Basic
Set-ActiveSyncVirtualDirectory -Identity "SRV-EXCHANGE\Microsoft-Server-ActiveSync (Default Web Site)" -ExternalUrl "https://mail.contoso.com/Microsoft-Server-ActiveSync"
Set-OABVirtualDirectory -Identity "SRV-EXCHANGE\OAB (Default Web Site)" -ExternalUrl "https://mail.contoso.com/OAB"
Set-ClientAccessServer -Identity SRV-EXCHANGE -AutoDiscoverServiceInternalURI "https://autodiscover.contoso.com/AutoDiscover/AutoDiscover.xml"
Set-EcpVirtualDirectory "SRV-EXCHANGE\ECP (Default Web Site)" -ExternalUrl "https://mail.contoso.com/ECP" -InternalURL "https://mail.contoso.com/ECP"

So geht jetzt alles!

Grüße
absurt