15
Exchange 2013 mit neuem öffentlichen Zertifikat und geht Outlook-Client geht nicht mehr
Hallo Kollegen!
Ich verzweifele an diesem Problem:
Mit einen selbst ausgestellten Zertifikat geht Outlook auf den Clients.
Spiele ich das gekaufte Zertifikat ein kann sich Outlook nicht mehr mit dem Exchange verbinden...
Es geht um Server 2012R2 mit Exchnage 2013 , Office (Outlook) 2013
Im IIS 8 sind alle Pfade angepasst (autodiscover, mail, remote)
Verwendet man ein schon eingerichtetes Konto, dann startet Outlook nicht und bring folgende Fehlermeldungen:
Es ist kein Proxy eingerichtet oder eingetragen!
Möchte man ein neues Konto einrichten liegt es wohl an der Verschlüsselung....
Hier etwas, wie der Microsoft Remote Connectivity Analyzer das bewertet:
Aber ein Lösung habe ich nicht gefunden!
Hat jemand eine Idee???
Besten Dank vorab!
Grüße
absurt
Ich verzweifele an diesem Problem:
Mit einen selbst ausgestellten Zertifikat geht Outlook auf den Clients.
Spiele ich das gekaufte Zertifikat ein kann sich Outlook nicht mehr mit dem Exchange verbinden...
Es geht um Server 2012R2 mit Exchnage 2013 , Office (Outlook) 2013
Im IIS 8 sind alle Pfade angepasst (autodiscover, mail, remote)
Verwendet man ein schon eingerichtetes Konto, dann startet Outlook nicht und bring folgende Fehlermeldungen:
Es ist kein Proxy eingerichtet oder eingetragen!
Möchte man ein neues Konto einrichten liegt es wohl an der Verschlüsselung....
Hier etwas, wie der Microsoft Remote Connectivity Analyzer das bewertet:
Es wird versucht, mit der DNS-SRV-Umleitungsmethode eine Verbindung mit dem AutoErmittlungsdienst herzustellen. Die Microsoft-Verbindungsuntersuchung konnte mit der DNS-SRV-Umleitungsmethode keine Verbindung mit dem AutoErmittlungsdienst herstellen. Testschritte Es wird versucht, den SRV-Datensatz _autodiscover._tcp.domain.com im DNS zu finden. Der SRV-Eintrag für die AutoErmittlung wurde nicht in DNS gefunden.Weitere Informationen zu diesem Problem und zu möglichen Lösungenhttps://technet.microsoft.com/en-us/library/f7432938-9087-4033-9648-2245 ...Aber ein Lösung habe ich nicht gefunden!
Hat jemand eine Idee???
Besten Dank vorab!
Grüße
absurt
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 277881
Url: https://administrator.de/contentid/277881
Ausgedruckt am: 26.11.2024 um 03:11 Uhr
15 Kommentare
Neuester Kommentar
Was für ein Zertifikat hast Du denn? (z.B. Wildcard?)
Für welche Dienste ist es eingerichtet?
Nur IIS oder auch auf den Connectoren von Exchange (z.B. für TLS)?
Für welche Dienste ist es eingerichtet?
Nur IIS oder auch auf den Connectoren von Exchange (z.B. für TLS)?
Hallo Absurt,
wie greifst du denn auf den Exchange zu - intern/Extern?
Grüße,
Christian
certified IT
wie greifst du denn auf den Exchange zu - intern/Extern?
Grüße,
Christian
certified IT
Hallo absurt,
Powershell: Konfigurieren der internen und externen URLs von Exchange Server 2013, 2016
oder über die ECP sowohl für intern als auch extern geändert werden.
Bei bereits bestehende Profile solltest du in den Einstellungen resetten denn die speichern intern den alten CAS.
Gruß grexit
Im IIS 8 sind alle Pfade angepasst (autodiscover, mail, remote)
Wie ... du hast Pfade im IIS geändert ?? Dort ist Nullkommanix zu ändern, die URLs müssen entweder über die Powershell:Powershell: Konfigurieren der internen und externen URLs von Exchange Server 2013, 2016
oder über die ECP sowohl für intern als auch extern geändert werden.
Bei bereits bestehende Profile solltest du in den Einstellungen resetten denn die speichern intern den alten CAS.
Gruß grexit
1
Hallo,
@122990
Habe diese Befehle per PS schon gestern ausgeführt, heute Nacht den AD und Exchange Server durchgestartet. Nun findet Outlook den Exchange nicht mehr.
@Christian
Sowohl intern als auch extern sollte das funktionieren
Es ist Exchange Zertifikat, keine Wildcard oder Selbsterstelltes
Problem liegt wohl hier, über den IIS ist eine mail.domäne.com eingerichtet
Intern ist die Domäne work.domäne-svr.com
da haben die Einträge was zerwürfelt!
@122990
Habe diese Befehle per PS schon gestern ausgeführt, heute Nacht den AD und Exchange Server durchgestartet. Nun findet Outlook den Exchange nicht mehr.
@Christian
Sowohl intern als auch extern sollte das funktionieren
Es ist Exchange Zertifikat, keine Wildcard oder Selbsterstelltes
Problem liegt wohl hier, über den IIS ist eine mail.domäne.com eingerichtet
Intern ist die Domäne work.domäne-svr.com
da haben die Einträge was zerwürfelt!
Update, habe den Exhange zurückgesichtert auf den alten Snapshot.
OWA geht wieder und auch die Mobilen Geräte,
aber Outlook selbst lässt sich immer noch nicht starten!
Was habe ich verbogen? Bzw. wie bekomme ich das wieder hin?
Auszug auch dem Test-Connectivity
Die hilfe bei MS Support kannst du dazu kicken...
Ich habe folgendes Verändert:
IIS Bindung an das Zertifikat vor dem Crash, SSL-Einstellungen auf ignorieren
AD GPO Vertrauenswürdige Stammzertifizierungsstellen ist nur noch das eine Zertifikat enthalten!
Outlook kann immer noch nicht zum Exchange verbinden!
Bin für jeden Ansatz dankbar!
Grüße
OWA geht wieder und auch die Mobilen Geräte,
aber Outlook selbst lässt sich immer noch nicht starten!
Was habe ich verbogen? Bzw. wie bekomme ich das wieder hin?
Auszug auch dem Test-Connectivity
Der Zertifikatsname wird überprüft. Fehler bei der Überprüfung des Zertifikatsnamens. Fehler bei mindestens einem Zertifikatüberprüfungstest für das SSL-Zertifikat.Fehler bei der Überprüfung der Vertrauenswürdigkeit des Zertifikats.Für das Zertifikat konnte keine Zertifikatkette erstellt werden.Die hilfe bei MS Support kannst du dazu kicken...
Ich habe folgendes Verändert:
IIS Bindung an das Zertifikat vor dem Crash, SSL-Einstellungen auf ignorieren
AD GPO Vertrauenswürdige Stammzertifizierungsstellen ist nur noch das eine Zertifikat enthalten!
Outlook kann immer noch nicht zum Exchange verbinden!
Bin für jeden Ansatz dankbar!
Grüße
Du brauchst ein SAN Zertifikat
Name 1: mail.domäne.com
Name 2: autodiscover.domäne.com
Gekauft / offiziell - nicht selbst gebaut.
-> ECP unter
- Server -> virtuelle Verzeichnise alle Einträge (bis auf Autodiscover) anpassen.
Interne + Externe URL:
https://mail.domäne.com/ecp
https://mail.domäne.com/ews
etc...
-> ECP unter
- Server -> bearbeiten -> Outlook Anywhere anpassen:
Internet + Externer Hostname:
mail.domäne.com
Und zu letzt Exchange Shell:
Set-ClientaccessServer -Identity Server01.domain.com -AutoDiscoverServiceInternalUri "https:://mail.domain.com/autodiscover/autodiscover.xml"
Das Entscheidene ist das SAN Zertifikat mit den zwei Namen.
-> DNS Server anpassen:
Neue Zone mail.domäne.com mit einem A-Record mit der IP deines Exchange-Servers.
IIS anpassen:
SSL Zertifikat für Frontend und Backend für die HTTPS Verbindungen auswählen.
Name 1: mail.domäne.com
Name 2: autodiscover.domäne.com
Gekauft / offiziell - nicht selbst gebaut.
-> ECP unter
- Server -> virtuelle Verzeichnise alle Einträge (bis auf Autodiscover) anpassen.
Interne + Externe URL:
https://mail.domäne.com/ecp
https://mail.domäne.com/ews
etc...
-> ECP unter
- Server -> bearbeiten -> Outlook Anywhere anpassen:
Internet + Externer Hostname:
mail.domäne.com
Und zu letzt Exchange Shell:
Set-ClientaccessServer -Identity Server01.domain.com -AutoDiscoverServiceInternalUri "https:://mail.domain.com/autodiscover/autodiscover.xml"
Das Entscheidene ist das SAN Zertifikat mit den zwei Namen.
-> DNS Server anpassen:
Neue Zone mail.domäne.com mit einem A-Record mit der IP deines Exchange-Servers.
IIS anpassen:
SSL Zertifikat für Frontend und Backend für die HTTPS Verbindungen auswählen.
Ja danke!
Ich denke, das wegen der Externen Adresse und der Domänen-Adresse es zu Schwierigkeiten kommt.
Intern möchte er für Outlook den Servernamen und den mail.domäne-intern.com haben.
OWA etc gehen schon über die mail.domäne.com. Nur wenn ich diese Einstellungen über alles stülpe, wie du oben gezeigt, dann geht das Outlook lokal nicht mehr!
Jeder Eingriff in die Pfade verursacht unerwartete Nebenwirkungen - Zertifikate mit der dem öffentlichen Schlüssel killt Outlook, alles andere geht.
Ich denke darüber nach, die Domäne auf mail.domäne.com umzustellen - sollte da dann das Problem gelöst sein?
Grüße
Ich denke, das wegen der Externen Adresse und der Domänen-Adresse es zu Schwierigkeiten kommt.
Intern möchte er für Outlook den Servernamen und den mail.domäne-intern.com haben.
OWA etc gehen schon über die mail.domäne.com. Nur wenn ich diese Einstellungen über alles stülpe, wie du oben gezeigt, dann geht das Outlook lokal nicht mehr!
Jeder Eingriff in die Pfade verursacht unerwartete Nebenwirkungen - Zertifikate mit der dem öffentlichen Schlüssel killt Outlook, alles andere geht.
Ich denke darüber nach, die Domäne auf mail.domäne.com umzustellen - sollte da dann das Problem gelöst sein?
Grüße
Split-DNS heißt hier das Stichwort 
Ja, das ist wahr, Intern oder Externen ist OWA kein Problem, nur Outlook verweigert sich und will einen anderen Pfad haben:
Mit Zertifikatsänderung (öffentlich) startet Outlook dann gar nicht mehr während OWA ohne Zertifikatsprobleme läuft!
Habe ich eine Skript bekommen, dass alle Pfade "korrigiert" - dann hatte ich Exchange auf einen anderen Snap zurückgesetzt und die Postfächer wieder eingespielt!
Get-WebServicesVirtualDirectory |fl identity,internalurl,externalurlSet-WebServicesVirtualDirectory -Identity “srv-exchange-01\EWS (Default Web Site)” -InternalUrl https://mail.domäne.com/EWS/Exchange.asmx -BasicAuthentication:$trueGet-ClientAccessServer |fl identity,autodiscoverserviceinternaluriSet-ClientAccessServer -Identity SRV-EXCHANGE-01 –AutoDiscoverServiceInternalUri https://mail.domäne.com/Autodiscover/Autodiscover.xmlMit Zertifikatsänderung (öffentlich) startet Outlook dann gar nicht mehr während OWA ohne Zertifikatsprobleme läuft!
Habe ich eine Skript bekommen, dass alle Pfade "korrigiert" - dann hatte ich Exchange auf einen anderen Snap zurückgesetzt und die Postfächer wieder eingespielt!
Wie schon gesagt wurde nach URL-Änderung solltest du das Outlook-Profill resetten, denn Outlook merkt sich hier intern die URL des CAS im Profil und dann gibt es solche Probleme.
Ähnliche Problematik wie in diesem Thema Split :
Profil Löschen war bei mir nicht die Lösung... werde aber die Quellen durchackern
Exchange 2010 - Split DNS - ZertifikatswarnungProfil Löschen war bei mir nicht die Lösung... werde aber die Quellen durchackern
Okay, Testen ich, mehr denn morgen!
Noch eine Frage zu DNS-Split:
Es gibt nur ein aktives Zertifikat? Wird Outlook über den internen Pfad dann laufen?
Es gibt nur ein aktives Zertifikat? Wird Outlook über den internen Pfad dann laufen?
Wenn du nur ein einzige Domäne in deinem Zertifikat hast, dann müssen alle URLs auf die gleiche Domain lauten, d.h. Du musst für die für den externen Zugriff genutzte Domain auf deinem DNS Server eine Zone erstellen und dort den Mailserver mit einem A-Record hinterlegen der auf die interne IP zeigt, ebenso wie für autodiscover. Alle URLs des Exch. müssen dann auf deine extern genutzte Domain zeigen, ruft jetzt ein Benutzer intern die externe URL auf antwortet der DNS Server mit der internen IP, und fertig ist die Geschichte !! Da immer die selbe Domain genutzt wird gibt's auch keine Zertifikatsfehler.
Das SAN Zertifikat sollte dann mindestens folgende zwei Einträge haben:
Das SAN Zertifikat sollte dann mindestens folgende zwei Einträge haben:
mail.domain.comautodiscover.domain.com
Hallo und Danke für die viele Anregungen.
Also, wenn das Zertifikat MIT privaten Schlüssel exponieren und im Exchange eingebunden ist, dann die Pfade glatt ziehen:
* VIRTUELLE PFADE *
Set-OwaVirtualDirectory -Identity "SRV-EXCHANGE\owa (Default Web Site)" -InternalUrl "https://mail.contoso.com/owa" -ExternalUrl "https://mail.contoso.com/owa"
Set-WebServicesVirtualDirectory -Identity "SRV-EXCHANGE\EWS (Default Web Site)" -InternalUrl "https://mail.contoso.com/EWS/Exchange.asmx" -ExternalURL "https://mail.contoso.com/EWS/Exchange.asmx"
Set-OutlookAnywhere -Identity "SRV-EXCHANGE\Rpc (Default Web Site)" -InternalHostname "mail.contoso.com" -InternalClientAuthenticationMethod Ntlm -InternalClientsRequireSsl $true -IISAuthenticationMethods Negotiate,NTLM,Basic
Set-OutlookAnywhere -Identity "SRV-EXCHANGE\Rpc (Default Web Site)" -InternalHostname "mail.contoso.com" -InternalClientAuthenticationMethod Ntlm -InternalClientsRequireSsl $true -ExternalHostname "mail.contoso.com" -ExternalClientAuthenticationMethod Basic -ExternalClientsRequireSsl $true -IISAuthenticationMethods Negotiate,NTLM,Basic
Set-ActiveSyncVirtualDirectory -Identity "SRV-EXCHANGE\Microsoft-Server-ActiveSync (Default Web Site)" -ExternalUrl "https://mail.contoso.com/Microsoft-Server-ActiveSync"
Set-OABVirtualDirectory -Identity "SRV-EXCHANGE\OAB (Default Web Site)" -ExternalUrl "https://mail.contoso.com/OAB"
Set-ClientAccessServer -Identity SRV-EXCHANGE -AutoDiscoverServiceInternalURI "https://autodiscover.contoso.com/AutoDiscover/AutoDiscover.xml"
Set-EcpVirtualDirectory "SRV-EXCHANGE\ECP (Default Web Site)" -ExternalUrl "https://mail.contoso.com/ECP" -InternalURL "https://mail.contoso.com/ECP"
So geht jetzt alles!
Grüße
absurt
Also, wenn das Zertifikat MIT privaten Schlüssel exponieren und im Exchange eingebunden ist, dann die Pfade glatt ziehen:
* VIRTUELLE PFADE *
Set-OwaVirtualDirectory -Identity "SRV-EXCHANGE\owa (Default Web Site)" -InternalUrl "https://mail.contoso.com/owa" -ExternalUrl "https://mail.contoso.com/owa"
Set-WebServicesVirtualDirectory -Identity "SRV-EXCHANGE\EWS (Default Web Site)" -InternalUrl "https://mail.contoso.com/EWS/Exchange.asmx" -ExternalURL "https://mail.contoso.com/EWS/Exchange.asmx"
Set-OutlookAnywhere -Identity "SRV-EXCHANGE\Rpc (Default Web Site)" -InternalHostname "mail.contoso.com" -InternalClientAuthenticationMethod Ntlm -InternalClientsRequireSsl $true -IISAuthenticationMethods Negotiate,NTLM,Basic
Set-OutlookAnywhere -Identity "SRV-EXCHANGE\Rpc (Default Web Site)" -InternalHostname "mail.contoso.com" -InternalClientAuthenticationMethod Ntlm -InternalClientsRequireSsl $true -ExternalHostname "mail.contoso.com" -ExternalClientAuthenticationMethod Basic -ExternalClientsRequireSsl $true -IISAuthenticationMethods Negotiate,NTLM,Basic
Set-ActiveSyncVirtualDirectory -Identity "SRV-EXCHANGE\Microsoft-Server-ActiveSync (Default Web Site)" -ExternalUrl "https://mail.contoso.com/Microsoft-Server-ActiveSync"
Set-OABVirtualDirectory -Identity "SRV-EXCHANGE\OAB (Default Web Site)" -ExternalUrl "https://mail.contoso.com/OAB"
Set-ClientAccessServer -Identity SRV-EXCHANGE -AutoDiscoverServiceInternalURI "https://autodiscover.contoso.com/AutoDiscover/AutoDiscover.xml"
Set-EcpVirtualDirectory "SRV-EXCHANGE\ECP (Default Web Site)" -ExternalUrl "https://mail.contoso.com/ECP" -InternalURL "https://mail.contoso.com/ECP"
So geht jetzt alles!
Grüße
absurt
