Exchange 2013 Zertifikatswechsel - Outlook Verbindungsproblem
Guten Tag,
Habe einen laufenden Exchange Server mit einem neuen Zertifikat verbinden wollen. Bisher lief es über ein vom Exchnage ausgestelltes Zertifikat. Nun habe ich ein öffentliches
Zertifikat erstellt welches aber nicht mehr den lokalen Exchange Namen enthält. Nun meckert Outlook immer beim Start mit folgender Meldung.
Das Zertifikat ist im IIS eingebunden. OWA von extern funktioniert ohne Zertifikatsmeldung.
Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyserver vor.
Der Name des Sicherheitszertifikat ist ungültig oder entspricht nicht dem Namen der Zielwebseite `exchange.domain.local
Von Outlook kann keine Verbindung mit dem Proxyserver hergestellt werden (Fehlercode 10)
Nun meine Frage wo muss ich im Exchange die Namen ändern so das das neue Zertifikat auch von Outlook erkannt wird und diese Fehlermeldung nicht mehr kommt.
Was spricht Outlook da genau an?
Ich weiß hier leider nicht mehr weiter.
Freue mich über Hilfe.
Gruß
Andreas
Habe einen laufenden Exchange Server mit einem neuen Zertifikat verbinden wollen. Bisher lief es über ein vom Exchnage ausgestelltes Zertifikat. Nun habe ich ein öffentliches
Zertifikat erstellt welches aber nicht mehr den lokalen Exchange Namen enthält. Nun meckert Outlook immer beim Start mit folgender Meldung.
Das Zertifikat ist im IIS eingebunden. OWA von extern funktioniert ohne Zertifikatsmeldung.
Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyserver vor.
Der Name des Sicherheitszertifikat ist ungültig oder entspricht nicht dem Namen der Zielwebseite `exchange.domain.local
Von Outlook kann keine Verbindung mit dem Proxyserver hergestellt werden (Fehlercode 10)
Nun meine Frage wo muss ich im Exchange die Namen ändern so das das neue Zertifikat auch von Outlook erkannt wird und diese Fehlermeldung nicht mehr kommt.
Was spricht Outlook da genau an?
Ich weiß hier leider nicht mehr weiter.
Freue mich über Hilfe.
Gruß
Andreas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 559333
Url: https://administrator.de/contentid/559333
Ausgedruckt am: 24.11.2024 um 17:11 Uhr
8 Kommentare
Neuester Kommentar
moin...
Exchange 2013/2016: Assistent für Zertifikate
Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyserver vor.
Der Name des Sicherheitszertifikat ist ungültig oder entspricht nicht dem Namen der Zielwebseite `exchange.domain.local
Von Outlook kann keine Verbindung mit dem Proxyserver hergestellt werden (Fehlercode 10)
normal.... ne.. nicht richtig eingerichtet
Nun meine Frage wo muss ich im Exchange die Namen ändern so das das neue Zertifikat auch von Outlook erkannt wird und diese Fehlermeldung nicht mehr kommt.
Was spricht Outlook da genau an?
Ich weiß hier leider nicht mehr weiter.
Freue mich über Hilfe.
arbeite mal meinen link ab....
Gruß
Andreas
Frank
Zitat von @Andreas377:
Guten Tag,
Habe einen laufenden Exchange Server mit einem neuen Zertifikat verbinden wollen. Bisher lief es über ein vom Exchnage ausgestelltes Zertifikat. Nun habe ich ein öffentliches
ok... feinGuten Tag,
Habe einen laufenden Exchange Server mit einem neuen Zertifikat verbinden wollen. Bisher lief es über ein vom Exchnage ausgestelltes Zertifikat. Nun habe ich ein öffentliches
Zertifikat erstellt welches aber nicht mehr den lokalen Exchange Namen enthält. Nun meckert Outlook immer beim Start mit folgender Meldung.
Das Zertifikat ist im IIS eingebunden. OWA von extern funktioniert ohne Zertifikatsmeldung.
ja hast du den nicht den IIS eingerichtet... bzw.Dienste gebunden?Das Zertifikat ist im IIS eingebunden. OWA von extern funktioniert ohne Zertifikatsmeldung.
Exchange 2013/2016: Assistent für Zertifikate
Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyserver vor.
Der Name des Sicherheitszertifikat ist ungültig oder entspricht nicht dem Namen der Zielwebseite `exchange.domain.local
Von Outlook kann keine Verbindung mit dem Proxyserver hergestellt werden (Fehlercode 10)
Nun meine Frage wo muss ich im Exchange die Namen ändern so das das neue Zertifikat auch von Outlook erkannt wird und diese Fehlermeldung nicht mehr kommt.
Was spricht Outlook da genau an?
Ich weiß hier leider nicht mehr weiter.
Freue mich über Hilfe.
Gruß
Andreas
moin...
ich glaube eher das deiner AD Zertifizierungsstelle nicht vertraut wird!, oder der Zertifikat Name nicht stimmt.
hast du das mal geprüft? hast du mal das CA Zertifikat in den PC geschubst?
mach mal ein bild von der fehlermeldung, und von Zertifikat!
Frank
Nun weiß ich aber nicht wie die Empfangsconnectoren (mit denen sich sehr wahrscheinlich Outlook verbinden möchte) heißen müssen.
Geben Sie den FQDN an, den dieser Connector als Antwort auf HELO oder EHLO bereitstellen soll. Hier steht immer noch exchange.domain.local drin. Müsste sich hier nicht der Name welcher in dem neuen Zertifikat steht auftauchen?
also der die Empfangsconnectoren, haben damit zu tun! also bleib da mal wech....Geben Sie den FQDN an, den dieser Connector als Antwort auf HELO oder EHLO bereitstellen soll. Hier steht immer noch exchange.domain.local drin. Müsste sich hier nicht der Name welcher in dem neuen Zertifikat steht auftauchen?
ich glaube eher das deiner AD Zertifizierungsstelle nicht vertraut wird!, oder der Zertifikat Name nicht stimmt.
hast du das mal geprüft? hast du mal das CA Zertifikat in den PC geschubst?
mach mal ein bild von der fehlermeldung, und von Zertifikat!
Frank
moin...
eigentlich solltest du das zertifikat im Exchange Admin Center unter Zertifikate einbauen!
noch mal zum lesen... besonders split DNS
Frank
der primäre Name auf dem Zertifikat ist domain.dyndns.org, als weiterer Antragsteller ist dann autodiscover.domain.de eingetragen.
echt jetzt...wirklich dyndns.org?Denn Outlook zeigt immer noch exchange.domain.local an
zeigt den die interne url auf dein domain.dyndns.org? ich denke nicht.Wenn ich das Zertifikat im IIS binde und dann Outlook starte von dem es mit dem alten Zertifikat noch ging kommt die besagte Fehlermeldung.
??? im IIS? gut, wenn du alle anderen schritte auch machst... hast du ein IIS reset gemacht?eigentlich solltest du das zertifikat im Exchange Admin Center unter Zertifikate einbauen!
noch mal zum lesen... besonders split DNS
Frank
Hi,
erster Test dazu wäre: wenn du von dem TS aus im Internet Explorer https://domain.dyndns.org/owa aufrufst (oder altnerativ https://autodiscover.domain.de/owa): Funktioniert dann alles ohne Fehlermeldung?
Dann wäre sichergestellt, dass das Zeritfikat passt (das scheint ja der Fall zu sein), und das DNS und die zugehörige aufgelöste IP auch von intern (TS) aus erreichbar sind.
Dann müsste man nur noch dem Outlook beibringen, dass es jetzt Exchange bitte unter diesem Namen anspricht. Das wiederum bekommt Outlook über AutoDiscover mitgeteilt.
Exchange Mgmt Shell: Get-ClientAccessService | fl *autod* liefert vermutlich den alten Namen. Korrigieren mit Set-ClientAccessService -AutoDiscoverServiceInternalUri <neueURL>. In <neueURL> bitte nur den Hostnamen austauschen, restliche URL-Bestandteile (https:/... /autodiscover) unbedingt belassen!
Das wäre schonmal der erste Schritt gewesen. Damit wird Outlook AutoDiscover unter dem neuen Namen versuchen, schonmal ein Fehler weniger. In der Antwort von Exchange stehen dann wiederum weitere URLs. Auch für diese muss man an Exchange konfigurieren, dass er dort den neuen Hostnamen verwendet.
Alles weitere vielleicht einfacher unter ECP.
Nächster Punkt wäre wohl Outlook Anyhwere. Im ECP links Server wählen, dann die Eigenschaften des Servers, da müsste es einen Punkt "Outlook Anyhwere" geben? Steht dort der alte Name -> in gleicher Form den neuen eintragen.
Dann die Virtual Directories. ECP links Server, dann Reiter "Virtual Directories" (frag mich nciht, wie der im deutschen heißt). Dort alle durchgehen, schauen ob dort der alte Name steht, ersetzen.
Natürlich alles was man ändert ORDENTLICH DOKUMENTIEREN!
Wie schaut's danach aus?
Danach kann man noch Autodiscover mit Outlook testen, siehe etwa https://kb.intermedia.net/article/2150. Taucht dort noch irgendwo der alte Name auf?
Grüße
Filipp
erster Test dazu wäre: wenn du von dem TS aus im Internet Explorer https://domain.dyndns.org/owa aufrufst (oder altnerativ https://autodiscover.domain.de/owa): Funktioniert dann alles ohne Fehlermeldung?
Dann wäre sichergestellt, dass das Zeritfikat passt (das scheint ja der Fall zu sein), und das DNS und die zugehörige aufgelöste IP auch von intern (TS) aus erreichbar sind.
Dann müsste man nur noch dem Outlook beibringen, dass es jetzt Exchange bitte unter diesem Namen anspricht. Das wiederum bekommt Outlook über AutoDiscover mitgeteilt.
Exchange Mgmt Shell: Get-ClientAccessService | fl *autod* liefert vermutlich den alten Namen. Korrigieren mit Set-ClientAccessService -AutoDiscoverServiceInternalUri <neueURL>. In <neueURL> bitte nur den Hostnamen austauschen, restliche URL-Bestandteile (https:/... /autodiscover) unbedingt belassen!
Das wäre schonmal der erste Schritt gewesen. Damit wird Outlook AutoDiscover unter dem neuen Namen versuchen, schonmal ein Fehler weniger. In der Antwort von Exchange stehen dann wiederum weitere URLs. Auch für diese muss man an Exchange konfigurieren, dass er dort den neuen Hostnamen verwendet.
Alles weitere vielleicht einfacher unter ECP.
Nächster Punkt wäre wohl Outlook Anyhwere. Im ECP links Server wählen, dann die Eigenschaften des Servers, da müsste es einen Punkt "Outlook Anyhwere" geben? Steht dort der alte Name -> in gleicher Form den neuen eintragen.
Dann die Virtual Directories. ECP links Server, dann Reiter "Virtual Directories" (frag mich nciht, wie der im deutschen heißt). Dort alle durchgehen, schauen ob dort der alte Name steht, ersetzen.
Natürlich alles was man ändert ORDENTLICH DOKUMENTIEREN!
Wie schaut's danach aus?
Danach kann man noch Autodiscover mit Outlook testen, siehe etwa https://kb.intermedia.net/article/2150. Taucht dort noch irgendwo der alte Name auf?
Grüße
Filipp