8
Exchange 2013 Zertifikatswechsel - Outlook Verbindungsproblem
Guten Tag,
Habe einen laufenden Exchange Server mit einem neuen Zertifikat verbinden wollen. Bisher lief es über ein vom Exchnage ausgestelltes Zertifikat. Nun habe ich ein öffentliches
Zertifikat erstellt welches aber nicht mehr den lokalen Exchange Namen enthält. Nun meckert Outlook immer beim Start mit folgender Meldung.
Das Zertifikat ist im IIS eingebunden. OWA von extern funktioniert ohne Zertifikatsmeldung.
Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyserver vor.
Der Name des Sicherheitszertifikat ist ungültig oder entspricht nicht dem Namen der Zielwebseite `exchange.domain.local
Von Outlook kann keine Verbindung mit dem Proxyserver hergestellt werden (Fehlercode 10)
Nun meine Frage wo muss ich im Exchange die Namen ändern so das das neue Zertifikat auch von Outlook erkannt wird und diese Fehlermeldung nicht mehr kommt.
Was spricht Outlook da genau an?
Ich weiß hier leider nicht mehr weiter.
Freue mich über Hilfe.
Gruß
Andreas
Habe einen laufenden Exchange Server mit einem neuen Zertifikat verbinden wollen. Bisher lief es über ein vom Exchnage ausgestelltes Zertifikat. Nun habe ich ein öffentliches
Zertifikat erstellt welches aber nicht mehr den lokalen Exchange Namen enthält. Nun meckert Outlook immer beim Start mit folgender Meldung.
Das Zertifikat ist im IIS eingebunden. OWA von extern funktioniert ohne Zertifikatsmeldung.
Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyserver vor.
Der Name des Sicherheitszertifikat ist ungültig oder entspricht nicht dem Namen der Zielwebseite `exchange.domain.local
Von Outlook kann keine Verbindung mit dem Proxyserver hergestellt werden (Fehlercode 10)
Nun meine Frage wo muss ich im Exchange die Namen ändern so das das neue Zertifikat auch von Outlook erkannt wird und diese Fehlermeldung nicht mehr kommt.
Was spricht Outlook da genau an?
Ich weiß hier leider nicht mehr weiter.
Freue mich über Hilfe.
Gruß
Andreas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 559333
Url: https://administrator.de/contentid/559333
Ausgedruckt am: 24.11.2024 um 17:11 Uhr
8 Kommentare
Neuester Kommentar
moin...
Exchange 2013/2016: Assistent für Zertifikate
Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyserver vor.
Der Name des Sicherheitszertifikat ist ungültig oder entspricht nicht dem Namen der Zielwebseite `exchange.domain.local
Von Outlook kann keine Verbindung mit dem Proxyserver hergestellt werden (Fehlercode 10)
normal.... ne.. nicht richtig eingerichtet
Nun meine Frage wo muss ich im Exchange die Namen ändern so das das neue Zertifikat auch von Outlook erkannt wird und diese Fehlermeldung nicht mehr kommt.
Was spricht Outlook da genau an?
Ich weiß hier leider nicht mehr weiter.
Freue mich über Hilfe.
arbeite mal meinen link ab....
Gruß
Andreas
Frank
Zitat von @Andreas377:
Guten Tag,
Habe einen laufenden Exchange Server mit einem neuen Zertifikat verbinden wollen. Bisher lief es über ein vom Exchnage ausgestelltes Zertifikat. Nun habe ich ein öffentliches
ok... feinGuten Tag,
Habe einen laufenden Exchange Server mit einem neuen Zertifikat verbinden wollen. Bisher lief es über ein vom Exchnage ausgestelltes Zertifikat. Nun habe ich ein öffentliches
Zertifikat erstellt welches aber nicht mehr den lokalen Exchange Namen enthält. Nun meckert Outlook immer beim Start mit folgender Meldung.
Das Zertifikat ist im IIS eingebunden. OWA von extern funktioniert ohne Zertifikatsmeldung.
ja hast du den nicht den IIS eingerichtet... bzw.Dienste gebunden?Das Zertifikat ist im IIS eingebunden. OWA von extern funktioniert ohne Zertifikatsmeldung.
Exchange 2013/2016: Assistent für Zertifikate
Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyserver vor.
Der Name des Sicherheitszertifikat ist ungültig oder entspricht nicht dem Namen der Zielwebseite `exchange.domain.local
Von Outlook kann keine Verbindung mit dem Proxyserver hergestellt werden (Fehlercode 10)
Nun meine Frage wo muss ich im Exchange die Namen ändern so das das neue Zertifikat auch von Outlook erkannt wird und diese Fehlermeldung nicht mehr kommt.
Was spricht Outlook da genau an?
Ich weiß hier leider nicht mehr weiter.
Freue mich über Hilfe.
Gruß
Andreas
Hallo Frank,
Vielen Dank für deine Hilfe, aber das Problem scheint ein anderes zu sein.
Ich habe das Zertifikat in der ECP unter Zertifikate hinzugefügt. Dann an die Dienste POP,IMAP,IIS und SMTP gebunden.
Dann habe ich die Bindungen im IIS überprüft. Das passt alles.
Ich vermute das ein fehlerhafter Eintrag unter den Empfangsconnectoren stehen könnte. Da steht in einigen noch exchange.domain.local drin.
Habe das Powershell von Franky schon mehrfach genutzt. Bisher war das auch immer kein Problem.
Nun weiß ich aber nicht wie die Empfangsconnectoren (mit denen sich sehr wahrscheinlich Outlook verbinden möchte) heißen müssen.
Geben Sie den FQDN an, den dieser Connector als Antwort auf HELO oder EHLO bereitstellen soll. Hier steht immer noch exchange.domain.local drin. Müsste sich hier nicht der Name welcher in dem neuen Zertifikat steht auftauchen?
Möchte den Exchange nur ungerne verstellen, der ist produktiv.
Vielleicht hat ja noch jemand eine Idee.
Freue mich über jede Hilfe.
Gruß
Andreas
Vielen Dank für deine Hilfe, aber das Problem scheint ein anderes zu sein.
Ich habe das Zertifikat in der ECP unter Zertifikate hinzugefügt. Dann an die Dienste POP,IMAP,IIS und SMTP gebunden.
Dann habe ich die Bindungen im IIS überprüft. Das passt alles.
Ich vermute das ein fehlerhafter Eintrag unter den Empfangsconnectoren stehen könnte. Da steht in einigen noch exchange.domain.local drin.
Habe das Powershell von Franky schon mehrfach genutzt. Bisher war das auch immer kein Problem.
Nun weiß ich aber nicht wie die Empfangsconnectoren (mit denen sich sehr wahrscheinlich Outlook verbinden möchte) heißen müssen.
Geben Sie den FQDN an, den dieser Connector als Antwort auf HELO oder EHLO bereitstellen soll. Hier steht immer noch exchange.domain.local drin. Müsste sich hier nicht der Name welcher in dem neuen Zertifikat steht auftauchen?
Möchte den Exchange nur ungerne verstellen, der ist produktiv.
Vielleicht hat ja noch jemand eine Idee.
Freue mich über jede Hilfe.
Gruß
Andreas
moin...
ich glaube eher das deiner AD Zertifizierungsstelle nicht vertraut wird!, oder der Zertifikat Name nicht stimmt.
hast du das mal geprüft? hast du mal das CA Zertifikat in den PC geschubst?
mach mal ein bild von der fehlermeldung, und von Zertifikat!
Frank
Nun weiß ich aber nicht wie die Empfangsconnectoren (mit denen sich sehr wahrscheinlich Outlook verbinden möchte) heißen müssen.
Geben Sie den FQDN an, den dieser Connector als Antwort auf HELO oder EHLO bereitstellen soll. Hier steht immer noch exchange.domain.local drin. Müsste sich hier nicht der Name welcher in dem neuen Zertifikat steht auftauchen?
also der die Empfangsconnectoren, haben damit zu tun! also bleib da mal wech....Geben Sie den FQDN an, den dieser Connector als Antwort auf HELO oder EHLO bereitstellen soll. Hier steht immer noch exchange.domain.local drin. Müsste sich hier nicht der Name welcher in dem neuen Zertifikat steht auftauchen?
ich glaube eher das deiner AD Zertifizierungsstelle nicht vertraut wird!, oder der Zertifikat Name nicht stimmt.
hast du das mal geprüft? hast du mal das CA Zertifikat in den PC geschubst?
mach mal ein bild von der fehlermeldung, und von Zertifikat!
Frank
Hallo Frank,
Ich habe ein lauffähiges Outlook und einen lauffähigen Exchange Server.
Autodiscover URL ist auf autodiscover.domain.de gesetzt. nslookup löst den Namen auch auf.
Wenn ich das Zertifikat im IIS binde und dann Outlook starte von dem es mit dem alten Zertifikat noch ging kommt die besagte Fehlermeldung.
Muss ich am internen DNS noch was einstellen? Könnte es auch am Outlook selbst liegen? Oder am Cache?
Habe leider nur einen TS in der Domäne wo ich das testen kann. Ich bin nun aber schon einen Schritt weiter gekommen.
Habe im DNS die Zone hinzugefügt einen A-Record auf den Exchange gesetzt, nun funktioniert es , aber immer noch mit einer Zertifikatsfehlermeldung. Der Name stimmt mit dem Zertifikat nicht überein. Ja das ist richtig. Denn Outlook zeigt immer noch exchange.domain.local an statt den Namen des öffentlichen Zertifikats. Der primäre Name auf dem Zertifikat ist domain.dyndns.org, als weiterer Antragsteller ist dann autodiscover.domain.de eingetragen. Ich vermute hier das ich ein Knoten in der Konfig habe.
Wo muss ich den Namen eintragen vom öffentlichen Zertifikat damit Outlook das richtig erkennt.
Gruß
Andreas
Ich habe ein lauffähiges Outlook und einen lauffähigen Exchange Server.
Autodiscover URL ist auf autodiscover.domain.de gesetzt. nslookup löst den Namen auch auf.
Wenn ich das Zertifikat im IIS binde und dann Outlook starte von dem es mit dem alten Zertifikat noch ging kommt die besagte Fehlermeldung.
Muss ich am internen DNS noch was einstellen? Könnte es auch am Outlook selbst liegen? Oder am Cache?
Habe leider nur einen TS in der Domäne wo ich das testen kann. Ich bin nun aber schon einen Schritt weiter gekommen.
Habe im DNS die Zone hinzugefügt einen A-Record auf den Exchange gesetzt, nun funktioniert es , aber immer noch mit einer Zertifikatsfehlermeldung. Der Name stimmt mit dem Zertifikat nicht überein. Ja das ist richtig. Denn Outlook zeigt immer noch exchange.domain.local an statt den Namen des öffentlichen Zertifikats. Der primäre Name auf dem Zertifikat ist domain.dyndns.org, als weiterer Antragsteller ist dann autodiscover.domain.de eingetragen. Ich vermute hier das ich ein Knoten in der Konfig habe.
Wo muss ich den Namen eintragen vom öffentlichen Zertifikat damit Outlook das richtig erkennt.
Gruß
Andreas
moin...
eigentlich solltest du das zertifikat im Exchange Admin Center unter Zertifikate einbauen!
noch mal zum lesen... besonders split DNS
Frank
der primäre Name auf dem Zertifikat ist domain.dyndns.org, als weiterer Antragsteller ist dann autodiscover.domain.de eingetragen.
echt jetzt...wirklich dyndns.org?Denn Outlook zeigt immer noch exchange.domain.local an
zeigt den die interne url auf dein domain.dyndns.org? ich denke nicht.Wenn ich das Zertifikat im IIS binde und dann Outlook starte von dem es mit dem alten Zertifikat noch ging kommt die besagte Fehlermeldung.
??? im IIS? gut, wenn du alle anderen schritte auch machst... hast du ein IIS reset gemacht?eigentlich solltest du das zertifikat im Exchange Admin Center unter Zertifikate einbauen!
noch mal zum lesen... besonders split DNS
Frank
Hi,
erster Test dazu wäre: wenn du von dem TS aus im Internet Explorer https://domain.dyndns.org/owa aufrufst (oder altnerativ https://autodiscover.domain.de/owa): Funktioniert dann alles ohne Fehlermeldung?
Dann wäre sichergestellt, dass das Zeritfikat passt (das scheint ja der Fall zu sein), und das DNS und die zugehörige aufgelöste IP auch von intern (TS) aus erreichbar sind.
Dann müsste man nur noch dem Outlook beibringen, dass es jetzt Exchange bitte unter diesem Namen anspricht. Das wiederum bekommt Outlook über AutoDiscover mitgeteilt.
Exchange Mgmt Shell: Get-ClientAccessService | fl *autod* liefert vermutlich den alten Namen. Korrigieren mit Set-ClientAccessService -AutoDiscoverServiceInternalUri <neueURL>. In <neueURL> bitte nur den Hostnamen austauschen, restliche URL-Bestandteile (https:/... /autodiscover) unbedingt belassen!
Das wäre schonmal der erste Schritt gewesen. Damit wird Outlook AutoDiscover unter dem neuen Namen versuchen, schonmal ein Fehler weniger. In der Antwort von Exchange stehen dann wiederum weitere URLs. Auch für diese muss man an Exchange konfigurieren, dass er dort den neuen Hostnamen verwendet.
Alles weitere vielleicht einfacher unter ECP.
Nächster Punkt wäre wohl Outlook Anyhwere. Im ECP links Server wählen, dann die Eigenschaften des Servers, da müsste es einen Punkt "Outlook Anyhwere" geben? Steht dort der alte Name -> in gleicher Form den neuen eintragen.
Dann die Virtual Directories. ECP links Server, dann Reiter "Virtual Directories" (frag mich nciht, wie der im deutschen heißt). Dort alle durchgehen, schauen ob dort der alte Name steht, ersetzen.
Natürlich alles was man ändert ORDENTLICH DOKUMENTIEREN!
Wie schaut's danach aus?
Danach kann man noch Autodiscover mit Outlook testen, siehe etwa https://kb.intermedia.net/article/2150. Taucht dort noch irgendwo der alte Name auf?
Grüße
Filipp
erster Test dazu wäre: wenn du von dem TS aus im Internet Explorer https://domain.dyndns.org/owa aufrufst (oder altnerativ https://autodiscover.domain.de/owa): Funktioniert dann alles ohne Fehlermeldung?
Dann wäre sichergestellt, dass das Zeritfikat passt (das scheint ja der Fall zu sein), und das DNS und die zugehörige aufgelöste IP auch von intern (TS) aus erreichbar sind.
Dann müsste man nur noch dem Outlook beibringen, dass es jetzt Exchange bitte unter diesem Namen anspricht. Das wiederum bekommt Outlook über AutoDiscover mitgeteilt.
Exchange Mgmt Shell: Get-ClientAccessService | fl *autod* liefert vermutlich den alten Namen. Korrigieren mit Set-ClientAccessService -AutoDiscoverServiceInternalUri <neueURL>. In <neueURL> bitte nur den Hostnamen austauschen, restliche URL-Bestandteile (https:/... /autodiscover) unbedingt belassen!
Das wäre schonmal der erste Schritt gewesen. Damit wird Outlook AutoDiscover unter dem neuen Namen versuchen, schonmal ein Fehler weniger. In der Antwort von Exchange stehen dann wiederum weitere URLs. Auch für diese muss man an Exchange konfigurieren, dass er dort den neuen Hostnamen verwendet.
Alles weitere vielleicht einfacher unter ECP.
Nächster Punkt wäre wohl Outlook Anyhwere. Im ECP links Server wählen, dann die Eigenschaften des Servers, da müsste es einen Punkt "Outlook Anyhwere" geben? Steht dort der alte Name -> in gleicher Form den neuen eintragen.
Dann die Virtual Directories. ECP links Server, dann Reiter "Virtual Directories" (frag mich nciht, wie der im deutschen heißt). Dort alle durchgehen, schauen ob dort der alte Name steht, ersetzen.
Natürlich alles was man ändert ORDENTLICH DOKUMENTIEREN!
Wie schaut's danach aus?
Danach kann man noch Autodiscover mit Outlook testen, siehe etwa https://kb.intermedia.net/article/2150. Taucht dort noch irgendwo der alte Name auf?
Grüße
Filipp
Zitat von @Vision2015:
moin...
Das ist eine vorübergehende Lösung weil die Endgeräte alle darüber eingerichtet sind.moin...
der primäre Name auf dem Zertifikat ist domain.dyndns.org, als weiterer Antragsteller ist dann autodiscover.domain.de eingetragen.
echt jetzt...wirklich dyndns.org?Denn Outlook zeigt immer noch exchange.domain.local an
zeigt den die interne url auf dein domain.dyndns.org? ich denke nicht.Dann habe ich nochmal 15 Minuten gewartet und den Exchange neugestartet. Aber der Fehler ist geblieben.
Erst nach dem Neu einrichten des Outlook Profils hat es dann einwandfrei funktioniert.
Bei manchen Usern hat es ohne Neu einrichtung vom profil geklappt. Hast Du dafür eine Erklärung?
Bei größeren Umgebungen alle Outlook Profile neu einrichten ist schon sehr mühsam.
Wenn ich das Zertifikat im IIS binde und dann Outlook starte von dem es mit dem alten Zertifikat noch ging kommt die besagte Fehlermeldung.
??? im IIS? gut, wenn du alle anderen schritte auch machst... hast du ein IIS reset gemacht?
eigentlich solltest du das zertifikat im Exchange Admin Center unter Zertifikate einbauen!
Dort ist es auch vorhanden.Frankysweb.de kenne ich fast auswendig - ne im ernst ich habe schon sehr viel gelesen.
Frank
Zitat von @filippg:
Hi,
erster Test dazu wäre: wenn du von dem TS aus im Internet Explorer https://domain.dyndns.org/owa aufrufst (oder altnerativ https://autodiscover.domain.de/owa): Funktioniert dann alles ohne Fehlermeldung?
Ja das funktioniert einwandfrei. Grünes Schloss im Browser und keine Fehlermeldungen.Hi,
erster Test dazu wäre: wenn du von dem TS aus im Internet Explorer https://domain.dyndns.org/owa aufrufst (oder altnerativ https://autodiscover.domain.de/owa): Funktioniert dann alles ohne Fehlermeldung?
Dann wäre sichergestellt, dass das Zeritfikat passt (das scheint ja der Fall zu sein), und das DNS und die zugehörige aufgelöste IP auch von intern (TS) aus erreichbar sind.
Ja auch hier musste ich nachbessern, hatte im DNS vergessen eine Zone dyndns.org anzulegen.Dann müsste man nur noch dem Outlook beibringen, dass es jetzt Exchange bitte unter diesem Namen anspricht. Das wiederum bekommt Outlook über AutoDiscover mitgeteilt.
Exchange Mgmt Shell: Get-ClientAccessService | fl *autod* liefert vermutlich den alten Namen. Korrigieren mit Set-ClientAccessService -AutoDiscoverServiceInternalUri <neueURL>. In <neueURL> bitte nur den Hostnamen austauschen, restliche URL-Bestandteile (https:/... /autodiscover) unbedingt belassen!
Autodiscover war schon richtig eingerichtet, habe das mehrfach überprüft.Exchange Mgmt Shell: Get-ClientAccessService | fl *autod* liefert vermutlich den alten Namen. Korrigieren mit Set-ClientAccessService -AutoDiscoverServiceInternalUri <neueURL>. In <neueURL> bitte nur den Hostnamen austauschen, restliche URL-Bestandteile (https:/... /autodiscover) unbedingt belassen!
Das wäre schonmal der erste Schritt gewesen. Damit wird Outlook AutoDiscover unter dem neuen Namen versuchen, schonmal ein Fehler weniger. In der Antwort von Exchange stehen dann wiederum weitere URLs. Auch für diese muss man an Exchange konfigurieren, dass er dort den neuen Hostnamen verwendet.
Welche Antwort vom Exchange meinst Du hier?Alles weitere vielleicht einfacher unter ECP.
Nächster Punkt wäre wohl Outlook Anyhwere. Im ECP links Server wählen, dann die Eigenschaften des Servers, da müsste es einen Punkt "Outlook Anyhwere" geben? Steht dort der alte Name -> in gleicher Form den neuen eintragen.
Dann die Virtual Directories. ECP links Server, dann Reiter "Virtual Directories" (frag mich nciht, wie der im deutschen heißt). Dort alle durchgehen, schauen ob dort der alte Name steht, ersetzen.
Ja das muss es gewesen sein, hier stand bei den internen URLs noch exchange.domain.local drin. Habe das dann geändert und es lief fast.Nächster Punkt wäre wohl Outlook Anyhwere. Im ECP links Server wählen, dann die Eigenschaften des Servers, da müsste es einen Punkt "Outlook Anyhwere" geben? Steht dort der alte Name -> in gleicher Form den neuen eintragen.
Dann die Virtual Directories. ECP links Server, dann Reiter "Virtual Directories" (frag mich nciht, wie der im deutschen heißt). Dort alle durchgehen, schauen ob dort der alte Name steht, ersetzen.
Musste das Outlook Profil neu anlegen. Dann war der Spuk vorbei.
Natürlich alles was man ändert ORDENTLICH DOKUMENTIEREN!
Snipping Tool dein Freund Wie schaut's danach aus?
Danach kann man noch Autodiscover mit Outlook testen, siehe etwa https://kb.intermedia.net/article/2150. Taucht dort noch irgendwo der alte Name auf?
Jetzt nicht mehr.Danach kann man noch Autodiscover mit Outlook testen, siehe etwa https://kb.intermedia.net/article/2150. Taucht dort noch irgendwo der alte Name auf?
Grüße
Filipp
Filipp
Tausend Dank an alle Helfer die mich unterstützt haben. Habe auch wieder was gelernt.
Gruß
Andreas
