andreas377
Goto Top

Exchange 2013 Zertifikatswechsel - Outlook Verbindungsproblem

Guten Tag,

Habe einen laufenden Exchange Server mit einem neuen Zertifikat verbinden wollen. Bisher lief es über ein vom Exchnage ausgestelltes Zertifikat. Nun habe ich ein öffentliches
Zertifikat erstellt welches aber nicht mehr den lokalen Exchange Namen enthält. Nun meckert Outlook immer beim Start mit folgender Meldung.
Das Zertifikat ist im IIS eingebunden. OWA von extern funktioniert ohne Zertifikatsmeldung.


Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyserver vor.
Der Name des Sicherheitszertifikat ist ungültig oder entspricht nicht dem Namen der Zielwebseite `exchange.domain.local
Von Outlook kann keine Verbindung mit dem Proxyserver hergestellt werden (Fehlercode 10)

Nun meine Frage wo muss ich im Exchange die Namen ändern so das das neue Zertifikat auch von Outlook erkannt wird und diese Fehlermeldung nicht mehr kommt.
Was spricht Outlook da genau an?

Ich weiß hier leider nicht mehr weiter.
Freue mich über Hilfe.

Gruß
Andreas

Content-ID: 559333

Url: https://administrator.de/contentid/559333

Ausgedruckt am: 24.11.2024 um 17:11 Uhr

Vision2015
Vision2015 20.03.2020 um 12:35:56 Uhr
Goto Top
moin...
Zitat von @Andreas377:

Guten Tag,

Habe einen laufenden Exchange Server mit einem neuen Zertifikat verbinden wollen. Bisher lief es über ein vom Exchnage ausgestelltes Zertifikat. Nun habe ich ein öffentliches
ok... fein
Zertifikat erstellt welches aber nicht mehr den lokalen Exchange Namen enthält. Nun meckert Outlook immer beim Start mit folgender Meldung.
Das Zertifikat ist im IIS eingebunden. OWA von extern funktioniert ohne Zertifikatsmeldung.
ja hast du den nicht den IIS eingerichtet... bzw.Dienste gebunden?
Exchange 2013/2016: Assistent für Zertifikate



Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyserver vor.
Der Name des Sicherheitszertifikat ist ungültig oder entspricht nicht dem Namen der Zielwebseite `exchange.domain.local
Von Outlook kann keine Verbindung mit dem Proxyserver hergestellt werden (Fehlercode 10)
normal.... ne.. nicht richtig eingerichtet

Nun meine Frage wo muss ich im Exchange die Namen ändern so das das neue Zertifikat auch von Outlook erkannt wird und diese Fehlermeldung nicht mehr kommt.
Was spricht Outlook da genau an?

Ich weiß hier leider nicht mehr weiter.
Freue mich über Hilfe.
arbeite mal meinen link ab....

Gruß
Andreas
Frank
Andreas377
Andreas377 21.03.2020 um 21:58:36 Uhr
Goto Top
Hallo Frank,

Vielen Dank für deine Hilfe, aber das Problem scheint ein anderes zu sein.
Ich habe das Zertifikat in der ECP unter Zertifikate hinzugefügt. Dann an die Dienste POP,IMAP,IIS und SMTP gebunden.
Dann habe ich die Bindungen im IIS überprüft. Das passt alles.

Ich vermute das ein fehlerhafter Eintrag unter den Empfangsconnectoren stehen könnte. Da steht in einigen noch exchange.domain.local drin.
Habe das Powershell von Franky schon mehrfach genutzt. Bisher war das auch immer kein Problem.

Nun weiß ich aber nicht wie die Empfangsconnectoren (mit denen sich sehr wahrscheinlich Outlook verbinden möchte) heißen müssen.
Geben Sie den FQDN an, den dieser Connector als Antwort auf HELO oder EHLO bereitstellen soll. Hier steht immer noch exchange.domain.local drin. Müsste sich hier nicht der Name welcher in dem neuen Zertifikat steht auftauchen?

Möchte den Exchange nur ungerne verstellen, der ist produktiv.
Vielleicht hat ja noch jemand eine Idee.

Freue mich über jede Hilfe.

Gruß
Andreas
Vision2015
Vision2015 22.03.2020 aktualisiert um 06:37:33 Uhr
Goto Top
moin...
Nun weiß ich aber nicht wie die Empfangsconnectoren (mit denen sich sehr wahrscheinlich Outlook verbinden möchte) heißen müssen.
Geben Sie den FQDN an, den dieser Connector als Antwort auf HELO oder EHLO bereitstellen soll. Hier steht immer noch exchange.domain.local drin. Müsste sich hier nicht der Name welcher in dem neuen Zertifikat steht auftauchen?
also der die Empfangsconnectoren, haben damit zu tun! also bleib da mal wech....
ich glaube eher das deiner AD Zertifizierungsstelle nicht vertraut wird!, oder der Zertifikat Name nicht stimmt.
hast du das mal geprüft? hast du mal das CA Zertifikat in den PC geschubst?

mach mal ein bild von der fehlermeldung, und von Zertifikat!

Frank
Andreas377
Andreas377 22.03.2020 um 18:40:29 Uhr
Goto Top
Hallo Frank,

Ich habe ein lauffähiges Outlook und einen lauffähigen Exchange Server.
Autodiscover URL ist auf autodiscover.domain.de gesetzt. nslookup löst den Namen auch auf.
Wenn ich das Zertifikat im IIS binde und dann Outlook starte von dem es mit dem alten Zertifikat noch ging kommt die besagte Fehlermeldung.
Muss ich am internen DNS noch was einstellen? Könnte es auch am Outlook selbst liegen? Oder am Cache?

Habe leider nur einen TS in der Domäne wo ich das testen kann. Ich bin nun aber schon einen Schritt weiter gekommen.
Habe im DNS die Zone hinzugefügt einen A-Record auf den Exchange gesetzt, nun funktioniert es , aber immer noch mit einer Zertifikatsfehlermeldung. Der Name stimmt mit dem Zertifikat nicht überein. Ja das ist richtig. Denn Outlook zeigt immer noch exchange.domain.local an statt den Namen des öffentlichen Zertifikats. Der primäre Name auf dem Zertifikat ist domain.dyndns.org, als weiterer Antragsteller ist dann autodiscover.domain.de eingetragen. Ich vermute hier das ich ein Knoten in der Konfig habe.

Wo muss ich den Namen eintragen vom öffentlichen Zertifikat damit Outlook das richtig erkennt.

Gruß
Andreas
Vision2015
Lösung Vision2015 22.03.2020 um 19:50:47 Uhr
Goto Top
moin...
der primäre Name auf dem Zertifikat ist domain.dyndns.org, als weiterer Antragsteller ist dann autodiscover.domain.de eingetragen.
echt jetzt...wirklich dyndns.org?

Denn Outlook zeigt immer noch exchange.domain.local an
zeigt den die interne url auf dein domain.dyndns.org? ich denke nicht.

Wenn ich das Zertifikat im IIS binde und dann Outlook starte von dem es mit dem alten Zertifikat noch ging kommt die besagte Fehlermeldung.
??? im IIS? gut, wenn du alle anderen schritte auch machst... hast du ein IIS reset gemacht?
eigentlich solltest du das zertifikat im Exchange Admin Center unter Zertifikate einbauen!

noch mal zum lesen... besonders split DNS

Frank
filippg
Lösung filippg 23.03.2020 um 23:48:33 Uhr
Goto Top
Hi,

erster Test dazu wäre: wenn du von dem TS aus im Internet Explorer https://domain.dyndns.org/owa aufrufst (oder altnerativ https://autodiscover.domain.de/owa): Funktioniert dann alles ohne Fehlermeldung?
Dann wäre sichergestellt, dass das Zeritfikat passt (das scheint ja der Fall zu sein), und das DNS und die zugehörige aufgelöste IP auch von intern (TS) aus erreichbar sind.
Dann müsste man nur noch dem Outlook beibringen, dass es jetzt Exchange bitte unter diesem Namen anspricht. Das wiederum bekommt Outlook über AutoDiscover mitgeteilt.
Exchange Mgmt Shell: Get-ClientAccessService | fl *autod* liefert vermutlich den alten Namen. Korrigieren mit Set-ClientAccessService -AutoDiscoverServiceInternalUri <neueURL>. In <neueURL> bitte nur den Hostnamen austauschen, restliche URL-Bestandteile (https:/... /autodiscover) unbedingt belassen!
Das wäre schonmal der erste Schritt gewesen. Damit wird Outlook AutoDiscover unter dem neuen Namen versuchen, schonmal ein Fehler weniger. In der Antwort von Exchange stehen dann wiederum weitere URLs. Auch für diese muss man an Exchange konfigurieren, dass er dort den neuen Hostnamen verwendet.
Alles weitere vielleicht einfacher unter ECP.
Nächster Punkt wäre wohl Outlook Anyhwere. Im ECP links Server wählen, dann die Eigenschaften des Servers, da müsste es einen Punkt "Outlook Anyhwere" geben? Steht dort der alte Name -> in gleicher Form den neuen eintragen.
Dann die Virtual Directories. ECP links Server, dann Reiter "Virtual Directories" (frag mich nciht, wie der im deutschen heißt). Dort alle durchgehen, schauen ob dort der alte Name steht, ersetzen.
Natürlich alles was man ändert ORDENTLICH DOKUMENTIEREN!

Wie schaut's danach aus?

Danach kann man noch Autodiscover mit Outlook testen, siehe etwa https://kb.intermedia.net/article/2150. Taucht dort noch irgendwo der alte Name auf?

Grüße

Filipp
Andreas377
Andreas377 24.03.2020 um 15:51:11 Uhr
Goto Top
Zitat von @Vision2015:

moin...
der primäre Name auf dem Zertifikat ist domain.dyndns.org, als weiterer Antragsteller ist dann autodiscover.domain.de eingetragen.
echt jetzt...wirklich dyndns.org?
Das ist eine vorübergehende Lösung weil die Endgeräte alle darüber eingerichtet sind.
Denn Outlook zeigt immer noch exchange.domain.local an
zeigt den die interne url auf dein domain.dyndns.org? ich denke nicht.
Hier hast du mich in die richtige Richtung gelenkt. Und das scheint es wohl letztlich auch gewesen sein. Habe die internen URLs verglichen und überall wo noch exchange.domain.local drin steht ersetzt durch domain.dyndns.org ersetzt.
Dann habe ich nochmal 15 Minuten gewartet und den Exchange neugestartet. Aber der Fehler ist geblieben.
Erst nach dem Neu einrichten des Outlook Profils hat es dann einwandfrei funktioniert.
Bei manchen Usern hat es ohne Neu einrichtung vom profil geklappt. Hast Du dafür eine Erklärung?
Bei größeren Umgebungen alle Outlook Profile neu einrichten ist schon sehr mühsam.
Wenn ich das Zertifikat im IIS binde und dann Outlook starte von dem es mit dem alten Zertifikat noch ging kommt die besagte Fehlermeldung.
??? im IIS? gut, wenn du alle anderen schritte auch machst... hast du ein IIS reset gemacht?
Na klar habe ich ein IIS Reset gemacht face-smile
eigentlich solltest du das zertifikat im Exchange Admin Center unter Zertifikate einbauen!
Dort ist es auch vorhanden.
Frankysweb.de kenne ich fast auswendig - ne im ernst ich habe schon sehr viel gelesen.
Frank
Andreas377
Andreas377 24.03.2020 um 16:00:17 Uhr
Goto Top
Zitat von @filippg:

Hi,

erster Test dazu wäre: wenn du von dem TS aus im Internet Explorer https://domain.dyndns.org/owa aufrufst (oder altnerativ https://autodiscover.domain.de/owa): Funktioniert dann alles ohne Fehlermeldung?
Ja das funktioniert einwandfrei. Grünes Schloss im Browser und keine Fehlermeldungen.
Dann wäre sichergestellt, dass das Zeritfikat passt (das scheint ja der Fall zu sein), und das DNS und die zugehörige aufgelöste IP auch von intern (TS) aus erreichbar sind.
Ja auch hier musste ich nachbessern, hatte im DNS vergessen eine Zone dyndns.org anzulegen.
Dann müsste man nur noch dem Outlook beibringen, dass es jetzt Exchange bitte unter diesem Namen anspricht. Das wiederum bekommt Outlook über AutoDiscover mitgeteilt.
Exchange Mgmt Shell: Get-ClientAccessService | fl *autod* liefert vermutlich den alten Namen. Korrigieren mit Set-ClientAccessService -AutoDiscoverServiceInternalUri <neueURL>. In <neueURL> bitte nur den Hostnamen austauschen, restliche URL-Bestandteile (https:/... /autodiscover) unbedingt belassen!
Autodiscover war schon richtig eingerichtet, habe das mehrfach überprüft.
Das wäre schonmal der erste Schritt gewesen. Damit wird Outlook AutoDiscover unter dem neuen Namen versuchen, schonmal ein Fehler weniger. In der Antwort von Exchange stehen dann wiederum weitere URLs. Auch für diese muss man an Exchange konfigurieren, dass er dort den neuen Hostnamen verwendet.
Welche Antwort vom Exchange meinst Du hier?
Alles weitere vielleicht einfacher unter ECP.
Nächster Punkt wäre wohl Outlook Anyhwere. Im ECP links Server wählen, dann die Eigenschaften des Servers, da müsste es einen Punkt "Outlook Anyhwere" geben? Steht dort der alte Name -> in gleicher Form den neuen eintragen.
Dann die Virtual Directories. ECP links Server, dann Reiter "Virtual Directories" (frag mich nciht, wie der im deutschen heißt). Dort alle durchgehen, schauen ob dort der alte Name steht, ersetzen.
Ja das muss es gewesen sein, hier stand bei den internen URLs noch exchange.domain.local drin. Habe das dann geändert und es lief fast.
Musste das Outlook Profil neu anlegen. Dann war der Spuk vorbei.
Natürlich alles was man ändert ORDENTLICH DOKUMENTIEREN!
Snipping Tool dein Freund face-smile
Wie schaut's danach aus?

Danach kann man noch Autodiscover mit Outlook testen, siehe etwa https://kb.intermedia.net/article/2150. Taucht dort noch irgendwo der alte Name auf?
Jetzt nicht mehr.
Grüße

Filipp

Tausend Dank an alle Helfer die mich unterstützt haben. Habe auch wieder was gelernt.

Gruß
Andreas