7
Exchange Server 2016 - Outlook meldet falsches Zertifikat - Ich übersehe etwas und bitte um Hilfe
Moin Kollegen,
in einer homogenen Windows 2016-Umgebung tut ein durchgepatchter Exchange 2016 seinen Dienst in Verbindung mit Outlook 2019.
DNS läuft auf Split Brain:
(DNS verfremdet)
interne Windows_Domäne: toll.local
externe Domäne: toll.de
Exchange_Server als stand-a-lone VM: mx1.toll.local
in Externer Domäne: autodiscover.toll.de , mail.toll.de, smtp.toll.de
Alle externen Namen werden korrekt auf die interne IP des Servers aufgelöst.
In der internen local-Domäne ist der passende SRV-Record auf autodiscover.toll.de gesetzt.
Im Exchange sind die virtuellen externen Verzeichnisse auf mail.toll.de angepasst.
In den Connectoren soweit möglich antwortet der Exchange-Server mit FQDN mail.toll.de. Die Connectoren, die als Berechtigungs-Gruppe "Exchange-Server" drin haben, lassen sich nicht umstellen.
Die Connectoren nutzen ein offizielles Wildcard-Zertifikat *.toll.de
Aber dennoch: Gegenüber Outlook meldet sich der Server immer noch mit mx1.toll.local. Es wird aber das offizielle Zertifikat benutzt.
Dementsprechend kommt in Outlook immer ein Popup hoch, das zuerst bestätigt werden muss.
Ich habe einen produktiven Parallelaufbau, der dem hier sehr ähnlich ist und dort funktioniert es fehlerlos.
Was übersehe ich?
Danke für jeden Augenöffner!
Viele Grüße
bdmvg
in einer homogenen Windows 2016-Umgebung tut ein durchgepatchter Exchange 2016 seinen Dienst in Verbindung mit Outlook 2019.
DNS läuft auf Split Brain:
(DNS verfremdet)
interne Windows_Domäne: toll.local
externe Domäne: toll.de
Exchange_Server als stand-a-lone VM: mx1.toll.local
in Externer Domäne: autodiscover.toll.de , mail.toll.de, smtp.toll.de
Alle externen Namen werden korrekt auf die interne IP des Servers aufgelöst.
In der internen local-Domäne ist der passende SRV-Record auf autodiscover.toll.de gesetzt.
Im Exchange sind die virtuellen externen Verzeichnisse auf mail.toll.de angepasst.
In den Connectoren soweit möglich antwortet der Exchange-Server mit FQDN mail.toll.de. Die Connectoren, die als Berechtigungs-Gruppe "Exchange-Server" drin haben, lassen sich nicht umstellen.
Die Connectoren nutzen ein offizielles Wildcard-Zertifikat *.toll.de
Aber dennoch: Gegenüber Outlook meldet sich der Server immer noch mit mx1.toll.local. Es wird aber das offizielle Zertifikat benutzt.
Dementsprechend kommt in Outlook immer ein Popup hoch, das zuerst bestätigt werden muss.
Ich habe einen produktiven Parallelaufbau, der dem hier sehr ähnlich ist und dort funktioniert es fehlerlos.
Was übersehe ich?
Danke für jeden Augenöffner!
Viele Grüße
bdmvg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3266540982
Url: https://administrator.de/contentid/3266540982
Printed on: April 26, 2024 at 15:04 o'clock
7 Comments
Latest comment
interne Windows_Domäne: toll.local
Neiiin...nicht schon wieder: Diese falsche TLD Domain triggert hier wieder jede Menge Fehlermeldungen:Hinweise zur Verwendung der Domäne .local in DNS und mDNS
Und...tuten tut doch nur der Nachtwächter. Und wenn er genug getutet hat, tut er seine Tute wieder in den Tutkasten rein.!
https://www.mamacommunity.de/forum/cafe/tut-ist-ein-hilfswerb-dass-man-n ...
@148523: Über konstruktivere Hilfe hätte ich mich gefreut.
Moin...
du meinst splitt DNS?
oder?
ich habe gefühlte 300 Kundem mit noch *:local.... nur neu mach leiner sowas...
Frank
In der internen local-Domäne ist der passende SRV-Record auf autodiscover.toll.de gesetzt.
du meinst splitt DNS?
oder?
Die Connectoren nutzen ein offizielles Wildcard-Zertifikat *.toll.de
der IIS auch?interne Windows_Domäne: toll.local
na ja... nicht so schön... aber eigentlich auch kein Problem!ich habe gefühlte 300 Kundem mit noch *:local.... nur neu mach leiner sowas...
Frank
2
Diesen Beitrag bringt er gefühlt 50x pro Monat. Das sind so die richtigen Klugsch...er.
BTT:
Deine internen Clients verbinden sich bestimmt mit mx1.toll.local.
Kannst du schnell im Outlook-Verbindungsstatus sehen (STRG + Rechtsklick auf Outlook-Systray-Symbol)
Sorge dafür, dass der interne Name deines EX dem externen entspricht und sich die Clients mit diesem verbinden, dann klappt es auch mit dem Zertifikat.
Schau mal hier rein:
Exchange Server – Änderung der lokalen (internen) Domainnamen auf FQDN
Moin,
wenn du split DNS verwendest, kannst du doch einfach immer "toll.de" nutzten solange das Zertifikat auf den Namen und nicht IP ausgestellt ist.
Wenn es doch auf die IP ausgestellt wurde, kannst HairPinNAT nutzen.
Ich sehe das Problem sonst nicht.
Gruß
Spirit
wenn du split DNS verwendest, kannst du doch einfach immer "toll.de" nutzten solange das Zertifikat auf den Namen und nicht IP ausgestellt ist.
Wenn es doch auf die IP ausgestellt wurde, kannst HairPinNAT nutzen.
Ich sehe das Problem sonst nicht.
Gruß
Spirit
Moin...
was macht der Exchange, oder hast du das Problem gelöst?
Frank
was macht der Exchange, oder hast du das Problem gelöst?
Frank
Entschuldigung!
Ich bin krankheitsbedingt ausgefallen.
Das Problem ist behoben.
Der Kollege hat das hier gut beschrieben:
https://community.spiceworks.com/topic/1834867-exchange-2016-certificate ...
Ich bin krankheitsbedingt ausgefallen.
Das Problem ist behoben.
Der Kollege hat das hier gut beschrieben:
https://community.spiceworks.com/topic/1834867-exchange-2016-certificate ...