7
Exchange Server 2016 - Outlook meldet falsches Zertifikat - Ich übersehe etwas und bitte um Hilfe
Moin Kollegen,
in einer homogenen Windows 2016-Umgebung tut ein durchgepatchter Exchange 2016 seinen Dienst in Verbindung mit Outlook 2019.
DNS läuft auf Split Brain:
(DNS verfremdet)
interne Windows_Domäne: toll.local
externe Domäne: toll.de
Exchange_Server als stand-a-lone VM: mx1.toll.local
in Externer Domäne: autodiscover.toll.de , mail.toll.de, smtp.toll.de
Alle externen Namen werden korrekt auf die interne IP des Servers aufgelöst.
In der internen local-Domäne ist der passende SRV-Record auf autodiscover.toll.de gesetzt.
Im Exchange sind die virtuellen externen Verzeichnisse auf mail.toll.de angepasst.
In den Connectoren soweit möglich antwortet der Exchange-Server mit FQDN mail.toll.de. Die Connectoren, die als Berechtigungs-Gruppe "Exchange-Server" drin haben, lassen sich nicht umstellen.
Die Connectoren nutzen ein offizielles Wildcard-Zertifikat *.toll.de
Aber dennoch: Gegenüber Outlook meldet sich der Server immer noch mit mx1.toll.local. Es wird aber das offizielle Zertifikat benutzt.
Dementsprechend kommt in Outlook immer ein Popup hoch, das zuerst bestätigt werden muss.
Ich habe einen produktiven Parallelaufbau, der dem hier sehr ähnlich ist und dort funktioniert es fehlerlos.
Was übersehe ich?
Danke für jeden Augenöffner!
Viele Grüße
bdmvg
in einer homogenen Windows 2016-Umgebung tut ein durchgepatchter Exchange 2016 seinen Dienst in Verbindung mit Outlook 2019.
DNS läuft auf Split Brain:
(DNS verfremdet)
interne Windows_Domäne: toll.local
externe Domäne: toll.de
Exchange_Server als stand-a-lone VM: mx1.toll.local
in Externer Domäne: autodiscover.toll.de , mail.toll.de, smtp.toll.de
Alle externen Namen werden korrekt auf die interne IP des Servers aufgelöst.
In der internen local-Domäne ist der passende SRV-Record auf autodiscover.toll.de gesetzt.
Im Exchange sind die virtuellen externen Verzeichnisse auf mail.toll.de angepasst.
In den Connectoren soweit möglich antwortet der Exchange-Server mit FQDN mail.toll.de. Die Connectoren, die als Berechtigungs-Gruppe "Exchange-Server" drin haben, lassen sich nicht umstellen.
Die Connectoren nutzen ein offizielles Wildcard-Zertifikat *.toll.de
Aber dennoch: Gegenüber Outlook meldet sich der Server immer noch mit mx1.toll.local. Es wird aber das offizielle Zertifikat benutzt.
Dementsprechend kommt in Outlook immer ein Popup hoch, das zuerst bestätigt werden muss.
Ich habe einen produktiven Parallelaufbau, der dem hier sehr ähnlich ist und dort funktioniert es fehlerlos.
Was übersehe ich?
Danke für jeden Augenöffner!
Viele Grüße
bdmvg
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3266540982
Url: https://administrator.de/contentid/3266540982
Ausgedruckt am: 21.11.2024 um 11:11 Uhr
7 Kommentare
Neuester Kommentar
interne Windows_Domäne: toll.local
Neiiin...nicht schon wieder: Diese falsche TLD Domain triggert hier wieder jede Menge Fehlermeldungen:Hinweise zur Verwendung der Domäne .local in DNS und mDNS
Und...tuten tut doch nur der Nachtwächter. Und wenn er genug getutet hat, tut er seine Tute wieder in den Tutkasten rein.!
https://www.mamacommunity.de/forum/cafe/tut-ist-ein-hilfswerb-dass-man-n ...
@148523: Über konstruktivere Hilfe hätte ich mich gefreut.
Moin...
du meinst splitt DNS?
oder?
ich habe gefühlte 300 Kundem mit noch *:local.... nur neu mach leiner sowas...
Frank
In der internen local-Domäne ist der passende SRV-Record auf autodiscover.toll.de gesetzt.
du meinst splitt DNS?
oder?
Die Connectoren nutzen ein offizielles Wildcard-Zertifikat *.toll.de
der IIS auch?interne Windows_Domäne: toll.local
na ja... nicht so schön... aber eigentlich auch kein Problem!ich habe gefühlte 300 Kundem mit noch *:local.... nur neu mach leiner sowas...
Frank
2
Diesen Beitrag bringt er gefühlt 50x pro Monat. Das sind so die richtigen Klugsch...er.
BTT:
Deine internen Clients verbinden sich bestimmt mit mx1.toll.local.
Kannst du schnell im Outlook-Verbindungsstatus sehen (STRG + Rechtsklick auf Outlook-Systray-Symbol)
Sorge dafür, dass der interne Name deines EX dem externen entspricht und sich die Clients mit diesem verbinden, dann klappt es auch mit dem Zertifikat.
Schau mal hier rein:
Exchange Server – Änderung der lokalen (internen) Domainnamen auf FQDN
Moin,
wenn du split DNS verwendest, kannst du doch einfach immer "toll.de" nutzten solange das Zertifikat auf den Namen und nicht IP ausgestellt ist.
Wenn es doch auf die IP ausgestellt wurde, kannst HairPinNAT nutzen.
Ich sehe das Problem sonst nicht.
Gruß
Spirit
wenn du split DNS verwendest, kannst du doch einfach immer "toll.de" nutzten solange das Zertifikat auf den Namen und nicht IP ausgestellt ist.
Wenn es doch auf die IP ausgestellt wurde, kannst HairPinNAT nutzen.
Ich sehe das Problem sonst nicht.
Gruß
Spirit
Moin...
was macht der Exchange, oder hast du das Problem gelöst?
Frank
was macht der Exchange, oder hast du das Problem gelöst?
Frank
Entschuldigung!
Ich bin krankheitsbedingt ausgefallen.
Das Problem ist behoben.
Der Kollege hat das hier gut beschrieben:
https://community.spiceworks.com/topic/1834867-exchange-2016-certificate ...
Ich bin krankheitsbedingt ausgefallen.
Das Problem ist behoben.
Der Kollege hat das hier gut beschrieben:
https://community.spiceworks.com/topic/1834867-exchange-2016-certificate ...
