Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Exchange: Zertifikatsprobleme

Mitglied: malungo

malungo (Level 1) - Jetzt verbinden

24.07.2015, aktualisiert 16.08.2015, 1085 Aufrufe, 7 Kommentare

Hallo zusammen,

es geht wieder mal um das leidige Thema "Zertifikatsprobleme & Exchange".

Folgende Ausgangssituation:

Exchange 2013
- öffentlicher Name: exchange.bsp.com
- interner Name: s2k12-exchange

Für den öffentlichen Namen habe ich ein Zertifikat von HostEurope erworben um via Internet über RCP auf den Exchange aus Outlook via https zugreifen zu können. Das funktioniert auch einwandfrei.
Die bisherigen Clients waren alle nicht in die AD Domäne integriert (da teilweise Home Versionen), deshalb waren sie ebenfalls via Outlook Proxyeinstellungen via HTTP über die IP des Exchangeservers angebunden.
Soweit hat alles wunderbar funktioniert.

Nun hat sich das Büro dazu entschlossen alle Clients in die Domäne mit aufzunehmen. Entsprechende Clientlizenzen wurden erworben.
Nach der Integration ins AD und der Outlookeinrichtung erhält man aber beim Oultookstart Zertifikatswarnungen, weil der Hostname nicht mit dem im Zertifikat übereinstimmt.
exchange.bsp.com vs. s2k12-exchange
Das ist mir soweit auch einleuchtend.

Ich hatte nun 2 Ideen um das Problem zu lösen - die leider beide nicht funktionieren:
1.) weitere manuelle Konfiguration der Outlookclients via Proxy. Bei Host trage ich exchange.bsp.com ein (was mir den Nachteil bringt, dass auch der interen Datenverkehr über meinen Reverseproxy läuft - das wollte ich eigentlich vermeiden, da unnötig). Nichts desto trotz erhalte ich auch hier die Zertifikatsfehlermeldungen. Das verstehe ich nicht ganz - eigentlich wird ja hier nicht mehr über s2k12-exchange auf den server sondern via exchange.bsp.com auf den exchange zugegriffen.

2.) freischaltung des selbstsignierten Zertifikats für alle Dienste
Für Clients in der Domäne müsste das selbstsignierte Zertifikat welches bei der Exchangeinstallation erstellt wird ja eigentlich funktionieren, da die Domänenmitglieder diesem Zertifikat automatisch vertrauen, oder?

Habt ihr einen Tipp was ich falsch mache bzw. prüfen könnte, oder gibt es nur noch die Alternativen, dass ich mir ein zus. offizielles Zertifikat oder ein wildcard zert. erwerbe bzw. intern die Verbindung unverschüsselt nur über http laufen lasse?

Danke für Eure Tipps,
Malungo
Mitglied: 122990
24.07.2015, aktualisiert um 16:16 Uhr
Moin,
SplitDNS lautet das Stichwort, hatten wir gerade erst hier:
https://www.administrator.de/forum/exchange-2013-neuem-%C3%B6ffentlichen ...

Gruß grexit
Bitte warten ..
Mitglied: malungo
24.07.2015, aktualisiert um 16:57 Uhr
Zitat von 122990:

Moin,
SplitDNS lautet das Stichwort, hatten wir gerade erst hier:
https://www.administrator.de/forum/exchange-2013-neuem-%C3%B6ffentlichen ...

Gruß grexit

Vielen Dank! SplitDNS ist mir bei meinen damaligen Recherchen auch schon untergekommen, habe ich aber nicht weiter verfolgt weil es dann funktionierte.
Aktuell sehe ich für meinen Fall dann 2 Probleme:
1.) ich brauche ein zus. Zertifikat bzw. eine Erweiterung damit die das autodiscover. auch noch im zertifikat berücksichtigt wird - das ist aktuell nicht der Fall. Bisher deckt das Zert nur exchange... ab
2.) (wahrscheinlich nur ein Wissensdefizit bei mir). wenn ich die Zone bsp.com bei mir im DNS abbilde und nen a-record für den exchange erstelle, dann muss ich auch für alle anderen (externen) hosts wie z.B. www einen eintrag mit der externen IP erstellen, damit von intern noch die Homepage usw. usf. erreichbar ist. Korrekt?
Was aber, wenn mein Webhoster den www auf ne andere IP leitet, weil er intern etwas umstrukturiert - da hechle ich dann immer hinterher!?

Nach wie vor stelle ich mir aber die Frage wieso in meinem Fall nicht das selbssignierte Zertifikat für den host s2k12-exchange greift? Kann es nicht 2 Zertifikat offizielles für exchange.bsp.com; selbstsigniertes für s2k12-exchange gleichzeitig geben?
Vll. kann mir das noch kurz jmd. erklären?

Danke!
Viele Grüße,
Malungo
Bitte warten ..
Mitglied: 122990
LÖSUNG 24.07.2015, aktualisiert um 21:49 Uhr
Zitat von malungo:
Aktuell sehe ich für meinen Fall dann 2 Probleme:
1.) ich brauche ein zus. Zertifikat bzw. eine Erweiterung damit die das autodiscover. auch noch im zertifikat berücksichtigt
Es geht auch ohne wenn man den _SRV Eintrag im DNS setzt. Besser ist es aber wenn du dir ein SAN Zertifikat besorgst, dann muss der User keine Dialoge beim ersten Start von Outlook wegklicken.
2.) (wahrscheinlich nur ein Wissensdefizit bei mir). wenn ich die Zone bsp.com bei mir im DNS abbilde und nen a-record für den exchange erstelle, dann muss ich auch für alle anderen (externen) hosts wie z.B. www einen eintrag mit der externen IP erstellen, damit von intern noch die Homepage usw. usf. erreichbar ist. Korrekt?
Es kommt drauf an wie du die Zone nennst. Du musst dies nicht wenn du als Workaround die Zone mail.domain.de nennst und darin einen leeren A-Record anlegst der auf den Exchange zeigt, dann wird nämlich nur der Exchange selber aufgelöst und keine anderen Subdomains der externen Zone!
Wie das geht kannst du hier nachlesen:
https://www.administrator.de/forum/unterschiedliche-dns-einträge-un ...
Nach wie vor stelle ich mir aber die Frage wieso in meinem Fall nicht das selbssignierte Zertifikat für den host
s2k12-exchange greift? Kann es nicht 2 Zertifikat offizielles für exchange.bsp.com; selbstsigniertes für s2k12-exchange
gleichzeitig geben?
Es kann immer nur ein Zertifikat im Exchange genutzt werden. Multiple Zertifikate geht nicht und ist auch nicht nötig wenn man es korrekt macht!

Noch zur Info:
Wenn du folgenden Artikel komplett gelesen hast verstehst du auch die Hintergründe dazu
Autodiscover, DNS, Certificates, and what you need to know
Der ist absolut Empfehlenswert damit du die Mechanissmen dahinter versteht, dann weiß man auch warum Outlook meckert!! Viele die hier mit Zertifikatsproblemen ankommen, belesen sich einfach zu wenig, das ist hier aber essentiell um es zu verstehen. Denn wenn man diese Infos beachtet ist das alles nur noch ein Kinderspiel.
Bitte warten ..
Mitglied: malungo
24.07.2015 um 21:49 Uhr
Zitat von 122990:

> Zitat von malungo:
> Aktuell sehe ich für meinen Fall dann 2 Probleme:
> 1.) ich brauche ein zus. Zertifikat bzw. eine Erweiterung damit die das autodiscover. auch noch im zertifikat
berücksichtigt
Es geht auch ohne wenn man den _SRV Eintrag im DNS setzt. Besser ist es aber wenn du dir ein SAN Zertifikat besorgst, dann muss
der User keine Dialoge beim ersten Start von Outlook wegklicken.
> 2.) (wahrscheinlich nur ein Wissensdefizit bei mir). wenn ich die Zone bsp.com bei mir im DNS abbilde und nen a-record
für den exchange erstelle, dann muss ich auch für alle anderen (externen) hosts wie z.B. www einen eintrag mit der
externen IP erstellen, damit von intern noch die Homepage usw. usf. erreichbar ist. Korrekt?
Es kommt drauf an wie du die Zone nennst. Du musst dies nicht wenn du als Workaround die Zone mail.domain.de nennst
und darin einen leeren A-Record anlegst der auf den Exchange zeigt, dann wird nämlich nur der Exchange selber aufgelöst
und keine anderen Subdomains der externen Zone!
Wie das geht kannst du hier nachlesen:
https://www.administrator.de/forum/unterschiedliche-dns-einträge-un ...
> Nach wie vor stelle ich mir aber die Frage wieso in meinem Fall nicht das selbssignierte Zertifikat für den host
> s2k12-exchange greift? Kann es nicht 2 Zertifikat offizielles für exchange.bsp.com; selbstsigniertes für
s2k12-exchange
> gleichzeitig geben?
Es kann immer nur ein Zertifikat im Exchange genutzt werden. Multiple Zertifikate geht nicht und ist auch nicht nötig
wenn man es korrekt macht!

Noch zur Info:
Wenn du folgenden Artikel komplett gelesen hast verstehst du auch die Hintergründe dazu
[http://www.shudnow.net/2008/11/18/autodiscover-dns-certificates-and-what-you-need-to-know/ Autodiscover, DNS, Certificates, and
what you need to know]
Der ist absolut Empfehlenswert damit du die Mechanissmen dahinter versteht, dann weiß man auch warum Outlook meckert!! Viele
die hier mit Zertifikatsproblemen ankommen, belesen sich einfach zu wenig, das ist hier aber essentiell um es zu verstehen. Denn
wenn man diese Infos beachtet ist das alles nur noch ein Kinderspiel.

DANKE
Bitte warten ..
Mitglied: malungo
15.08.2015 um 17:47 Uhr
Zitat von 122990:

> Zitat von malungo:
> Aktuell sehe ich für meinen Fall dann 2 Probleme:
> 1.) ich brauche ein zus. Zertifikat bzw. eine Erweiterung damit die das autodiscover. auch noch im zertifikat
berücksichtigt
Es geht auch ohne wenn man den _SRV Eintrag im DNS setzt. Besser ist es aber wenn du dir ein SAN Zertifikat besorgst, dann muss
der User keine Dialoge beim ersten Start von Outlook wegklicken.

Sorry, ich muss den Post nochmal aufreißen weil ich nicht mehr weiterkomme.

Damit mein SingleName Zertifikat in der Domäne ohne Zertifikatswarnungen funktioniert habe ich gelernt dass ich folgendes tun muss:
- Split DNS damit auch intern die exchange.bsp.com aufgelöst werden kann => eingerichtet - funktioniert
- Dafür sorgen dass immer der externe Name und nicht der interne Servername für die Exchangekommunikation verwendet wird.
Hier habe ich mich an folgendem Artikel orientiert:
http://exchangeserverpro.com/avoiding-exchange-2013-server-names-ssl-ce ...

Über die ExchangeAdminConsole habe ich jeweils den int. und ext. Hostnamen auf exchange.bsp.com für OutlookAnywhere, OWA, ECP, ActiveSync, EWS und OAB geändert.
Die Autodiscover URI habe ich mittels
Get-ClientAccessServer | Set-ClientAccessServer -AutoDiscoverServiceInternalUri https://exchange.bsp.com/Autodiscover/Autodiscover.xml
umgebogen.
Zudem habe ich im DNS in der Zone der AD Domäne ein SRV Eintrag für Autodiscover erstellt die auf exchange.bsp.com verweist.

Autodiscover scheint jetzt lt. Outlook Autodiscover Test (Rechtsklick auf das OutlookItem mit STRG-Taste) zu funktionieren, es werden auch immer die Hostnamen exchange.bsp.com verwendet und nicht mehr der interne s2k12-exchange.
Allerdings erhalte ich nach dem Outlookstart nach ca. 20 Sekunden immer noch dieses blöde Zertifikatswarnungsfenster, da irgend etwas nach wie vor versucht via SSL auf S2k12-exchange zuzugreifen, und nicht über exchange.bsp.com.

Eigentlich war ich der Meinung, dass das der SCP sein muss, da im bereits genannten Link (http://www.shudnow.net/2008/11/18/autodiscover-dns-certificates-and-wha ...) ja beschrieben wird, dass dieser zuerst abgegraben wird. Wenn ich via Registry aber Autodiscover SCP disable - nur zu Testzwecken ("ExcludeScpLookup"=dword:00000001) erscheint auch hier die Warnung.
Aktuell habe ich als Workaround über die Registry die Certwarnung deaktiviert - das sollte aber keine dauerhafte Lösung sein.

Kann mir jmd. nen Tipp geben an was das jetzt noch liegen könnte? Ich vermute, dass es evtl. irgendwie an den SRV Eintrag im DNS liegt, da ich in div. Artikel gelesen habe, dass Outlook ein Popup zeigt, wenn Autodiscover "redirected" wird und man auf Zulassen klicken kann und auch wählen kann, dass die Einstellung dauerhaft gemerkt wird. Dieses Popup erscheint mir mir aber nicht. (Muss ich ggf. den SRV Eintrag in der SplitDNS Zone machen - also unter der zone exchange.bsp.com?)
Könnte es alternativ sein, dass es nicht ausreicht die int. ext. Hostnamen in der Admnistrativen Weboberfläche anzupassen?

Danke,
Malungo
Bitte warten ..
Mitglied: 122990
LÖSUNG 15.08.2015, aktualisiert 16.08.2015
Outlook-Profil nach diesen Änderungen zwingend resetten oder neu anlegen, da Outlook im Profil manche URLs nicht ändert!

Diese zwei Seiten sollten alle deine offenen Fragen zum SCP etc. klären:
https://acbrownit.wordpress.com/2012/12/20/internal-dns-and-exchange-aut ...
https://acbrownit.wordpress.com/2014/04/04/exchange-autodiscover-episode ...
Bitte warten ..
Mitglied: malungo
17.08.2015, aktualisiert um 22:52 Uhr
Zitat von 122990:

Outlook-Profil nach diesen Änderungen zwingend resetten oder neu anlegen, da Outlook im Profil manche URLs nicht
ändert!

Diese zwei Seiten sollten alle deine offenen Fragen zum SCP etc. klären:
https://acbrownit.wordpress.com/2012/12/20/internal-dns-and-exchange-aut ...
https://acbrownit.wordpress.com/2014/04/04/exchange-autodiscover-episode ...

Danke - das wars. Nach dem neu einrichten klappt es
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Exchange 2013 Zertifikatsproblem
Frage von egalisiertExchange Server16 Kommentare

Hallo Zusammen, wir nutzen in der Firma einen Exchange Server 2013 mit Outlook 2010. Da seit dem iOS Update ...

Windows Server
Zertifikatsproblem mit Radius
gelöst Frage von Dom1091Windows Server1 Kommentar

Guten Abend, hätte etwas bedarf an Hilfe. habe ein WLAN aufgebaut bei dem die Authentifizierung über Windows Radius. Aufgrund ...

Verschlüsselung & Zertifikate
SSL oder Zertifikatsproblem bei Handy?
Frage von PedantVerschlüsselung & Zertifikate7 Kommentare

Hallo, erst seit relativ kurzer Zeit habe ich bei meinem Handytarif auch eine Datenflat, nicht wegen des Handys, sondern ...

Outlook & Mail
Outlook Zertifikatsproblem an 2 Clients
Frage von PharaunOutlook & Mail8 Kommentare

Hallo Miteinander, wir haben ein seltsames Problem an 2 von ~60 Clients. Nachdem das Exchange Zertifikat ende August abgelaufen ...

Neue Wissensbeiträge
Virtualisierung

VEEAM Instant VM Recovery Datenverlust möglich

Information von sabines vor 10 StundenVirtualisierung

Wer instant VM Recovery unter Veeam nutzt, sollte seine Installation überprüfen. In manchen Fällen könnte es zu Datenverlust kommen, ...

Administrator.de Feedback
Hinweise auf Dienstleister oder auf Suchmaschinen
Information von Frank vor 4 TagenAdministrator.de Feedback71 Kommentare

Lieber User, Admins und Moderatoren, aus gegebenen Anlass möchte ich zwei Dinge endgültig klarstellen und für die Nachwelt festhalten: ...

Router & Routing

PfSense 2.4 IPSec VPN mobile Clients Phase 2 wird plötzlich nicht mehr aufgebaut - So einfach war die Lösung

Tipp von the-buccaneer vor 4 TagenRouter & Routing9 Kommentare

Moinsen! Nachdem ich mir hierbei nen Wolf gesucht habe, möchte ich doch die Welt an dieser simplen Lösung teilhaben ...

Humor (lol)
Wählscheiben Telefon
Information von brammer vor 5 TagenHumor (lol)4 Kommentare

Hallo, Mal wirkliche eine nette Spielerei brammer

Heiß diskutierte Inhalte
Backup
VMware ESXi Cluster Backup
Frage von ADRNEXBackup23 Kommentare

Hallo zusammen, Ich habe eine vmware esxi cluster Umgebung mit ca. 20TB Daten, die auf einem SAN liegen. Es ...

Netzwerkmanagement
Softwareverteilung für kleines Unternehmen mit sehr gemixter Hardware
gelöst Frage von BavarianSysadNetzwerkmanagement20 Kommentare

Hallo zusammen^^, ich stehe vor dem Problem das wir im Unternehmen eine Softwareverteilung einführen soll, leider ist dies wie ...

Windows 10
Dell Optiplex 790 Installation Windows 10
gelöst Frage von Ghost108Windows 1016 Kommentare

Guten morgen zusammen, möchte gerne auf meinem Optiplex 790 Windows 10 installieren (Clean Install). Habe das BIOS von Legacy ...

Exchange Server
Exchange 2019 Wildcard geht nicht
Frage von opc123Exchange Server15 Kommentare

Hallo, ich kann mein Wildcard auf dem Exchange keine Dienste zuweisen??