malungo
Goto Top

Exchange: Zertifikatsprobleme

Hallo zusammen,

es geht wieder mal um das leidige Thema "Zertifikatsprobleme & Exchange".

Folgende Ausgangssituation:

Exchange 2013
- öffentlicher Name: exchange.bsp.com
- interner Name: s2k12-exchange

Für den öffentlichen Namen habe ich ein Zertifikat von HostEurope erworben um via Internet über RCP auf den Exchange aus Outlook via https zugreifen zu können. Das funktioniert auch einwandfrei.
Die bisherigen Clients waren alle nicht in die AD Domäne integriert (da teilweise Home Versionen), deshalb waren sie ebenfalls via Outlook Proxyeinstellungen via HTTP über die IP des Exchangeservers angebunden.
Soweit hat alles wunderbar funktioniert.

Nun hat sich das Büro dazu entschlossen alle Clients in die Domäne mit aufzunehmen. Entsprechende Clientlizenzen wurden erworben.
Nach der Integration ins AD und der Outlookeinrichtung erhält man aber beim Oultookstart Zertifikatswarnungen, weil der Hostname nicht mit dem im Zertifikat übereinstimmt.
exchange.bsp.com vs. s2k12-exchange
Das ist mir soweit auch einleuchtend.

Ich hatte nun 2 Ideen um das Problem zu lösen - die leider beide nicht funktionieren:
1.) weitere manuelle Konfiguration der Outlookclients via Proxy. Bei Host trage ich exchange.bsp.com ein (was mir den Nachteil bringt, dass auch der interen Datenverkehr über meinen Reverseproxy läuft - das wollte ich eigentlich vermeiden, da unnötig). Nichts desto trotz erhalte ich auch hier die Zertifikatsfehlermeldungen. Das verstehe ich nicht ganz - eigentlich wird ja hier nicht mehr über s2k12-exchange auf den server sondern via exchange.bsp.com auf den exchange zugegriffen.

2.) freischaltung des selbstsignierten Zertifikats für alle Dienste
Für Clients in der Domäne müsste das selbstsignierte Zertifikat welches bei der Exchangeinstallation erstellt wird ja eigentlich funktionieren, da die Domänenmitglieder diesem Zertifikat automatisch vertrauen, oder?

Habt ihr einen Tipp was ich falsch mache bzw. prüfen könnte, oder gibt es nur noch die Alternativen, dass ich mir ein zus. offizielles Zertifikat oder ein wildcard zert. erwerbe bzw. intern die Verbindung unverschüsselt nur über http laufen lasse?

Danke für Eure Tipps,
Malungo

Content-ID: 278278

Url: https://administrator.de/contentid/278278

Printed on: December 10, 2024 at 07:12 o'clock

122990
122990 Jul 24, 2015 updated at 14:16:17 (UTC)
Goto Top
Moin,
SplitDNS lautet das Stichwort, hatten wir gerade erst hier:
Exchange 2013 mit neuem öffentlichen Zertifikat und geht Outlook-Client geht nicht mehr

Gruß grexit
malungo
malungo Jul 24, 2015 updated at 14:57:22 (UTC)
Goto Top
Zitat von @122990:

Moin,
SplitDNS lautet das Stichwort, hatten wir gerade erst hier:
Exchange 2013 mit neuem öffentlichen Zertifikat und geht Outlook-Client geht nicht mehr

Gruß grexit

Vielen Dank! SplitDNS ist mir bei meinen damaligen Recherchen auch schon untergekommen, habe ich aber nicht weiter verfolgt weil es dann funktionierte.
Aktuell sehe ich für meinen Fall dann 2 Probleme:
1.) ich brauche ein zus. Zertifikat bzw. eine Erweiterung damit die das autodiscover. auch noch im zertifikat berücksichtigt wird - das ist aktuell nicht der Fall. Bisher deckt das Zert nur exchange... ab
2.) (wahrscheinlich nur ein Wissensdefizit bei mir). wenn ich die Zone bsp.com bei mir im DNS abbilde und nen a-record für den exchange erstelle, dann muss ich auch für alle anderen (externen) hosts wie z.B. www einen eintrag mit der externen IP erstellen, damit von intern noch die Homepage usw. usf. erreichbar ist. Korrekt?
Was aber, wenn mein Webhoster den www auf ne andere IP leitet, weil er intern etwas umstrukturiert - da hechle ich dann immer hinterher!?

Nach wie vor stelle ich mir aber die Frage wieso in meinem Fall nicht das selbssignierte Zertifikat für den host s2k12-exchange greift? Kann es nicht 2 Zertifikat offizielles für exchange.bsp.com; selbstsigniertes für s2k12-exchange gleichzeitig geben?
Vll. kann mir das noch kurz jmd. erklären?

Danke!
Viele Grüße,
Malungo
122990
Solution 122990 Jul 24, 2015 updated at 19:49:29 (UTC)
Goto Top
Zitat von @malungo:
Aktuell sehe ich für meinen Fall dann 2 Probleme:
1.) ich brauche ein zus. Zertifikat bzw. eine Erweiterung damit die das autodiscover. auch noch im zertifikat berücksichtigt
Es geht auch ohne wenn man den _SRV Eintrag im DNS setzt. Besser ist es aber wenn du dir ein SAN Zertifikat besorgst, dann muss der User keine Dialoge beim ersten Start von Outlook wegklicken.
2.) (wahrscheinlich nur ein Wissensdefizit bei mir). wenn ich die Zone bsp.com bei mir im DNS abbilde und nen a-record für den exchange erstelle, dann muss ich auch für alle anderen (externen) hosts wie z.B. www einen eintrag mit der externen IP erstellen, damit von intern noch die Homepage usw. usf. erreichbar ist. Korrekt?
Es kommt drauf an wie du die Zone nennst. Du musst dies nicht wenn du als Workaround die Zone mail.domain.de nennst und darin einen leeren A-Record anlegst der auf den Exchange zeigt, dann wird nämlich nur der Exchange selber aufgelöst und keine anderen Subdomains der externen Zone!
Wie das geht kannst du hier nachlesen:
Unterschiedliche DNS Einträge an unterschiedlichen Standorten
Nach wie vor stelle ich mir aber die Frage wieso in meinem Fall nicht das selbssignierte Zertifikat für den host
s2k12-exchange greift? Kann es nicht 2 Zertifikat offizielles für exchange.bsp.com; selbstsigniertes für s2k12-exchange
gleichzeitig geben?
Es kann immer nur ein Zertifikat im Exchange genutzt werden. Multiple Zertifikate geht nicht und ist auch nicht nötig wenn man es korrekt macht!

Noch zur Info:
Wenn du folgenden Artikel komplett gelesen hast verstehst du auch die Hintergründe dazu
Autodiscover, DNS, Certificates, and what you need to know
Der ist absolut Empfehlenswert damit du die Mechanissmen dahinter versteht, dann weiß man auch warum Outlook meckert!! Viele die hier mit Zertifikatsproblemen ankommen, belesen sich einfach zu wenig, das ist hier aber essentiell um es zu verstehen. Denn wenn man diese Infos beachtet ist das alles nur noch ein Kinderspiel.
malungo
malungo Jul 24, 2015 at 19:49:22 (UTC)
Goto Top
Zitat von @122990:

> Zitat von @malungo:
> Aktuell sehe ich für meinen Fall dann 2 Probleme:
> 1.) ich brauche ein zus. Zertifikat bzw. eine Erweiterung damit die das autodiscover. auch noch im zertifikat
berücksichtigt
Es geht auch ohne wenn man den _SRV Eintrag im DNS setzt. Besser ist es aber wenn du dir ein SAN Zertifikat besorgst, dann muss
der User keine Dialoge beim ersten Start von Outlook wegklicken.
> 2.) (wahrscheinlich nur ein Wissensdefizit bei mir). wenn ich die Zone bsp.com bei mir im DNS abbilde und nen a-record
für den exchange erstelle, dann muss ich auch für alle anderen (externen) hosts wie z.B. www einen eintrag mit der
externen IP erstellen, damit von intern noch die Homepage usw. usf. erreichbar ist. Korrekt?
Es kommt drauf an wie du die Zone nennst. Du musst dies nicht wenn du als Workaround die Zone mail.domain.de nennst
und darin einen leeren A-Record anlegst der auf den Exchange zeigt, dann wird nämlich nur der Exchange selber aufgelöst
und keine anderen Subdomains der externen Zone!
Wie das geht kannst du hier nachlesen:
Unterschiedliche DNS Einträge an unterschiedlichen Standorten
> Nach wie vor stelle ich mir aber die Frage wieso in meinem Fall nicht das selbssignierte Zertifikat für den host
> s2k12-exchange greift? Kann es nicht 2 Zertifikat offizielles für exchange.bsp.com; selbstsigniertes für
s2k12-exchange
> gleichzeitig geben?
Es kann immer nur ein Zertifikat im Exchange genutzt werden. Multiple Zertifikate geht nicht und ist auch nicht nötig
wenn man es korrekt macht!

Noch zur Info:
Wenn du folgenden Artikel komplett gelesen hast verstehst du auch die Hintergründe dazu
[http://www.shudnow.net/2008/11/18/autodiscover-dns-certificates-and-what-you-need-to-know/ Autodiscover, DNS, Certificates, and
what you need to know]
Der ist absolut Empfehlenswert damit du die Mechanissmen dahinter versteht, dann weiß man auch warum Outlook meckert!! Viele
die hier mit Zertifikatsproblemen ankommen, belesen sich einfach zu wenig, das ist hier aber essentiell um es zu verstehen. Denn
wenn man diese Infos beachtet ist das alles nur noch ein Kinderspiel.

DANKE
malungo
malungo Aug 15, 2015 at 15:47:36 (UTC)
Goto Top
Zitat von @122990:

> Zitat von @malungo:
> Aktuell sehe ich für meinen Fall dann 2 Probleme:
> 1.) ich brauche ein zus. Zertifikat bzw. eine Erweiterung damit die das autodiscover. auch noch im zertifikat
berücksichtigt
Es geht auch ohne wenn man den _SRV Eintrag im DNS setzt. Besser ist es aber wenn du dir ein SAN Zertifikat besorgst, dann muss
der User keine Dialoge beim ersten Start von Outlook wegklicken.

Sorry, ich muss den Post nochmal aufreißen weil ich nicht mehr weiterkomme.

Damit mein SingleName Zertifikat in der Domäne ohne Zertifikatswarnungen funktioniert habe ich gelernt dass ich folgendes tun muss:
- Split DNS damit auch intern die exchange.bsp.com aufgelöst werden kann => eingerichtet - funktioniert
- Dafür sorgen dass immer der externe Name und nicht der interne Servername für die Exchangekommunikation verwendet wird.
Hier habe ich mich an folgendem Artikel orientiert:
http://exchangeserverpro.com/avoiding-exchange-2013-server-names-ssl-ce ...

Über die ExchangeAdminConsole habe ich jeweils den int. und ext. Hostnamen auf exchange.bsp.com für OutlookAnywhere, OWA, ECP, ActiveSync, EWS und OAB geändert.
Die Autodiscover URI habe ich mittels
Get-ClientAccessServer | Set-ClientAccessServer -AutoDiscoverServiceInternalUri https://exchange.bsp.com/Autodiscover/Autodiscover.xml
umgebogen.
Zudem habe ich im DNS in der Zone der AD Domäne ein SRV Eintrag für Autodiscover erstellt die auf exchange.bsp.com verweist.

Autodiscover scheint jetzt lt. Outlook Autodiscover Test (Rechtsklick auf das OutlookItem mit STRG-Taste) zu funktionieren, es werden auch immer die Hostnamen exchange.bsp.com verwendet und nicht mehr der interne s2k12-exchange.
Allerdings erhalte ich nach dem Outlookstart nach ca. 20 Sekunden immer noch dieses blöde Zertifikatswarnungsfenster, da irgend etwas nach wie vor versucht via SSL auf S2k12-exchange zuzugreifen, und nicht über exchange.bsp.com.

Eigentlich war ich der Meinung, dass das der SCP sein muss, da im bereits genannten Link (http://www.shudnow.net/2008/11/18/autodiscover-dns-certificates-and-wha ..) ja beschrieben wird, dass dieser zuerst abgegraben wird. Wenn ich via Registry aber Autodiscover SCP disable - nur zu Testzwecken ("ExcludeScpLookup"=dword:00000001) erscheint auch hier die Warnung.
Aktuell habe ich als Workaround über die Registry die Certwarnung deaktiviert - das sollte aber keine dauerhafte Lösung sein.

Kann mir jmd. nen Tipp geben an was das jetzt noch liegen könnte? Ich vermute, dass es evtl. irgendwie an den SRV Eintrag im DNS liegt, da ich in div. Artikel gelesen habe, dass Outlook ein Popup zeigt, wenn Autodiscover "redirected" wird und man auf Zulassen klicken kann und auch wählen kann, dass die Einstellung dauerhaft gemerkt wird. Dieses Popup erscheint mir mir aber nicht. (Muss ich ggf. den SRV Eintrag in der SplitDNS Zone machen - also unter der zone exchange.bsp.com?)
Könnte es alternativ sein, dass es nicht ausreicht die int. ext. Hostnamen in der Admnistrativen Weboberfläche anzupassen?

Danke,
Malungo
122990
Solution 122990 Aug 15, 2015, updated at Aug 16, 2015 at 17:53:57 (UTC)
Goto Top
Outlook-Profil nach diesen Änderungen zwingend resetten oder neu anlegen, da Outlook im Profil manche URLs nicht ändert!

Diese zwei Seiten sollten alle deine offenen Fragen zum SCP etc. klären:
https://acbrownit.wordpress.com/2012/12/20/internal-dns-and-exchange-aut ...
https://acbrownit.wordpress.com/2014/04/04/exchange-autodiscover-episode ...
malungo
malungo Aug 17, 2015 updated at 20:52:08 (UTC)
Goto Top
Zitat von @122990:

Outlook-Profil nach diesen Änderungen zwingend resetten oder neu anlegen, da Outlook im Profil manche URLs nicht
ändert!

Diese zwei Seiten sollten alle deine offenen Fragen zum SCP etc. klären:
https://acbrownit.wordpress.com/2012/12/20/internal-dns-and-exchange-aut ...
https://acbrownit.wordpress.com/2014/04/04/exchange-autodiscover-episode ...

Danke - das wars. Nach dem neu einrichten klappt es face-smile