13
Zertifikatsfehler!!!
Guten Morgen ihr Lieben. 
Sicher kennen einige das Problem das mir gerade vor die Füße gefallen ist.
Es geht um einen Exchange Server 2016 /Windows Server 2016 in Verbindung mit Windows 10 (1903/1909) Clients.
Ich habe hier vor kurzem einen neuen Exchange Server aufsetzen müssen, der auch sehr gut funktioniert. Das einzige Problem ist das sich der Name geändert hat und dieser nun nicht mehr so auf dem Zertifikat steht.
Ich hab nun ein selbst signiertes Zertifikat erstellt und dieses zusammen mit einem Eintrag im IIS hinterlegt.
Die User dort bekommen nun immer beim Start von Outlook einen Zertifikatsfehler. Ich hab mir nun mal den Spaß gemacht und eine Windows 10 VM angelegt, Office installiert und siehe da, es läuft alles top. Autodiscover arbeitet ohne Probleme und ich bekomme auch keinen anderen Fehler.
Woran kann das liegen?
Vielen Dank im Voraus für eure Tips. ;)
Sicher kennen einige das Problem das mir gerade vor die Füße gefallen ist.
Es geht um einen Exchange Server 2016 /Windows Server 2016 in Verbindung mit Windows 10 (1903/1909) Clients.
Ich habe hier vor kurzem einen neuen Exchange Server aufsetzen müssen, der auch sehr gut funktioniert. Das einzige Problem ist das sich der Name geändert hat und dieser nun nicht mehr so auf dem Zertifikat steht.
Ich hab nun ein selbst signiertes Zertifikat erstellt und dieses zusammen mit einem Eintrag im IIS hinterlegt.
Die User dort bekommen nun immer beim Start von Outlook einen Zertifikatsfehler. Ich hab mir nun mal den Spaß gemacht und eine Windows 10 VM angelegt, Office installiert und siehe da, es läuft alles top. Autodiscover arbeitet ohne Probleme und ich bekomme auch keinen anderen Fehler.
Woran kann das liegen?
Vielen Dank im Voraus für eure Tips. ;)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 550187
Url: https://administrator.de/contentid/550187
Printed on: May 8, 2024 at 17:05 o'clock
13 Comments
Latest comment
Moin,
da fehlen einfach Infos.
Was für ein Zertifikat war denn vorher eingebunden wo der Name nicht mehr passt?
Warum ändert sich der Name?
Haben die Clients das Stamm Zertifikat von dem neuen erhalten und vertrauen dem?
Gruß
Spirit
da fehlen einfach Infos.
Was für ein Zertifikat war denn vorher eingebunden wo der Name nicht mehr passt?
Warum ändert sich der Name?
Haben die Clients das Stamm Zertifikat von dem neuen erhalten und vertrauen dem?
Gruß
Spirit
Hi
Hier wäre eine Möglichkeit:
An deinem DNS bzw. an dem wie sich dein Exchange bei den Clients meldet. Es gibt da intern und extern unterschiede.
Beispiel: Extern greifst du über autodiscover.domain.de auf deinen Exchnage zu.
Intern jedoch mit Servername.domain.
Da intern der Name ein anderer ist müssten beide Namen auf dem Zertifikat stehen (Multidomain zertifikat)
Das wäre eine Lösung.
Einfacher ist es jedoch im DNS eine Neue Zone anzulegen die autodiscover.domain.de heisst und als host den Exchange eingatragen hat.
Wenn dann die Clients über autodiscover.domain.de sich verbinden ist der interne und externe Name des Server glsich und du bekommst keinen Zertifikatsfehler mehr.
LG
Hier wäre eine Möglichkeit:
An deinem DNS bzw. an dem wie sich dein Exchange bei den Clients meldet. Es gibt da intern und extern unterschiede.
Beispiel: Extern greifst du über autodiscover.domain.de auf deinen Exchnage zu.
Intern jedoch mit Servername.domain.
Da intern der Name ein anderer ist müssten beide Namen auf dem Zertifikat stehen (Multidomain zertifikat)
Das wäre eine Lösung.
Einfacher ist es jedoch im DNS eine Neue Zone anzulegen die autodiscover.domain.de heisst und als host den Exchange eingatragen hat.
Wenn dann die Clients über autodiscover.domain.de sich verbinden ist der interne und externe Name des Server glsich und du bekommst keinen Zertifikatsfehler mehr.
LG
Zitat von @Spirit-of-Eli:
Moin,
da fehlen einfach Infos.
Was für ein Zertifikat war denn vorher eingebunden wo der Name nicht mehr passt?
Warum ändert sich der Name?
Haben die Clients das Stamm Zertifikat von dem neuen erhalten und vertrauen dem?
Gruß
Spirit
Moin,
da fehlen einfach Infos.
Was für ein Zertifikat war denn vorher eingebunden wo der Name nicht mehr passt?
Warum ändert sich der Name?
Haben die Clients das Stamm Zertifikat von dem neuen erhalten und vertrauen dem?
Gruß
Spirit
Ja sorry das ich zu wenig Infos gegeben habe. :X
Weil der Alte Name einfach unsinnig war und überhaupt nicht in die Struktur passte. Das hat irgendein "Hobby Informatiker" eingerichtet.
Das Zertifikat das vorher drin war, habe ich mit übernommen. Ist ein Wildcard für drei Namen.
Ja ich habe das zertifikat in die Domain ausgerollt als "Vertrauensvolle CA".
Es kommt halt der Fehler das der Name der Website nicht zu dem Namen auf dem Zertifikat passt. das Zertifikat läuft auf ddie alten Namen xxxx.de und der neue hat den Namen yyy.de.
Hi
Wenn es ein öffenliches Zertifikat ist kann man wärend der Laufzeit die Namen anpassen lassen und das Zertifikat von der Zertifizierungsstelle neu ausstellen lassen.
LG
Wenn es ein öffenliches Zertifikat ist kann man wärend der Laufzeit die Namen anpassen lassen und das Zertifikat von der Zertifizierungsstelle neu ausstellen lassen.
LG
Moin,
das hier:
Das Zertifikat das vorher drin war, habe ich mit übernommen. Ist ein Wildcard für drei Namen.
passt nicht ganz hierzu:
Es kommt halt der Fehler das der Name der Website nicht zu dem Namen auf dem Zertifikat passt. das Zertifikat läuft auf ddie alten Namen xxxx.de und der neue hat den Namen yyy.de.
Dem Wildcard ist es i.d.R egal was vor dem Domainnamen steht, kann es sein, dass Du den Domainnamen geändert hast?
Schreib doch mal die Namen anonymisiert rein.
Gruss
das hier:
Das Zertifikat das vorher drin war, habe ich mit übernommen. Ist ein Wildcard für drei Namen.
passt nicht ganz hierzu:
Es kommt halt der Fehler das der Name der Website nicht zu dem Namen auf dem Zertifikat passt. das Zertifikat läuft auf ddie alten Namen xxxx.de und der neue hat den Namen yyy.de.
Dem Wildcard ist es i.d.R egal was vor dem Domainnamen steht, kann es sein, dass Du den Domainnamen geändert hast?
Schreib doch mal die Namen anonymisiert rein.
Gruss
Zitat von @Ausserwoeger:
Hi
Hier wäre eine Möglichkeit:
An deinem DNS bzw. an dem wie sich dein Exchange bei den Clients meldet. Es gibt da intern und extern unterschiede.
Beispiel: Extern greifst du über autodiscover.domain.de auf deinen Exchnage zu.
Intern jedoch mit Servername.domain.
Da intern der Name ein anderer ist müssten beide Namen auf dem Zertifikat stehen (Multidomain zertifikat)
Das wäre eine Lösung.
Einfacher ist es jedoch im DNS eine Neue Zone anzulegen die autodiscover.domain.de heisst und als host den Exchange eingatragen hat.
Wenn dann die Clients über autodiscover.domain.de sich verbinden ist der interne und externe Name des Server glsich und du bekommst keinen Zertifikatsfehler mehr.
LG
Hi
Hier wäre eine Möglichkeit:
An deinem DNS bzw. an dem wie sich dein Exchange bei den Clients meldet. Es gibt da intern und extern unterschiede.
Beispiel: Extern greifst du über autodiscover.domain.de auf deinen Exchnage zu.
Intern jedoch mit Servername.domain.
Da intern der Name ein anderer ist müssten beide Namen auf dem Zertifikat stehen (Multidomain zertifikat)
Das wäre eine Lösung.
Einfacher ist es jedoch im DNS eine Neue Zone anzulegen die autodiscover.domain.de heisst und als host den Exchange eingatragen hat.
Wenn dann die Clients über autodiscover.domain.de sich verbinden ist der interne und externe Name des Server glsich und du bekommst keinen Zertifikatsfehler mehr.
LG
Das klingt sehr logisch. Das Problem ist nur, das der gute Mann vorher schon eine DNS Zone für xxx.de angelegt hat und darin einen Eintrag mit autodiscover.xxx.de der auf den Exchange zeigt. Diesen Eintrag habe ich auch angepasst auf die neue IP Adresse des neuen Exchange.
Mich wundert nur das der neue Windows Client das super mitbekommt und ohne Fehler anmeldet und die alten das alle nicht gebacken bekommen. Ist das im OS so fest verankert?
Zitat von @sabines:
Moin,
das hier:
Das Zertifikat das vorher drin war, habe ich mit übernommen. Ist ein Wildcard für drei Namen.
passt nicht ganz hierzu:
Es kommt halt der Fehler das der Name der Website nicht zu dem Namen auf dem Zertifikat passt. das Zertifikat läuft auf ddie alten Namen xxxx.de und der neue hat den Namen yyy.de.
Dem Wildcard ist es i.d.R egal was vor dem Domainnamen steht, kann es sein, dass Du den Domainnamen geändert hast?
Schreib doch mal die Namen anonymisiert rein.
Gruss
Moin,
das hier:
Das Zertifikat das vorher drin war, habe ich mit übernommen. Ist ein Wildcard für drei Namen.
passt nicht ganz hierzu:
Es kommt halt der Fehler das der Name der Website nicht zu dem Namen auf dem Zertifikat passt. das Zertifikat läuft auf ddie alten Namen xxxx.de und der neue hat den Namen yyy.de.
Dem Wildcard ist es i.d.R egal was vor dem Domainnamen steht, kann es sein, dass Du den Domainnamen geändert hast?
Schreib doch mal die Namen anonymisiert rein.
Gruss
Sorry es ist kein Wildcard sondern ein Multidomain Zertifikat.
Zitat von @Hendrik2586:
Das klingt sehr logisch. Das Problem ist nur, das der gute Mann vorher schon eine DNS Zone für xxx.de angelegt hat und darin einen Eintrag mit autodiscover.xxx.de der auf den Exchange zeigt. Diesen Eintrag habe ich auch angepasst auf die neue IP Adresse des neuen Exchange.
Mich wundert nur das der neue Windows Client das super mitbekommt und ohne Fehler anmeldet und die alten das alle nicht gebacken bekommen. Ist das im OS so fest verankert?
Das klingt sehr logisch. Das Problem ist nur, das der gute Mann vorher schon eine DNS Zone für xxx.de angelegt hat und darin einen Eintrag mit autodiscover.xxx.de der auf den Exchange zeigt. Diesen Eintrag habe ich auch angepasst auf die neue IP Adresse des neuen Exchange.
Mich wundert nur das der neue Windows Client das super mitbekommt und ohne Fehler anmeldet und die alten das alle nicht gebacken bekommen. Ist das im OS so fest verankert?
Hi
Die zone muss autodiscover.domain.de heißen und der eintrag darin muss ein Hosteintrag sein ohne namen nur mit der IP des Exchange eingetragen. So habe ich das immer gemacht.
Sollte aber auch so funktionieren wie es der andere ITler eingestellt hat.
LG
Zitat von @Ausserwoeger:
Hi
Die zone muss autodiscover.domain.de heißen und der eintrag darin muss ein Hosteintrag sein ohne namen nur mit der IP des Exchange eingetragen.
LG
Zitat von @Hendrik2586:
Das klingt sehr logisch. Das Problem ist nur, das der gute Mann vorher schon eine DNS Zone für xxx.de angelegt hat und darin einen Eintrag mit autodiscover.xxx.de der auf den Exchange zeigt. Diesen Eintrag habe ich auch angepasst auf die neue IP Adresse des neuen Exchange.
Mich wundert nur das der neue Windows Client das super mitbekommt und ohne Fehler anmeldet und die alten das alle nicht gebacken bekommen. Ist das im OS so fest verankert?
Das klingt sehr logisch. Das Problem ist nur, das der gute Mann vorher schon eine DNS Zone für xxx.de angelegt hat und darin einen Eintrag mit autodiscover.xxx.de der auf den Exchange zeigt. Diesen Eintrag habe ich auch angepasst auf die neue IP Adresse des neuen Exchange.
Mich wundert nur das der neue Windows Client das super mitbekommt und ohne Fehler anmeldet und die alten das alle nicht gebacken bekommen. Ist das im OS so fest verankert?
Hi
Die zone muss autodiscover.domain.de heißen und der eintrag darin muss ein Hosteintrag sein ohne namen nur mit der IP des Exchange eingetragen.
LG
Ah ok, also so wie ich es sonst überall einrichte. Hätte ich Depp das mal gleich so gemacht.
Zitat von @Hendrik2586:
Das klingt sehr logisch. Das Problem ist nur, das der gute Mann vorher schon eine DNS Zone für xxx.de angelegt hat und darin einen Eintrag mit autodiscover.xxx.de der auf den Exchange zeigt. Diesen Eintrag habe ich auch angepasst auf die neue IP Adresse des neuen Exchange.
Mich wundert nur das der neue Windows Client das super mitbekommt und ohne Fehler anmeldet und die alten das alle nicht gebacken bekommen. Ist das im OS so fest verankert?
Das klingt sehr logisch. Das Problem ist nur, das der gute Mann vorher schon eine DNS Zone für xxx.de angelegt hat und darin einen Eintrag mit autodiscover.xxx.de der auf den Exchange zeigt. Diesen Eintrag habe ich auch angepasst auf die neue IP Adresse des neuen Exchange.
Mich wundert nur das der neue Windows Client das super mitbekommt und ohne Fehler anmeldet und die alten das alle nicht gebacken bekommen. Ist das im OS so fest verankert?
Hi
Was heisst der alte client ? Ich bin davon ausgegangen das es auf keinem Client geht.
Da ist nichts fest verankert im OS ?
Natürlich gibt es einen DNS Cache auf jeder Maschiene den du mit Ipconfig /flushdns auch leeren kannst.
Aber wenn dieser Leer ist muss der client sich die neuen Daten vom DNS ziehen.
LG
Zitat von @Ausserwoeger:
Hi
Was heisst der alte client ? Ich bin davon ausgegangen das es auf keinem Client geht.
Da ist nichts fest verankert im OS ?
Natürlich gibt es einen DNS Cache auf jeder Maschiene den du mit Ipconfig /flushdns auch leeren kannst.
Aber wenn dieser Leer ist muss der client sich die neuen Daten vom DNS ziehen.
LG
Zitat von @Hendrik2586:
Das klingt sehr logisch. Das Problem ist nur, das der gute Mann vorher schon eine DNS Zone für xxx.de angelegt hat und darin einen Eintrag mit autodiscover.xxx.de der auf den Exchange zeigt. Diesen Eintrag habe ich auch angepasst auf die neue IP Adresse des neuen Exchange.
Mich wundert nur das der neue Windows Client das super mitbekommt und ohne Fehler anmeldet und die alten das alle nicht gebacken bekommen. Ist das im OS so fest verankert?
Das klingt sehr logisch. Das Problem ist nur, das der gute Mann vorher schon eine DNS Zone für xxx.de angelegt hat und darin einen Eintrag mit autodiscover.xxx.de der auf den Exchange zeigt. Diesen Eintrag habe ich auch angepasst auf die neue IP Adresse des neuen Exchange.
Mich wundert nur das der neue Windows Client das super mitbekommt und ohne Fehler anmeldet und die alten das alle nicht gebacken bekommen. Ist das im OS so fest verankert?
Hi
Was heisst der alte client ? Ich bin davon ausgegangen das es auf keinem Client geht.
Da ist nichts fest verankert im OS ?
Natürlich gibt es einen DNS Cache auf jeder Maschiene den du mit Ipconfig /flushdns auch leeren kannst.
Aber wenn dieser Leer ist muss der client sich die neuen Daten vom DNS ziehen.
LG
Ohhh...guck mal die Registry eines Windows 10 Clients nach Domains Einträgen durch. Du wärest erstaunt was sich da so alles ansammelt.
DNS Cache geleert habe ich bereits. Ich hab aber den DNS Zoneneintrag angelegt. Mal schauen ob das schon reicht.
Zitat von @Hendrik2586:
Ohhh...guck mal die Registry eines Windows 10 Clients nach Domains Einträgen durch. Du wärest erstaunt was sich da so alles ansammelt.
DNS Cache geleert habe ich bereits. Ich hab aber den DNS Zoneneintrag angelegt. Mal schauen ob das schon reicht.
Ohhh...guck mal die Registry eines Windows 10 Clients nach Domains Einträgen durch. Du wärest erstaunt was sich da so alles ansammelt.
DNS Cache geleert habe ich bereits. Ich hab aber den DNS Zoneneintrag angelegt. Mal schauen ob das schon reicht.
Hi
Ja Klar wenn du einen Client in eine Domain einbindest gibt es da auch einträge und das ist auch fix solange du den Client nicht wieder aus der Domain entfernst. Aber DNS einträge habe ich da noch keine gefunden.
LG
Zitat von @Ausserwoeger:
Hi
Ja Klar wenn du einen Client in eine Domain einbindest gibt es da auch einträge und das ist auch fix solange du den Client nicht wieder aus der Domain entfernst. Aber DNS einträge habe ich da noch keine gefunden.
LG
Zitat von @Hendrik2586:
Ohhh...guck mal die Registry eines Windows 10 Clients nach Domains Einträgen durch. Du wärest erstaunt was sich da so alles ansammelt.
DNS Cache geleert habe ich bereits. Ich hab aber den DNS Zoneneintrag angelegt. Mal schauen ob das schon reicht.
Ohhh...guck mal die Registry eines Windows 10 Clients nach Domains Einträgen durch. Du wärest erstaunt was sich da so alles ansammelt.
DNS Cache geleert habe ich bereits. Ich hab aber den DNS Zoneneintrag angelegt. Mal schauen ob das schon reicht.
Hi
Ja Klar wenn du einen Client in eine Domain einbindest gibt es da auch einträge und das ist auch fix solange du den Client nicht wieder aus der Domain entfernst. Aber DNS einträge habe ich da noch keine gefunden.
LG
Zitat von @Ausserwoeger:
Hi
Ja Klar wenn du einen Client in eine Domain einbindest gibt es da auch einträge und das ist auch fix solange du den Client nicht wieder aus der Domain entfernst. Aber DNS einträge habe ich da noch keine gefunden.
LG
Zitat von @Hendrik2586:
Ohhh...guck mal die Registry eines Windows 10 Clients nach Domains Einträgen durch. Du wärest erstaunt was sich da so alles ansammelt.
DNS Cache geleert habe ich bereits. Ich hab aber den DNS Zoneneintrag angelegt. Mal schauen ob das schon reicht.
Ohhh...guck mal die Registry eines Windows 10 Clients nach Domains Einträgen durch. Du wärest erstaunt was sich da so alles ansammelt.
DNS Cache geleert habe ich bereits. Ich hab aber den DNS Zoneneintrag angelegt. Mal schauen ob das schon reicht.
Hi
Ja Klar wenn du einen Client in eine Domain einbindest gibt es da auch einträge und das ist auch fix solange du den Client nicht wieder aus der Domain entfernst. Aber DNS einträge habe ich da noch keine gefunden.
LG
Du bringst mich da gerade auf eine Idee. Die werde ich nachher gleich mal ausprobieren. Vielen Dank erstmal.
