Zertifikatsfehler Exchange 2010 "Name des Sicherheitszertifikates"
Hallo Forum,
wir haben folgendes Problem, und zwar nach dem installieren eines Wildcard Zertifikates funktioniert zwar die OWA dienste mit SSL problemlos ,aber im Exchange könnenleider die Dienste dem Zertifikat nicht hinzugefügt werden und es poppt die Meldung auf, dass der Name auf dem Sicherheitszertifikat ungültig ist. Mit Sicherheit kommt das Problem daher, dass ja auf dem Thawte Cert *.domain steht und nicht die interne .local domain. Hat jemand eine Idee, wie ich das umgehen kann?
Vielen Dank im Voraus"
wir haben folgendes Problem, und zwar nach dem installieren eines Wildcard Zertifikates funktioniert zwar die OWA dienste mit SSL problemlos ,aber im Exchange könnenleider die Dienste dem Zertifikat nicht hinzugefügt werden und es poppt die Meldung auf, dass der Name auf dem Sicherheitszertifikat ungültig ist. Mit Sicherheit kommt das Problem daher, dass ja auf dem Thawte Cert *.domain steht und nicht die interne .local domain. Hat jemand eine Idee, wie ich das umgehen kann?
Vielen Dank im Voraus"
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 361290
Url: https://administrator.de/contentid/361290
Ausgedruckt am: 26.11.2024 um 13:11 Uhr
36 Kommentare
Neuester Kommentar
Mit Sicherheit kommt das Problem daher, dass ja auf dem Thawte Cert *.domain steht und nicht die interne .local domain. Hat jemand eine Idee, wie ich das umgehen kann?
Dito, einfach mal lesen und verstehen bevor man an Systemen bastelt die man nicht versteht ...https://www.frankysweb.de/exchange-2010-und-outlook-2016-autodiscover/
https://www.frankysweb.de/exchange-2016-umfangreiches-whitepaper-zu-auto ...
Lieber Seppelhuber,
ich finde Ihre Aussage ganz schön frech.
Administrator.de ist ein Forum wo man Fragen stellen kann und auch soll, denn davon lebt das Forum.
Wenn alle hier so intelligent und überdurchschnittlich gute Admins wären, wie Sie es anscheinend sind, bräuchten wir kein solches Forum.
Ich kann an der Frage nichts verwerfliches erkennen. Es ist und bleibt eine ganz normale Frage auf die man hätte auch in einem normalen Ton antworten können.
Mit freundlichen Grüßen
Criemo
ich finde Ihre Aussage ganz schön frech.
Administrator.de ist ein Forum wo man Fragen stellen kann und auch soll, denn davon lebt das Forum.
Wenn alle hier so intelligent und überdurchschnittlich gute Admins wären, wie Sie es anscheinend sind, bräuchten wir kein solches Forum.
Ich kann an der Frage nichts verwerfliches erkennen. Es ist und bleibt eine ganz normale Frage auf die man hätte auch in einem normalen Ton antworten können.
Mit freundlichen Grüßen
Criemo
Hallo Leo-le, hallo Alle,
habe gleiches Problem wie Leo-le nach der Installation eines SSL-Multidomain-Zertifikates von einer öffentlichen CA in unserem Exchange 2010 (SBS2011). Die Outlook 2016 Clients (Win10 Pro Maschinen) meckern den Zertifikatsnamen an, da Outlook nicht auf die im Zertifikat hinterlegte Domain "exchange.meinefirma.de" zugreift sondern auf die lokale "mein-exchange.domain.local".
Das habe ich bisher gemacht:
In der Exchange 2010 Konsole habe ich eine Zertifikatsanforderung erstellt. Habe darin auch alle benötigten Subdomains erfasst:
- autodiscover.meinefirma.de
- exchange.meinefirma.de
- mail.meinefirma.de
- imap.meinefirma.de
- smtp.meinefirma.de
Die Zertifikatsanforderung habe ich mit dem von der CA zugeschickten Zertifikat in der Exchange-Konsole ohne Fehler abgeschlossen und die Dienste IMAP, POP, IIS und SMTP daran angebunden.
Im DNS habe ich zwei Forward-Lookup Zonen "exchange.meinefirma.de" und "mail.meinefirma.de" angelegt und darin jeweils einen HOST ohne Namen (identisch mit übergeordnetem Ordner) mit der lokalen IP-Adresse des Exchange 2010 erstellt.
Weiterhin habe ich in der Forward-Lookup Zone "meinefirma.local" in dem Unterordner "_tcp" einen SRV Eintrag "_autodiscover" erstellt, der auf den Host "exchange.meinefirma.de" Port 443 verweist.
Den SCP des Exchange habe ich nach einem TechNet Artikel über die Management Shell ebenfalls angepasst:
_____________________________________________________________________________________________________________________________
[PS] C:\Windows\system32>$AutodiscoverHostName = "autodiscover.meinefirma.de"
[PS] C:\Windows\system32>Get-ExchangeServer | Where {($_.AdminDisplayVersion -Like "Version 14*") -And ($_.ServerRole -Like "*ClientAccess*")} | Set-ClientAccessServer -AutoDiscoverServiceInternalUri https://$AutodiscoverHostName/Autodiscover/Autodiscover.xml
______________________________________________________________________________________________________________________________
Das Kommando
[PS] C:\Windows\system32>Get-ExchangeServer | Where {($_.AdminDisplayVersion -Like "Version 14*") -And ($_.ServerRole -Like "*ClientAccess*")} | Get-ClientAccessServer | Format-Table Name, AutoDiscoverServiceInternalUri -Auto
gibt korrekt aus:
Name AutoDiscoverServiceInternalUri
MEIN-EXCHANGE https://autodiscover.meinefirma.de/Autodiscover/Autodiscover.xml
Trotzdem habe ich immer noch diese stressige Zertifikatswarnung beim Start von Outlook.
Alles Andere funktioniert gut.
Hat jemand eine Idee, was ich übersehen habe?
Gruß u. Dank, DQ
habe gleiches Problem wie Leo-le nach der Installation eines SSL-Multidomain-Zertifikates von einer öffentlichen CA in unserem Exchange 2010 (SBS2011). Die Outlook 2016 Clients (Win10 Pro Maschinen) meckern den Zertifikatsnamen an, da Outlook nicht auf die im Zertifikat hinterlegte Domain "exchange.meinefirma.de" zugreift sondern auf die lokale "mein-exchange.domain.local".
Das habe ich bisher gemacht:
In der Exchange 2010 Konsole habe ich eine Zertifikatsanforderung erstellt. Habe darin auch alle benötigten Subdomains erfasst:
- autodiscover.meinefirma.de
- exchange.meinefirma.de
- mail.meinefirma.de
- imap.meinefirma.de
- smtp.meinefirma.de
Die Zertifikatsanforderung habe ich mit dem von der CA zugeschickten Zertifikat in der Exchange-Konsole ohne Fehler abgeschlossen und die Dienste IMAP, POP, IIS und SMTP daran angebunden.
Im DNS habe ich zwei Forward-Lookup Zonen "exchange.meinefirma.de" und "mail.meinefirma.de" angelegt und darin jeweils einen HOST ohne Namen (identisch mit übergeordnetem Ordner) mit der lokalen IP-Adresse des Exchange 2010 erstellt.
Weiterhin habe ich in der Forward-Lookup Zone "meinefirma.local" in dem Unterordner "_tcp" einen SRV Eintrag "_autodiscover" erstellt, der auf den Host "exchange.meinefirma.de" Port 443 verweist.
Den SCP des Exchange habe ich nach einem TechNet Artikel über die Management Shell ebenfalls angepasst:
_____________________________________________________________________________________________________________________________
[PS] C:\Windows\system32>$AutodiscoverHostName = "autodiscover.meinefirma.de"
[PS] C:\Windows\system32>Get-ExchangeServer | Where {($_.AdminDisplayVersion -Like "Version 14*") -And ($_.ServerRole -Like "*ClientAccess*")} | Set-ClientAccessServer -AutoDiscoverServiceInternalUri https://$AutodiscoverHostName/Autodiscover/Autodiscover.xml
______________________________________________________________________________________________________________________________
Das Kommando
[PS] C:\Windows\system32>Get-ExchangeServer | Where {($_.AdminDisplayVersion -Like "Version 14*") -And ($_.ServerRole -Like "*ClientAccess*")} | Get-ClientAccessServer | Format-Table Name, AutoDiscoverServiceInternalUri -Auto
gibt korrekt aus:
Name AutoDiscoverServiceInternalUri
MEIN-EXCHANGE https://autodiscover.meinefirma.de/Autodiscover/Autodiscover.xml
Trotzdem habe ich immer noch diese stressige Zertifikatswarnung beim Start von Outlook.
Alles Andere funktioniert gut.
Hat jemand eine Idee, was ich übersehen habe?
Gruß u. Dank, DQ
Hi,
Hat jemand eine Idee, was ich übersehen habe?
Ja...die restlichen virtuellen Verzeichnisse.
https://www.msxfaq.de/exchange/e2007/casurls.htm
Gruß, V
Hat jemand eine Idee, was ich übersehen habe?
Ja...die restlichen virtuellen Verzeichnisse.
https://www.msxfaq.de/exchange/e2007/casurls.htm
Gruß, V
Du kannst das durchsimulieren lassen über:
https://mxtoolbox.com
Das kann dir alle Zertifikatsfehleranzeigen wenn du auf Details gehst.
https://mxtoolbox.com
Das kann dir alle Zertifikatsfehleranzeigen wenn du auf Details gehst.
Zitat von @Leo-le:
Sieht alles sauber aus bei mxtools.com.
Seit Freitag ist die Umstellung aktiv, aber bei 1-2 Kollegen kommt es immer noch zu der Meldung. Woran könnte es noch liegen?
Vielen Dank im Voraus!
Moin,Sieht alles sauber aus bei mxtools.com.
Seit Freitag ist die Umstellung aktiv, aber bei 1-2 Kollegen kommt es immer noch zu der Meldung. Woran könnte es noch liegen?
Vielen Dank im Voraus!
einfach mal ein ipconfig /flushdns gemacht? Oder mal Outlook aus dem Cached Modus genommen zum testen?
Gruß, V
Hallo Leo-Le,
in deinem internen DNS bekommt das autodiscover auch eine interne IP. Die externe IP für autodiscover wird duch den A Eintrag bei deinem ISP gemacht und NICHT über deinen internen DNS.
https://www.frankysweb.de/exchange-2010-und-outlook-2016-autodiscover/
Zitat:
[....Alles was jetzt noch benötigt wird ist ein Zertifikat welches die Namen „autodiscover.frankysweb.de“ und „outlook.frankysweb.de“ enthält und die DNS Einträge.
Die meisten werden wohl Split Brain DNS betreiben, sprich die externe Domain, in diesem Beispiel frankysweb.de. liegt bei irgendeinem Provider. Dort werden autodiscover.frankysweb.de und outlook.frankysweb.de als Subdomain, oder HOST-A (je nachdem wie der Provider das gerade nennt) eingetragen. Die HOST-A Einträge enthalten dann die externe IP Adresse unter der Exchange erreichbar ist.
Am internen DNS das gleiche Spiel, jedoch mit der internen IP-Adresse. Fertig. 15 Minuten warten nicht vergessen, so klappts auch mit Outlook 2016 und Exchange 2010......]
in deinem internen DNS bekommt das autodiscover auch eine interne IP. Die externe IP für autodiscover wird duch den A Eintrag bei deinem ISP gemacht und NICHT über deinen internen DNS.
https://www.frankysweb.de/exchange-2010-und-outlook-2016-autodiscover/
Zitat:
[....Alles was jetzt noch benötigt wird ist ein Zertifikat welches die Namen „autodiscover.frankysweb.de“ und „outlook.frankysweb.de“ enthält und die DNS Einträge.
Die meisten werden wohl Split Brain DNS betreiben, sprich die externe Domain, in diesem Beispiel frankysweb.de. liegt bei irgendeinem Provider. Dort werden autodiscover.frankysweb.de und outlook.frankysweb.de als Subdomain, oder HOST-A (je nachdem wie der Provider das gerade nennt) eingetragen. Die HOST-A Einträge enthalten dann die externe IP Adresse unter der Exchange erreichbar ist.
Am internen DNS das gleiche Spiel, jedoch mit der internen IP-Adresse. Fertig. 15 Minuten warten nicht vergessen, so klappts auch mit Outlook 2016 und Exchange 2010......]
Hi,
Hier ein Link zum besseren Verständnis von Autodiscover & DNS
https://www.msxfaq.de/exchange/autodiscover/autodiscover_dns.htm
Jap stimmt der Exchange und Wildcards sind so ein Ding für sich.
Was du machen kannst sind die einzelnen Dienste benennen und diesen das immer Wcard zuweisen.
Owa.deinedomain.de
EWS.deinedomain.de
Autodiscover.deinedomain.de
Aber alle mit dem gleichen Wcard berechtigen.
Das funktioniert ohne Probleme.
Hier ein Link zum besseren Verständnis von Autodiscover & DNS
https://www.msxfaq.de/exchange/autodiscover/autodiscover_dns.htm
Jap stimmt der Exchange und Wildcards sind so ein Ding für sich.
Was du machen kannst sind die einzelnen Dienste benennen und diesen das immer Wcard zuweisen.
Owa.deinedomain.de
EWS.deinedomain.de
Autodiscover.deinedomain.de
Aber alle mit dem gleichen Wcard berechtigen.
Das funktioniert ohne Probleme.
Sorry, dass ich erst jetzt schreibe.
Klar geht das nur nicht einfach so.
Ich empfehle dir folgenden Artikel zulesen:
https://www.msxfaq.de/cluster/dnsroundrobin.htm
Viele Grüße
Criemo
Klar geht das nur nicht einfach so.
Ich empfehle dir folgenden Artikel zulesen:
https://www.msxfaq.de/cluster/dnsroundrobin.htm
Viele Grüße
Criemo
Moin,
in der Registry unter
oder für 1-Click installer
Dort findest du dann jeweils den Pfad
Gruß, V
Zitat von @Leo-le:
Hallo Criemo, besten Dank!
Leider ist bei einem einzelnen die Sicherheitsmeldung nun wieder aufgetreten. Wo genau kann ich mir die XML anschauen, die dieser Client benötigt?
Hallo Criemo, besten Dank!
Leider ist bei einem einzelnen die Sicherheitsmeldung nun wieder aufgetreten. Wo genau kann ich mir die XML anschauen, die dieser Client benötigt?
in der Registry unter
[HKLM\SOFTWARE\Microsoft\Office\<Version>\Outlook\AutoDiscover] bzw. [HKCU\SOFTWARE\Microsoft\Office\<Version>\Outlook\AutoDiscover]
[Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Outlook\AutoDiscover]
Dort findest du dann jeweils den Pfad
Gruß, V
Hi,
Mache es doch einfacher:
öffne Outlook am Client, da wo der Fehler auftritt
Dann gehe auf das Status Symbol von Outlook unten rechts an der Uhr
drücke die STRG Taste und gehe auf "E-Mail - Autokonfiguration testen"
lass das Häckchen nur bei Auto- Ermittlung gesetzt.
gib die Email adresse des Users samt Passwort ein und drücke auf Test.
dann schau dir genau an was da Sache ist.
du kannst es dann gerne auch Posten und wir schauen dann mal drücber.
VG
Criemo
Mache es doch einfacher:
öffne Outlook am Client, da wo der Fehler auftritt
Dann gehe auf das Status Symbol von Outlook unten rechts an der Uhr
drücke die STRG Taste und gehe auf "E-Mail - Autokonfiguration testen"
lass das Häckchen nur bei Auto- Ermittlung gesetzt.
gib die Email adresse des Users samt Passwort ein und drücke auf Test.
dann schau dir genau an was da Sache ist.
du kannst es dann gerne auch Posten und wir schauen dann mal drücber.
VG
Criemo