82088
May 09, 2011, updated at 13:38:26 (UTC)
21938
7
0
Exchange 2010 Sicherheitszertifikat Namensgebung
Wir haben in einem zu betreuenden Unternhemen 4x Windows Server 2008 R2 mit einen Exchange Server 2010 und haben dabei ein Zertifikatsproblem mit der Namensgebung unseres Servers und der externen Domäne.
Da über eine SSL Verbindung sauber gesynct werden soll haben wir auf den externen Domänen Namen ein Zertifikat erstellen lassen:
mail.meine-domäne.de
Dieses Zertifikat wurde dann von uns hinterlegt.
Nun ist in der Exchange-Verwaltungskonsole in der Serverkonfiguration folgende Zertifikatssituation zu sehen:
Selbstsigniertes Zertifikat - "Microsoft Exchange" - IMAP, POP, SMTP - CN=server-exchange
Nicht Selbstsigniertes Zertifikat - "mail.meine-domäne.de" - IIS - CN=mail.meine-domäne.de, ...
Es funktioniert der OWA und der Sync mit den Handys sauber nach der Zertifikatseinbindung.
Lediglich beim Start von Outlook erhalten alle User einen Sicherheitshinweis.
Outlook möchte das Zertifikat der externen Domäne verwenden, welches natürlich nicht zu unserem Server/Verbindungsnamen passt.
An welcher Stelle ist nun was zu korigieren?
Vielen Dank im Voraus für Eure Tipps/Hilfe.
mail.meine-domäne.de
Dieses Zertifikat wurde dann von uns hinterlegt.
Nun ist in der Exchange-Verwaltungskonsole in der Serverkonfiguration folgende Zertifikatssituation zu sehen:
Selbstsigniertes Zertifikat - "Microsoft Exchange" - IMAP, POP, SMTP - CN=server-exchange
Nicht Selbstsigniertes Zertifikat - "mail.meine-domäne.de" - IIS - CN=mail.meine-domäne.de, ...
Es funktioniert der OWA und der Sync mit den Handys sauber nach der Zertifikatseinbindung.
Lediglich beim Start von Outlook erhalten alle User einen Sicherheitshinweis.
Outlook möchte das Zertifikat der externen Domäne verwenden, welches natürlich nicht zu unserem Server/Verbindungsnamen passt.
An welcher Stelle ist nun was zu korigieren?
Vielen Dank im Voraus für Eure Tipps/Hilfe.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 165914
Url: https://administrator.de/contentid/165914
Printed on: April 23, 2024 at 22:04 o'clock
7 Comments
Latest comment
Hallo,
Stichwort "Autodiscover".
Set-AutodiscoverVirtualDirectory -Identity 'autodiscover (default Web site)' -ExternalUrl 'http://www.contoso.com'
Set-AutodiscoverVirtualDirectory -Identity 'autodiscover (default Web site)' -InternalUrl 'http://www.contoso.local'
Oder aber per SRV:
http://stephan-mey.de/?p=705
http://stephan-mey.de/?p=815
Gruß
Stephan
Stichwort "Autodiscover".
Set-AutodiscoverVirtualDirectory -Identity 'autodiscover (default Web site)' -ExternalUrl 'http://www.contoso.com'
Set-AutodiscoverVirtualDirectory -Identity 'autodiscover (default Web site)' -InternalUrl 'http://www.contoso.local'
Oder aber per SRV:
http://stephan-mey.de/?p=705
http://stephan-mey.de/?p=815
Gruß
Stephan
Hallo Stephan,
ich habe die besagten AutodiscoverVirtualDirectory Befehle in der Exchange Management Console ausgeführt mit den Werten der:
Wenn ich nun die Autokonfiguration im Outlook teste sehe ich:
Der Error 12175 besagt wieder:
Des weiteren habe ich den SRV Eintrag im DNS geprüft.
Hier habe ich in den Forward-Lookupzonen die Zonen:
1. meine-domäne.de
- Host (A) Eintrag mit "mail" auf die IP des des server-exchange
- _tcp Eintrag _autodiscover auf mail.meine-domäne.de
2. meine-domäne.local
- _tcp Eitnrag _autodiscover auf server-exchange.meine-domäne.local
Grüße und besten Dank im Voraus!
Florian
ich habe die besagten AutodiscoverVirtualDirectory Befehle in der Exchange Management Console ausgeführt mit den Werten der:
ExternalUrl "https://mail.meine-domaene.de/Autodiscover/Autodiscover.xml"
InternalUrl "https://server-exchange.meine-domaene.local/Autodiscover/Autodiscover.xml"
die Erreichbarkeit habe ich geprüft, Funktion war i.O..InternalUrl "https://server-exchange.meine-domaene.local/Autodiscover/Autodiscover.xml"
Wenn ich nun die Autokonfiguration im Outlook teste sehe ich:
Autodiscover to https://server-exchange.meine-domaene.local/Autodiscover/Autodiscover.xm ... starting
GetLastError = 12175; httpStatus=0,
GetLastError = 0; httpStatsus = 200.
Autodiscover to https://server-exchange.meine-domaene.local/Autodiscover/Autodiscover.xm ... succeeded
und der Sicherheitshinweis erscheint immernoch, da noch auf das "falsche" Zertifikat verwiesen wird.GetLastError = 12175; httpStatus=0,
GetLastError = 0; httpStatsus = 200.
Autodiscover to https://server-exchange.meine-domaene.local/Autodiscover/Autodiscover.xm ... succeeded
Der Error 12175 besagt wieder:
ERROR_WINHTTP_SECURE_FAILURE
12175
One or more errors were found in the Secure Sockets Layer (SSL) certificate sent by the server. To determine what type of error was encountered, check for a
WINHTTP_CALLBACK_STATUS_SECURE_FAILURE notification in a status callback function. For more information, see WINHTTP_STATUS_CALLBACK.
12175
One or more errors were found in the Secure Sockets Layer (SSL) certificate sent by the server. To determine what type of error was encountered, check for a
WINHTTP_CALLBACK_STATUS_SECURE_FAILURE notification in a status callback function. For more information, see WINHTTP_STATUS_CALLBACK.
Des weiteren habe ich den SRV Eintrag im DNS geprüft.
Hier habe ich in den Forward-Lookupzonen die Zonen:
1. meine-domäne.de
- Host (A) Eintrag mit "mail" auf die IP des des server-exchange
- _tcp Eintrag _autodiscover auf mail.meine-domäne.de
2. meine-domäne.local
- _tcp Eitnrag _autodiscover auf server-exchange.meine-domäne.local
Grüße und besten Dank im Voraus!
Florian
Hat mir denn keiner mehr einen guten Rat?!
Ich habe das Problem soeben selber gelöst bekommen, dabei war noch folgendes zu tun.
Ich habe nun das Autodiscover so eingerichtet, dass er sowohl intern als auch extern über die externe Domäne zugreift.
Zuvor habe ich ja in meinem DNS-Server den Autodiscover Wert gesetzt, so dass dieser auch erreichbar/auflösbar ist.
Nun ist in der Exchange Management Shell folgende Befehle ausgeführt.
Wichtig ist nun noch, dass man im IIS-Manager unter seinem Server / Anwendungspools, den Pool MSExchangeAutodiscoverAppPool neustartet, dies geht über "Wiederverwenden"
Nun geht meine Outlook Exchange Verbindung/ Autodiscover komplett über meinen externen Domänen Namen und es tritt kein Zertifikatsproblem mehr auf!
Ich habe nun das Autodiscover so eingerichtet, dass er sowohl intern als auch extern über die externe Domäne zugreift.
Zuvor habe ich ja in meinem DNS-Server den Autodiscover Wert gesetzt, so dass dieser auch erreichbar/auflösbar ist.
Nun ist in der Exchange Management Shell folgende Befehle ausgeführt.
set-ClientAccessService -AutodiscoverServiceInternalUri https://mail.meine-domaene.de/Autodiscover/Autodiscover.xml
set-WebServicesVirtualDirectory -identity "SERVER-EXCHANGE\EWS (Default Web Site)" -internalurl https://mail.meine-domaene.de/ews/exchange.asmx
set-OABVirtualDirectory -identity "SERVER-EXCHANGE\OAB (Default Web Site)" -internalurl https://mail.meine-domaene.de/OAB
set-WebServicesVirtualDirectory -identity "SERVER-EXCHANGE\EWS (Default Web Site)" -internalurl https://mail.meine-domaene.de/ews/exchange.asmx
set-OABVirtualDirectory -identity "SERVER-EXCHANGE\OAB (Default Web Site)" -internalurl https://mail.meine-domaene.de/OAB
Wichtig ist nun noch, dass man im IIS-Manager unter seinem Server / Anwendungspools, den Pool MSExchangeAutodiscoverAppPool neustartet, dies geht über "Wiederverwenden"
Nun geht meine Outlook Exchange Verbindung/ Autodiscover komplett über meinen externen Domänen Namen und es tritt kein Zertifikatsproblem mehr auf!
Danke an flojud! Genau das hat mir noch gefehlt.
Allerdings war die erste Zeile bei mir:
C:\Windows\system32>Set-ClientAccessServer -identity "ABG-EX04" -AutodiscoverServiceInternalUri https://mail.MEINEDOMAENE.at/Autodiscover/Autodiscover.xml
Allerdings war die erste Zeile bei mir:
C:\Windows\system32>Set-ClientAccessServer -identity "ABG-EX04" -AutodiscoverServiceInternalUri https://mail.MEINEDOMAENE.at/Autodiscover/Autodiscover.xml
Hallo Zusammen,
ich versuche gerade auf einem SBS-2011 das Problem nach Eurer Anleitung zu lösen, habe aber das Prolbem, dass "set-ClientAccessService" in der Management Shell nicht als Befehl erkannt wird. Hat jemand eine Idee woran das liegen könnte?
Gruß
Sven
ich versuche gerade auf einem SBS-2011 das Problem nach Eurer Anleitung zu lösen, habe aber das Prolbem, dass "set-ClientAccessService" in der Management Shell nicht als Befehl erkannt wird. Hat jemand eine Idee woran das liegen könnte?
Gruß
Sven
Hallo Sven,
siehe meinen vorigen Post!
siehe meinen vorigen Post!
