19
Problem mit Sicherheitszertifikat Outlook 2010 - Exchange 2010
Hallo
Ich habe schon nach dem Fehler hier gesucht, aber irgendwie passen die Lösungen nicht so ganz auf meinen Fall.
Beim Kunden läuft ein SBS2011 mit Exchange 2010. Angeschlossen sind 4 Clients mit Win 7 Pro 64bit und Office 2010. Jeder User hat in seinem Outlook zusätzlich zu seinem eigenen das Postfach des Chefs geöffnet. Die Anmeldung an jedem Client erfolgt mit den Anmeldedaten des jeweiligen Users (z.B. A,B,C,D). Das ist jedoch erst seit kurzem so. Vorher hatten sich alle (aus mehreren Gründen) mit dem gleichen Anmeldenamen und Kennwort angemeldet, also an jedem der 4 PCs mit dem User "A".
Nun ist es so, dass bei zwei Rechnern nach dem Hochfahren von Windows und dem Anmelden an die Domäne (Outlook muss nicht mal geöffnet werden) nach einiger Zeit die Meldung kommt "Sicherheitshinweis: der Name des Sicherheitszertifikats ist ungültig oder entspricht nicht dem Namen der Website".
Wenn ich mich jedoch an einem der beiden anderen PCs mit dem Namen eines Users anmelde auf dessen PC die Sicherheitsmeldung kommt, funktioniert alles und die Meldung bleibt aus. Daher tippe ich auf einen Fehler, der nur diese beiden anderen Clients betrifft.
Das Zertifikat läßt sich nicht installieren. Zumindest tut Windows so als ob alles passt und einen Moment später taucht die Meldung erneut auf. Gültig ist das Zertifikat noch bis Mitte 2013.
Ein Zugriff von extern auf den Exchange ist nicht erforderlich. Daher habe ich zwei Sachen schon probiert: ich habe zum einen in den Eigenschaften des Profils für Outlook den Haken herausgenommen für die sichere Verbindung (SSL) zwischen Outloook und Exchange und ich habe den Zugriff von Outlook auf Exchange über Proxy deaktiviert. Die Meldung kommt auf diesen beiden PCs trotzdem.
Für mich ist nicht erkennbar, was an diesen beiden PCs anders sein soll.
Da ja nicht alle PCs gleich reagieren, habe ich die div. Anleitungen im Internet noch nicht ausprobiert (z.B. Internal-URL ändern).
Hat jemand eine Idee?
Vielen Dank,
Klaus
Ich habe schon nach dem Fehler hier gesucht, aber irgendwie passen die Lösungen nicht so ganz auf meinen Fall.
Beim Kunden läuft ein SBS2011 mit Exchange 2010. Angeschlossen sind 4 Clients mit Win 7 Pro 64bit und Office 2010. Jeder User hat in seinem Outlook zusätzlich zu seinem eigenen das Postfach des Chefs geöffnet. Die Anmeldung an jedem Client erfolgt mit den Anmeldedaten des jeweiligen Users (z.B. A,B,C,D). Das ist jedoch erst seit kurzem so. Vorher hatten sich alle (aus mehreren Gründen) mit dem gleichen Anmeldenamen und Kennwort angemeldet, also an jedem der 4 PCs mit dem User "A".
Nun ist es so, dass bei zwei Rechnern nach dem Hochfahren von Windows und dem Anmelden an die Domäne (Outlook muss nicht mal geöffnet werden) nach einiger Zeit die Meldung kommt "Sicherheitshinweis: der Name des Sicherheitszertifikats ist ungültig oder entspricht nicht dem Namen der Website".
Wenn ich mich jedoch an einem der beiden anderen PCs mit dem Namen eines Users anmelde auf dessen PC die Sicherheitsmeldung kommt, funktioniert alles und die Meldung bleibt aus. Daher tippe ich auf einen Fehler, der nur diese beiden anderen Clients betrifft.
Das Zertifikat läßt sich nicht installieren. Zumindest tut Windows so als ob alles passt und einen Moment später taucht die Meldung erneut auf. Gültig ist das Zertifikat noch bis Mitte 2013.
Ein Zugriff von extern auf den Exchange ist nicht erforderlich. Daher habe ich zwei Sachen schon probiert: ich habe zum einen in den Eigenschaften des Profils für Outlook den Haken herausgenommen für die sichere Verbindung (SSL) zwischen Outloook und Exchange und ich habe den Zugriff von Outlook auf Exchange über Proxy deaktiviert. Die Meldung kommt auf diesen beiden PCs trotzdem.
Für mich ist nicht erkennbar, was an diesen beiden PCs anders sein soll.
Da ja nicht alle PCs gleich reagieren, habe ich die div. Anleitungen im Internet noch nicht ausprobiert (z.B. Internal-URL ändern).
Hat jemand eine Idee?
Vielen Dank,
Klaus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 196041
Url: https://administrator.de/contentid/196041
Printed on: April 23, 2024 at 09:04 o'clock
19 Comments
Latest comment
Erstmal mit nslookup Einstellungen überprüfen, ich tippe auf DNS Fehler (Autodiscover) ,schau mal Deine DNS Einstellungen an, ob Autodiscover als SRV Eintrag enthalten ist, sonst probier die DNS Einstellungen in der Netzwerkkarte manuell einzustellen.
Schau mal ob das Zertifikat eventuell per GPO verteilt wird. Wenn es dann noch ein altes ist, kann es die Fehlermeldung verursachen.
Ansonsten erstell das Zertifikat doch einfach neu.
http://www.mikepfeiffer.net/2010/03/managing-certificates-using-exchang ...
Ansonsten erstell das Zertifikat doch einfach neu.
http://www.mikepfeiffer.net/2010/03/managing-certificates-using-exchang ...
Hallo Frankyk
Jetzt wo ich das lese ... ja, es steht in der Meldung meist "remote.<domäne.de", bzw. auch ab und zu "autodiscover.<domäne.de>".
Geht es hier um die DNS-Einstellungen der betroffenen PCs? Muss autodiscover als SRV-Eintrag im DNS am Server vorhanden sein?
Gruß,
Klaus
Jetzt wo ich das lese ... ja, es steht in der Meldung meist "remote.<domäne.de", bzw. auch ab und zu "autodiscover.<domäne.de>".
Geht es hier um die DNS-Einstellungen der betroffenen PCs? Muss autodiscover als SRV-Eintrag im DNS am Server vorhanden sein?
Gruß,
Klaus
Ja der eintrag autodiscover sollte im DNS hinterlegt sein.
Ja richtig. Hatte bei einem unseren Kunden das gleiche Problem. Autodiscover MUSS zwingend im DNS eingetragen sein (Seit Exchange 2007).
In den Forward-Lookup Zone unter _tcp einen SRV. Portnummer 443 (SSL), das wars.
In den Forward-Lookup Zone unter _tcp einen SRV. Portnummer 443 (SSL), das wars.
Ich habe den DNS-Manager aufgerufen. Laut Microsoft kann man die SRV-Einträge an folgender Stelle kontrollieren:
Forward-Lookupzonen /Domain_Name/_msdcs/dc/_sites/Default-First-Site-Name/_tcp
Forward-Lookupzonen /Domain_Name/_msdcs/dc/_tcp
Der Ordner _msdcs ist jedoch gegraut mit der Info, "identisch mit übergeordnetem Ordner".
Wenn ich dort in "_sites/Default-First-Site-Name/_tcp" reinschaue, kommen 3 Einträge _gc, _kerberos, _ldap.
Unter "_tcp" steht noch zusätzlich ein Eintrag _kpasswd.
nslookup (im DNS-Manager gestartet) zeigt die Info: "Standardserver: UnKnown"
Forward-Lookupzonen /Domain_Name/_msdcs/dc/_sites/Default-First-Site-Name/_tcp
Forward-Lookupzonen /Domain_Name/_msdcs/dc/_tcp
Der Ordner _msdcs ist jedoch gegraut mit der Info, "identisch mit übergeordnetem Ordner".
Wenn ich dort in "_sites/Default-First-Site-Name/_tcp" reinschaue, kommen 3 Einträge _gc, _kerberos, _ldap.
Unter "_tcp" steht noch zusätzlich ein Eintrag _kpasswd.
nslookup (im DNS-Manager gestartet) zeigt die Info: "Standardserver: UnKnown"
Also soweit ich weiß muß der SRV Eintrag in "Deiner" Zone "XY" stehen. Unter _tcp.Darin stehen z.b. globale Katalog,das ldap usw.
Aber wie erstelle ich den Eintrag? Ich habe in _tcp rechts geklickt "weitere neue Einträge...", habe "Dienstidentifizierung SRV" ausgewählt und bin auf "Eintrag erstellen".
Was muss ich unter "Dienst, Protokoll, Host der diesen Dienst anbietet" eintragen?
Danke schonmal!
Was muss ich unter "Dienst, Protokoll, Host der diesen Dienst anbietet" eintragen?
Danke schonmal!
rechte Maustaste (Kontex), auf "weitere Einträge" ,im Dropdown "SRV" auswählen,dann unter Dienst NICHTS auswählen, sondern "_autodiscover" reinschreiben,Protokoll "_tcp",Priorität "0",Gewichtung "100",und Port eben "443"
Okay, hab ich gemacht. Werden diese Änderungen sofort aktiv oder muss das noch irgendwie vorangetrieben werden?
Komisch nur, dass es ja nur zwei der PCs betrifft ... aber gut, mal sehen.
Ich sitze an der Fernwartung und werde den Kunden die Rechner neu anmelden lassen.
Komisch nur, dass es ja nur zwei der PCs betrifft ... aber gut, mal sehen.
Ich sitze an der Fernwartung und werde den Kunden die Rechner neu anmelden lassen.
Das wundert micht auch.
Ansonsten verweisen nur die 2 Clients dann nicht auf den SOA.
Am besten neu anmelden lassen.
Achja: DNS Zone am Server aktualisieren zur Sicherheit.
Hallo Frankyk
Das wars leider noch nicht ... die Meldung kommt nach Neuanmeldung immer noch.
Gruß,
Klaus
Das wars leider noch nicht ... die Meldung kommt nach Neuanmeldung immer noch.
Gruß,
Klaus
Versuch die Mailboxen neu reinzuhängen.
Evtl. liegt da noch der Fehler.
Evtl. liegt da noch der Fehler.
Reicht es wenn ich den Dienst Exchange Informationsspeicher neu starte oder soll ich in der Exchange-Konsole die Bereitstellung der Datenbank aufheben und neu verbinden?
Brauchst eigentlich nicht.
Ich würde in der Systemsteuerung unter "Mail" den Account löschen.
Dannach Outlook neu starten und das Konto automatisch neu einrichten lassen.
Autodiscover sollte dann ziehen und aufgrund deinen Einstellungen (Username) die Mailbox automatisch ermitteln und konfigurieren.
Ich würde in der Systemsteuerung unter "Mail" den Account löschen.
Dannach Outlook neu starten und das Konto automatisch neu einrichten lassen.
Autodiscover sollte dann ziehen und aufgrund deinen Einstellungen (Username) die Mailbox automatisch ermitteln und konfigurieren.
Okay, ich gehe sowieso morgen oder übermorgen zum Kunden vor-Ort, dann richte ich auf den beiden Clients die Outlook-Profile neu ein. Mal sehen was dann passiert. Ich gebe auf alle Fälle Rückantwort.
Gruß und vielen Dank,
Klaus
Gruß und vielen Dank,
Klaus
Hallo
So, Weihnachtsurlaub beim Kunden herum und die Fehlermeldungen kommen nach wie vor. Ich hatte im letzten Schritt auf den beiden PCs die Outlook-Profile neu erstellt. Also leider noch kein Erfolg.
Gruß,
Klaus
So, Weihnachtsurlaub beim Kunden herum und die Fehlermeldungen kommen nach wie vor. Ich hatte im letzten Schritt auf den beiden PCs die Outlook-Profile neu erstellt. Also leider noch kein Erfolg.
Gruß,
Klaus
Hallo zusammen
Ich muss das Thema nochmals aufgreifen, denn jetzt gibt es immer mehr Probleme, die ich nicht in den Griff bekomme.
Mittlerweile gibt es vereinzelt bei den Clients schon Probleme bei der Anmeldung an der Domäne (die dauert verdächtig lange). Wenn die Anmeldung erfolgt ist, kommt nach Outllok(2010)-Start eine Kennwortaufforderung. Gebe ich das Kennwort des Users zu seinem Usernamen ein, geht das Fenster erneut auf, weil das Passwort nicht akzeptiert wird. Nach mehrmaliger Eingabe startet zwar Outlook, aber es besteht keine Verbindung zum Exchange-Server.
Die Fehlermeldung die sich immer öffnet:"Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyservers vor. Der Name des Sicherheitszertifikats ist ungültig oder entspricht nicht dem Namen der Zielwebseite 'remote.domainname.de'. Von Outlook kann keine Verbindung mit dem Proxyserver hergestellt werden (Fehlercode 10)".
Wenn ich mir das Zertifikat anzeigen lasse, dann steht da eine externe URL des Providers. Das passt wirklich nicht zusammen. Ich kann mir überhaupt nicht erklären, warum das mit einem male nicht mehr funktioniert.
Eine grundsätzliche Frage: der Kunde hat 4 Clients, die ausschließlich übers interne Netzwerk auf den Exchange zugreifen. Es wird kein externer Zugriff benötigt, auch in Zukunft nicht. Kann man diese ganze Sache mit der SSL-Verschlüsselung und dem Zertifikat nicht ausschalten?
Viele Grüße,
Klaus
Ich muss das Thema nochmals aufgreifen, denn jetzt gibt es immer mehr Probleme, die ich nicht in den Griff bekomme.
Mittlerweile gibt es vereinzelt bei den Clients schon Probleme bei der Anmeldung an der Domäne (die dauert verdächtig lange). Wenn die Anmeldung erfolgt ist, kommt nach Outllok(2010)-Start eine Kennwortaufforderung. Gebe ich das Kennwort des Users zu seinem Usernamen ein, geht das Fenster erneut auf, weil das Passwort nicht akzeptiert wird. Nach mehrmaliger Eingabe startet zwar Outlook, aber es besteht keine Verbindung zum Exchange-Server.
Die Fehlermeldung die sich immer öffnet:"Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyservers vor. Der Name des Sicherheitszertifikats ist ungültig oder entspricht nicht dem Namen der Zielwebseite 'remote.domainname.de'. Von Outlook kann keine Verbindung mit dem Proxyserver hergestellt werden (Fehlercode 10)".
Wenn ich mir das Zertifikat anzeigen lasse, dann steht da eine externe URL des Providers. Das passt wirklich nicht zusammen. Ich kann mir überhaupt nicht erklären, warum das mit einem male nicht mehr funktioniert.
Eine grundsätzliche Frage: der Kunde hat 4 Clients, die ausschließlich übers interne Netzwerk auf den Exchange zugreifen. Es wird kein externer Zugriff benötigt, auch in Zukunft nicht. Kann man diese ganze Sache mit der SSL-Verschlüsselung und dem Zertifikat nicht ausschalten?
Viele Grüße,
Klaus
Gibt es für das Problem schon eine Lösung?
