Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Clients kriegen ein falsches Zertifikat

Frage Microsoft Exchange Server

Mitglied: BergmannCM

BergmannCM (Level 1) - Jetzt verbinden

08.04.2013, aktualisiert 21.01.2014, 9476 Aufrufe, 13 Kommentare

Hallo,
ich bin neu hier im Forum und habe auch gleich eine Frage.
Wir haben folgendes Problem. Outlook wirft nach dem Start einen Sicherheitshinweis aus:
3552100c1ec42c67b334662b0621ebd9 - Klicke auf das Bild, um es zu vergrößern
Das „Falsche“ Zertifikat kommt anscheinend von unseren Hoster.
32e968cbcfc9c4155c128a4133808dd7 - Klicke auf das Bild, um es zu vergrößern
7bb2811e8bb9fab538d4ad547178e2c7 - Klicke auf das Bild, um es zu vergrößern
860e6043a0c8141ed7a19db373d2fc9c - Klicke auf das Bild, um es zu vergrößern
Nun stellt sich uns die Frage von wo Outlook das Flasche Zertifikat bekommt. Hier nochmal der Autokonfigurations-Test:
a2286d60ba65a8fbac73790567e8b614 - Klicke auf das Bild, um es zu vergrößern
84948de0ca27233111cb9c833bc6313c - Klicke auf das Bild, um es zu vergrößern
Und hier ein Screenshot der MX-Records:
5b0a647eb108c91bcdf2cd60d147d411 - Klicke auf das Bild, um es zu vergrößern
Für eine Lösung oder ein Tipp wäre ich sehr dankbar.

Hier noch ein paar Hintergrund Informationen:
Benutzt wird ein Windows SBS-Server 2011 + Exchange 2010
Outlook wird in den Versionen 2007 und 2010 verwendet.

Gruß
Waldemar
Mitglied: bennnib
08.04.2013 um 09:46 Uhr
Wie siehts denn mit den Bindungen des Zertifikats aus? Im IIS oder unter
Exchange-Verwaltungskonsole -> Serverkonfiguration -> Exchange-Zertifikate.
Sind dort die Dienste für SMTP und IIS auf deinem Zertifikat?
Bitte warten ..
Mitglied: keine-ahnung
08.04.2013 um 10:11 Uhr
Zitat von BergmannCM:
Hi,
Das „Falsche“ Zertifikat kommt anscheinend von unseren Hoster.
Ihr müsst doch wissen, ob Euch Euer Hoster ein Zertifikat zur Verfügung stellt? Habt Ihr das gekauft?

Nun stellt sich uns die Frage von wo Outlook das Flasche Zertifikat bekommt.
Flasche leer?
Benutzt wird ein Windows SBS-Server 2011 + Exchange 2010
Ihr habt auf einen SBS2011 noch einen Exchange draufgebügelt?

Seit wann läuft der SBS? Hat der "Installateur" ein wenig Ahnung davon gehabt?

LG, Thomas
Bitte warten ..
Mitglied: BergmannCM
08.04.2013 um 10:24 Uhr
Zitat von bennnib:
Wie siehts denn mit den Bindungen des Zertifikats aus? Im IIS oder unter
Exchange-Verwaltungskonsole -> Serverkonfiguration -> Exchange-Zertifikate.
Sind dort die Dienste für SMTP und IIS auf deinem Zertifikat?

Wie es aussieht sind die Dienste drauf.
3ffe9a1a35fc816aa766e52d5b99fc0e - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: BergmannCM
08.04.2013 um 10:49 Uhr
Zitat von BergmannCM:
Ihr müsst doch wissen, ob Euch Euer Hoster ein Zertifikat zur Verfügung stellt? Habt Ihr das gekauft?
Das müsste eigentlich doch egal sein. Der Client soll ja nur das Zertifikat vom Server und nicht vom Hoster nehmen.
Ihr habt auf einen SBS2011 noch einen Exchange draufgebügelt?
Nein, selbstverständlich enthält der "Windows Small Buisness Server 2011" den "Exchange Server 2010 SP1".
Seit wann läuft der SBS? Hat der "Installateur" ein wenig Ahnung davon gehabt?
Der Server läuft seit November 2012 und der "Installateur" hatte eine Schulung für den SBS 2003 gemacht. Er kennt sich nicht so gut mit Zertifikaten aus.
Bitte warten ..
Mitglied: Ausserwoeger
08.04.2013 um 10:56 Uhr
Hi

Eine Frage welches Outlook macht den die Fehlermeldung, nur Interne clients die über LAN mit dem Server komunizieren oder Externe Clients die über das Internet (autodiscover) mit dem Server verbunden sind ?

Es steht ja gleich am ersten bild was hier am zertifikat nicht passt. Der Name stimmt nicht überein.

Beispiel: Ich habe eine Interne Domain: Test.intern und eine Externe Domain test.extern. Ich erstelle mir ein SSL Zertifikat für meinen OWA zugang und gebe den Namen der Externen Domain an also. test.extern.

Wenn jetzt ein Client von intern eine verbindung aufbauen will kommt er über die Domain test.intern zum Server da er ja im Lan hängt. Was macht also der Client ? Er sagt das Zertifikat kann nicht stimmen den ich bin nicht die Domain test.extern.

Es gibt also mehrere möglichkeiten das zu unterbinden.

1.) Erstelle ein Multidomain Zertifikat das für beide Domain gültig ist intern und extern. Das kannst du einfach in der Exchnage console beantragen und dir selbst Freischalten indem du es genemigst. http://servername/certsrv im IE eingeben und Freischalten.

2.) Ein Öffenliches Multidomain Zertifikat kaufen und einbinden.

3.) Das Zertifikat für die Externe Domain lassen und bei den Internen Outlook clients den Hacken für die Verbindung über HTTPs herausnehmen.

LG Andy
Bitte warten ..
Mitglied: BergmannCM
08.04.2013 um 11:29 Uhr
Zitat von Ausserwoeger:
Hi

Eine Frage welches Outlook macht den die Fehlermeldung, nur Interne clients die über LAN mit dem Server komunizieren oder
Externe Clients die über das Internet (autodiscover) mit dem Server verbunden sind ?

Es steht ja gleich am ersten bild was hier am zertifikat nicht passt. Der Name stimmt nicht überein.

Beispiel: Ich habe eine Interne Domain: Test.intern und eine Externe Domain test.extern. Ich erstelle mir ein SSL Zertifikat
für meinen OWA zugang und gebe den Namen der Externen Domain an also. test.extern.

Wenn jetzt ein Client von intern eine verbindung aufbauen will kommt er über die Domain test.intern zum Server da er ja im
Lan hängt. Was macht also der Client ? Er sagt das Zertifikat kann nicht stimmen den ich bin nicht die Domain test.extern.

Hallo Andy,
die Clients sind nur Intern angebunden. In den Einstellungen von Outlook ist die https Verbindung auch deaktiviert.
wenn die Interne Domäne test.local heißt und die Externe Domäne test.de dann steht im Zertifikat immer noch "*.your-server.de"
Bitte warten ..
Mitglied: Ausserwoeger
08.04.2013 um 11:36 Uhr
Zitat von BergmannCM:
Hallo Andy,
die Clients sind nur Intern angebunden. In den Einstellungen von Outlook ist die https Verbindung auch deaktiviert.
wenn die Interne Domäne test.local heißt und die Externe Domäne test.de dann steht im Zertifikat immer noch
"*.your-server.de"

Hi

Sei mir nicht böse aber wenn Https auf den clients deaktiviert ist warum suchen sie dann über autodiscover (Https) eine verbindung zum Server.

Dann würde ich sagen du änderst das indem du überprüftst ob der Autodiscover eintrag auf deinen Server also auf deine Externe IP zeigt und er auch deinen Server kontaktieren will und nicht den des Hosters.

Dann würde ich das Zertifikat überprüfen das im Exchange aktiv ist. Ist es gültig ? Ist es richtig ausgestellt ?

LG Andy
Bitte warten ..
Mitglied: keine-ahnung
08.04.2013 um 12:10 Uhr
Moin nochmal,

die Gretchenfrage ist doch ersteinmal: Wo kommt das Zertifikat her (jemand muss es doch, vermutlich auch mit einer gewissen Motivation, installiert haben)??

LG, Thomas
Bitte warten ..
Mitglied: Ausserwoeger
08.04.2013 um 12:24 Uhr
Zitat von keine-ahnung:
Moin nochmal,

die Gretchenfrage ist doch ersteinmal: Wo kommt das Zertifikat her (jemand muss es doch, vermutlich auch mit einer gewissen
Motivation, installiert haben)??

LG, Thomas

Hi

Meistens der Internet anbieter oder der Domainhoster. Allerdings wissen ja beide nicht ob du einen Exchnageserver hast also gehen sie davon aus das sie Autodiscover übernehmen müssen. Deswegen denke ich auch das sich ein Server des Hosters mit diesem Zertifikat meldet.

Der Autodiscovertest kann somit auch nicht funktionieren.

LG Andy
Bitte warten ..
Mitglied: BergmannCM
08.04.2013 um 13:59 Uhr
Zitat von Ausserwoeger:
> Zitat von keine-ahnung:
> ----
> Moin nochmal,
>
> die Gretchenfrage ist doch ersteinmal: Wo kommt das Zertifikat her (jemand muss es doch, vermutlich auch mit einer gewissen
> Motivation, installiert haben)??
>
> LG, Thomas

Hi

Meistens der Internet anbieter oder der Domainhoster. Allerdings wissen ja beide nicht ob du einen Exchnageserver hast also gehen
sie davon aus das sie Autodiscover übernehmen müssen. Deswegen denke ich auch das sich ein Server des Hosters mit diesem
Zertifikat meldet.

Der Autodiscovertest kann somit auch nicht funktionieren.

LG Andy

Das ist ein guter Ansatz. Dafür sind aber die MX-Records da um diese Anfrage umzuleiten. In dem rot markierten Bereich sieht man das alle Anfragen die "mail.domäne.de" heißen, an die feste IP-Adresse des Exchange-Servers weitergeleitet werden.
313809c63f490cd313e5c16df0dcf275 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: No.INI
LÖSUNG 17.01.2014, aktualisiert 21.01.2014
Schade, dass da offensichtlich keine Lösung gefunden wurde, denn ich habe so ziemlich (wenn auch nicht ganz) das gleiche Problem...

Grüße

FMS
Bitte warten ..
Mitglied: BergmannCM
21.01.2014 um 02:16 Uhr
Zitat von No.INI:

Schade, dass da offensichtlich keine Lösung gefunden wurde, denn ich habe so ziemlich (wenn auch nicht ganz) das gleiche
Problem...

Grüße

FMS

Hallo FMS,

ich habe damals keine richtige Lösung zum Problem gefunden. Es gibt aber eine Lösung die lediglich die Fehlermeldung ausblendet. Da unser Kunde eine sofortige Lösung haben wollte, haben wir den Fehler auf diese Art kaschiert:

http://www.hosting-hilfe.eu/index.php?title=SSL_Fehler_Exchange

Ich denke es hat was mit den MX-Records zu tuen. Falls du auf ne Lösung kommst, kannst du diese ja hier reinschreiben.
Bitte warten ..
Mitglied: Ausserwoeger
21.01.2014, aktualisiert um 10:19 Uhr
Hi

Warum es gibt doch eine Lösung einfach ein multidomain Zertifikat erstellen oder Kaufen. Meine 30 Kunden mit SBS Servern haben das Problem auch nicht.

Wenn der DNS Richtig konfiguriert ist und die Zertifikate passen gibt es auch keine Meldung

LG
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...

Windows Update
Clients reporten nicht an WSUS (6)

Frage von mk139 zum Thema Windows Update ...

Virtualisierung
OpenSource Desktop-Virtualisierung für Thin-Clients (7)

Frage von Fenris14 zum Thema Virtualisierung ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...