8
Exchange 2003 über OWA (https) von draußen geht - im lokalen Netzt aber Zertifikatsfehler
Gegeben:
Alter Exchange Server Version 2003 auf einem Windows Server 2003 R21. OWA ist eingerichtet und läuft über https bisher fehlerfrei, solange der Zugriff von außerhalb des lokalen Netzwerkes geschieht.
Stammzertifikat der eigenen Zertifizierungsstelle auf die externe IP-Adresse ausgestellt.
Vorgehensweise
Zunächst wird auf dem entsprechenden Computer das Stammzertifikat der eigenen Zertifizierungsstelle im Zertifikatspeicher "Vertrauenswürdige Stammzertifizierungsstellen" installiert.
Anschließend wird OWA über die externe/öffentliche IP-Adresse des Netzwerkes aufgerufen:
https://a.b.c.d/exchange
Das alles funktioniert auch problemlos, so wie auch die Anbindung mobiler Geräte.
Problem:
Intern, also vom lokalen Netzwerk aus, lässt sich OWA von einigen Arbeitsplätzen aus nicht starten. Es wird folgende Fehlermeldung im Browser ausgegeben:
Das Zertifikat ist aber gültig und nicht gesperrt.
Bisher habe ich das Verhalten auf einem Windows Server 2008 R2 und auf Windows-7-PCs beobachtet. Einige Tests – es folgen weitere – auf Windows Server 2003 und Windows XP verliefen bisher problemlos.
Hat das womöglich mit dem Betriebssystem zu tun? Kennt jemand dieses Verhalten?
Im Voraus herzlichen Dank!
temuco
Alter Exchange Server Version 2003 auf einem Windows Server 2003 R21. OWA ist eingerichtet und läuft über https bisher fehlerfrei, solange der Zugriff von außerhalb des lokalen Netzwerkes geschieht.
Stammzertifikat der eigenen Zertifizierungsstelle auf die externe IP-Adresse ausgestellt.
Vorgehensweise
Zunächst wird auf dem entsprechenden Computer das Stammzertifikat der eigenen Zertifizierungsstelle im Zertifikatspeicher "Vertrauenswürdige Stammzertifizierungsstellen" installiert.
Anschließend wird OWA über die externe/öffentliche IP-Adresse des Netzwerkes aufgerufen:
https://a.b.c.d/exchange
Das alles funktioniert auch problemlos, so wie auch die Anbindung mobiler Geräte.
Problem:
Intern, also vom lokalen Netzwerk aus, lässt sich OWA von einigen Arbeitsplätzen aus nicht starten. Es wird folgende Fehlermeldung im Browser ausgegeben:
Es besteht ein Problem mit dem Sicherheitszertifikat der Website.
Das Zertifikat dieser Organisation wurde gesperrt.
Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin, Sie auszutricksen bzw. Daten die Sie an den Server gesendet haben abzufangen.
Es wird empfohlen, dass Sie die Webseite schließen und nicht zu dieser Website wechseln.
Klicken Sie hier, um diese Webseite zu schließen.
Weitere Informationen
Das Zertifikat dieser Organisation wurde gesperrt.
Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin, Sie auszutricksen bzw. Daten die Sie an den Server gesendet haben abzufangen.
Es wird empfohlen, dass Sie die Webseite schließen und nicht zu dieser Website wechseln.
Klicken Sie hier, um diese Webseite zu schließen.
Weitere Informationen
Das Zertifikat ist aber gültig und nicht gesperrt.
Bisher habe ich das Verhalten auf einem Windows Server 2008 R2 und auf Windows-7-PCs beobachtet. Einige Tests – es folgen weitere – auf Windows Server 2003 und Windows XP verliefen bisher problemlos.
Hat das womöglich mit dem Betriebssystem zu tun? Kennt jemand dieses Verhalten?
Im Voraus herzlichen Dank!
temuco
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 207886
Url: https://administrator.de/contentid/207886
Printed on: April 23, 2024 at 22:04 o'clock
8 Comments
Latest comment
kein hallo
hast Du die Webseite im IE unter Local Intranet unter Advanced eingetragen?
und kein gruss
hast Du die Webseite im IE unter Local Intranet unter Advanced eingetragen?
und kein gruss
Hallo temuco,
wie rufst Du owa denn von intern auf, mit welcher URL?
Du hast ja vermutlich nur ein SSL Zertifikat für eine bestimmt Domain, wenn Du jetzt intern z.B. https://server/owa schreibst, ist die Zertifikatsmeldung berechtigt.
Grüße
Marc
wie rufst Du owa denn von intern auf, mit welcher URL?
Du hast ja vermutlich nur ein SSL Zertifikat für eine bestimmt Domain, wenn Du jetzt intern z.B. https://server/owa schreibst, ist die Zertifikatsmeldung berechtigt.
Grüße
Marc
Das Zertifikat ist für die öffentliche (statische) IP-Adresse - ich nenne sie "a.b.c.d" - ausgestellt. Von draußen funktioniert das auch richtig.
Der Aufruf sowohl intern wie auch extern lautet: https://a.b.c.d/exchange
Wie aber gesagt, einige PCs (1x Windows Server 2003 und 1x Windows XP) funktionieren intern ohne Murren. Ich werde veranlassen, dass diese Tests ausgeweitet werden.
Der Aufruf sowohl intern wie auch extern lautet: https://a.b.c.d/exchange
Wie aber gesagt, einige PCs (1x Windows Server 2003 und 1x Windows XP) funktionieren intern ohne Murren. Ich werde veranlassen, dass diese Tests ausgeweitet werden.
»HALLO!«
Hatte ich nicht. Habe aber eingetragen, IE neu gestartet, es hat sich aber am Bild nichts geändert.
TSCHÜSS und danke!
Hatte ich nicht. Habe aber eingetragen, IE neu gestartet, es hat sich aber am Bild nichts geändert.
TSCHÜSS und danke!
Hallo.
Zertifikate mit IP Adresse sollte es eigentlich gar nicht geben. Stelle also das Zertifikat richtig aus, und schon wird alles ohne Fehler klappen.
LG Günther
Zertifikate mit IP Adresse sollte es eigentlich gar nicht geben. Stelle also das Zertifikat richtig aus, und schon wird alles ohne Fehler klappen.
LG Günther
Zitat von @GuentherH:
Hallo.
Zertifikate mit IP Adresse sollte es eigentlich gar nicht geben. Stelle also das Zertifikat richtig aus, und schon wird alles ohne
Fehler klappen.
Hallo.
Zertifikate mit IP Adresse sollte es eigentlich gar nicht geben. Stelle also das Zertifikat richtig aus, und schon wird alles ohne
Fehler klappen.
Es klappt immer von draußen und alte Betriebssysteme (WS2003 und XP) machen auch keine Probs. Und warum kann ich das Zertifikat nicht an die Adresse binden? Ich habe einige alte MS-Unterlagen für Exchange 2003 unter Windows 2003, SSL und IIS, die gerade das empfehlen?
Ich habe eine Vermutung. Gerade eben habe ich den IIS überprüft und dieser benutzt ein Stammzertifikat , welches 2015 abläuft. Genau dieses Zertifikat wird auch in den Zertifikatsspeicher der PCs geladen.
Die Zertifizierungsstelle hat aber zurzeit 2 gültige Stammzertifikate – das eine, bis 2015 gültig und ein weiteres, das später ausgestellt wurde und bis 2017 gültig ist. Warum das so ist, muss ich noch ergründen, denn das Zweite stammt definitiv nicht von mir.
Ich vermute, dass die neueren Betriebssysteme versuchen, das jüngste Zertifikat zu verwenden und dieses kennt aber der IIS nicht.
Spannend. Leider muss ich aber bis Freitag geschäftlich weg, so dass ich mit weiteren Untersuchungen bis dahin warten muss.
Vielen Dank an alle und hier reiche ich "Hallos" und "Tschüsses" nach, falls jemand sie vermisst!
Ich berichte wieder, ob dass der Grund war.
Die Zertifizierungsstelle hat aber zurzeit 2 gültige Stammzertifikate – das eine, bis 2015 gültig und ein weiteres, das später ausgestellt wurde und bis 2017 gültig ist. Warum das so ist, muss ich noch ergründen, denn das Zweite stammt definitiv nicht von mir.
Ich vermute, dass die neueren Betriebssysteme versuchen, das jüngste Zertifikat zu verwenden und dieses kennt aber der IIS nicht.
Spannend. Leider muss ich aber bis Freitag geschäftlich weg, so dass ich mit weiteren Untersuchungen bis dahin warten muss.
Vielen Dank an alle und hier reiche ich "Hallos" und "Tschüsses" nach, falls jemand sie vermisst!
Ich berichte wieder, ob dass der Grund war.
Ein Zertifikat muss eigentlich immer auf einen eindeutigen Namen / Besitzer ausgestellt werden. Und der Besitzer der IP Adresse ist in den seltensten Fällen der Inhaber des Zertifikats.
Meines Wissens habe in der Zwischenzeit alle Anbieter die Ausstellung derartiger Zertifikate eingestellt.
Deshalb, wenn schon selbst ausgestelltes Zertifikat, dann aber auch richtig.
LG Günther
Meines Wissens habe in der Zwischenzeit alle Anbieter die Ausstellung derartiger Zertifikate eingestellt.
Deshalb, wenn schon selbst ausgestelltes Zertifikat, dann aber auch richtig.
LG Günther
