11
Exchange 2013 - Outlook 2013 - Es liegt ein Problem mit dem Sicherheitszerifikat des Proxyservers vor . (Fehlercode 8)
Guten Tag,
merin erstes Posting und gleich so eine harte Nummer :/
Zu diesem Fehler habe ich viel gegoogelt, gelesen und getestet, ich würde hier nicht fragen, wenn all das geholfen hätte.
Vorgeschichte:
Ich habe einen Server in einem RZ stehen, auf dem ein paar VMs laufen .
Outlook <-> Server: Keine VPN, sondern Outlook anywhere - der Client ist kein Domainmember
Ich habe eine Migration (sauber) von Windows 2008 R2/ Exchange 2010 nach Windos 2012 R2 und Exchange 2013 durchgeführt - klappte reibungslos.
Bei dem Exchange 2010 gab es keine Zertifikatschwierigkeiten.
Config: Ein Domaincontroller (GC), der sich langweilt (eine interne und eine externe IP, dient nur der Verwaltung) , der Exchange ist Domainmember mit einer internen und zwei externen IPs
Zu den Einstellungen
ECP extern: https://webmail.domain.xy/ecp
Intern: https://mailschleuder.nl1.domain.xy/ecp
EWS extern: https://webmail.becker.ag/ews/exchange.asmx
intern: https://mailschleuder.nl1.domain.xy/EWS/Exchange.asmx
Active Sync extern: https://webmail.domain.xy/Microsoft-Server-ActiveSync
intern https://mailschleuder.nl1.domain.xy/Microsoft-Server-ActiveSync
OAB extern : https://mailschleuder.nl1.domain.xy/OAB
intern: https://mailschleuder.nl1.domain.xy/OAB
owa extern: https://webmail.domain.xy/owa
owa intern: https://mailschleuder.nl1.domain.xy/owa
Autodiscover:
[PS] C:\>Get-ClientAccessServer | FL AutoDiscoverServiceInternalUri
Neue Sitzung für implizite Remotevorgänge des Befehls "Get-ClientAccessServer" wird erstellt...
AutoDiscoverServiceInternalUri : https://autodiscover.nl1.domain.xy/Autodiscover/Autodiscover.xml
Das Zerifikat:
Status: Valid
Aussteller: CN=nl1-MAILSCHLEUDER-CA, DC=nl1, DC=domain, DC=xy
Alternative Antragstellernamen:
webmail.domain.xy
mailschleuder.nl1.domain.xy
autodiscover.domain.xy
autodiscover.bl1.domain.xy
domain.xy
owa.domain.xy
nl1.domain.xy
mail.domain.xy
Fingerprint: BFB5DF29C014141508468E8B2549169CFAC5BC4B
Seriennummer: 760000000A8E614A0DFED282CC00000000000A
Größe des Schlüssels: 2048
Hat privaten Schlüssel: true
Dienste: SMTP, IMAP, POP, IIS
Ich habe nun einen ganzen Tag und eine Nacht damit verbracht, das Ding ans Rennen zu bringen. No way - Outlook zickt und will nicht - Zertifikat in "Vertrauenswürdige Stammzertifizierungsstellen" - (als User und Lokaler PC) installiert.
Einstellungen im Outlook: Proxy: https://owa.domain.xy - Nur SSL, Verbindung nur mit Proxyservern herstellen, deren Zertifikat einen der folgenden Prinzipalnamen enthält: msstd: owa.domain.xy
Server: mailschleuder.nl1.domain.xy
username .. / kennwort
Bis gesten mit Windows 2008 R2 und Exchange 2010 hat noch alles gut funktioniert.
Info: iPhones, Tablets etc. verbinden sich nach Rückfrage, ob das Zertifikat angenommen werden soll, sauber.
Ich hoffe, da hat noch jemand eine Idee?
Beste Grüße
Jörg
merin erstes Posting und gleich so eine harte Nummer :/
Zu diesem Fehler habe ich viel gegoogelt, gelesen und getestet, ich würde hier nicht fragen, wenn all das geholfen hätte.
Vorgeschichte:
Ich habe einen Server in einem RZ stehen, auf dem ein paar VMs laufen .
Outlook <-> Server: Keine VPN, sondern Outlook anywhere - der Client ist kein Domainmember
Ich habe eine Migration (sauber) von Windows 2008 R2/ Exchange 2010 nach Windos 2012 R2 und Exchange 2013 durchgeführt - klappte reibungslos.
Bei dem Exchange 2010 gab es keine Zertifikatschwierigkeiten.
Config: Ein Domaincontroller (GC), der sich langweilt (eine interne und eine externe IP, dient nur der Verwaltung) , der Exchange ist Domainmember mit einer internen und zwei externen IPs
Zu den Einstellungen
ECP extern: https://webmail.domain.xy/ecp
Intern: https://mailschleuder.nl1.domain.xy/ecp
EWS extern: https://webmail.becker.ag/ews/exchange.asmx
intern: https://mailschleuder.nl1.domain.xy/EWS/Exchange.asmx
Active Sync extern: https://webmail.domain.xy/Microsoft-Server-ActiveSync
intern https://mailschleuder.nl1.domain.xy/Microsoft-Server-ActiveSync
OAB extern : https://mailschleuder.nl1.domain.xy/OAB
intern: https://mailschleuder.nl1.domain.xy/OAB
owa extern: https://webmail.domain.xy/owa
owa intern: https://mailschleuder.nl1.domain.xy/owa
Autodiscover:
[PS] C:\>Get-ClientAccessServer | FL AutoDiscoverServiceInternalUri
Neue Sitzung für implizite Remotevorgänge des Befehls "Get-ClientAccessServer" wird erstellt...
AutoDiscoverServiceInternalUri : https://autodiscover.nl1.domain.xy/Autodiscover/Autodiscover.xml
Das Zerifikat:
Status: Valid
Aussteller: CN=nl1-MAILSCHLEUDER-CA, DC=nl1, DC=domain, DC=xy
Alternative Antragstellernamen:
webmail.domain.xy
mailschleuder.nl1.domain.xy
autodiscover.domain.xy
autodiscover.bl1.domain.xy
domain.xy
owa.domain.xy
nl1.domain.xy
mail.domain.xy
Fingerprint: BFB5DF29C014141508468E8B2549169CFAC5BC4B
Seriennummer: 760000000A8E614A0DFED282CC00000000000A
Größe des Schlüssels: 2048
Hat privaten Schlüssel: true
Dienste: SMTP, IMAP, POP, IIS
Ich habe nun einen ganzen Tag und eine Nacht damit verbracht, das Ding ans Rennen zu bringen. No way - Outlook zickt und will nicht - Zertifikat in "Vertrauenswürdige Stammzertifizierungsstellen" - (als User und Lokaler PC) installiert.
Einstellungen im Outlook: Proxy: https://owa.domain.xy - Nur SSL, Verbindung nur mit Proxyservern herstellen, deren Zertifikat einen der folgenden Prinzipalnamen enthält: msstd: owa.domain.xy
Server: mailschleuder.nl1.domain.xy
username .. / kennwort
Bis gesten mit Windows 2008 R2 und Exchange 2010 hat noch alles gut funktioniert.
Info: iPhones, Tablets etc. verbinden sich nach Rückfrage, ob das Zertifikat angenommen werden soll, sauber.
Ich hoffe, da hat noch jemand eine Idee?
Beste Grüße
Jörg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 294349
Url: https://administrator.de/contentid/294349
Printed on: April 23, 2024 at 20:04 o'clock
11 Comments
Latest comment
Hallo,
wenn Du OWA über IE oder Chrome aufrufst wird auf Clientseite dem Zertifikat vertraut?
Geht es um bestehende Profile? - Schon ein neues versucht bzw. das Outlookprofil zu säubern?
Vertraut der Exchange seinem Zertigikat?
Meldet sich der Exchange auch mit dem richtigen Namen?
Ich musste vor kurzem vom Exchange selbst segniertem Zertifikat umsteigen auf eins das von der eigenen vertrauten CA ausgestellt wurde.
Gruß
Chonta
wenn Du OWA über IE oder Chrome aufrufst wird auf Clientseite dem Zertifikat vertraut?
Geht es um bestehende Profile? - Schon ein neues versucht bzw. das Outlookprofil zu säubern?
Vertraut der Exchange seinem Zertigikat?
Meldet sich der Exchange auch mit dem richtigen Namen?
Ich musste vor kurzem vom Exchange selbst segniertem Zertifikat umsteigen auf eins das von der eigenen vertrauten CA ausgestellt wurde.
Gruß
Chonta
Ich arbeite mit Windows 10
OWA mit Edge: Zertifikatfehler, akzeptieren, anmelden geht, danach leerer Inhalt
OWA mit IE: Zertifikatfehler, akzeptieren, anmelden, OWA geht
Firefox alles grün, Zertifikat akzeptiert.
Was meinst Du mit: Vertraut der Exchange seinem Zertifikat? Meldet sich der Exchange auch mit dem richtigen Namen? - wie kann ich das testen?
Ich möchte nicht unbedingt ein Zertifikat kaufen, weil das ganze Ding nur eine Art Spielwiese ist, wo meine privaten Mails drüber laufen.
Beim Server 2008R2 mit Exchange 2010 klappte ja auch alles wunderbar.
Ich kann Dir gern einen Testaccount einrichten, so das Du mal schauen kannst?
Gruss
Jörg
OWA mit Edge: Zertifikatfehler, akzeptieren, anmelden geht, danach leerer Inhalt
OWA mit IE: Zertifikatfehler, akzeptieren, anmelden, OWA geht
Firefox alles grün, Zertifikat akzeptiert.
Was meinst Du mit: Vertraut der Exchange seinem Zertifikat? Meldet sich der Exchange auch mit dem richtigen Namen? - wie kann ich das testen?
Ich möchte nicht unbedingt ein Zertifikat kaufen, weil das ganze Ding nur eine Art Spielwiese ist, wo meine privaten Mails drüber laufen.
Beim Server 2008R2 mit Exchange 2010 klappte ja auch alles wunderbar.
Ich kann Dir gern einen Testaccount einrichten, so das Du mal schauen kannst?
Gruss
Jörg
Hallo,
ich habe für unseren Exchange auch kein Zertifikat gekauft.
Aber ich habe eine kleine opsnssl CA auf Linux und stelle damit Zertifikate aus.
Allen Rechner der Domäne incl der Server vertrauen der CA und damit gibt es für alle Programme die den MS Zertifikatsspeicher verwenden auch kein Problem.
Ich hatte in Verbindung von Exhange 2013 und Windows 10 mit Outlook < 2013 ein Problem.
Letzen endes war es ein Problem mit dem Autodiscover, das die Clients die falsche Domäne wollten...
Nach DNS Anpssung lief es.
Und dabei habe ich auch das Selbsterstellte Zertifikat vom Exchange ausgetauscht.
Bei Exchange 2013 brauchst Du ein Zertifikat das echt alle möglichen Namen abdeckt sonst meckern die Clients.
Seit Exchange 2013 geht alles über https und Outlook anyware,
da ist es zwinend nötig, das Autodiscover richtig eingerichtet is, und das Zertifikat auch alle nötigen Namen/IP Adressen drin hat sonst tilt.
Wenn der IE bei dem Zertifikat einen Fehler meldet, dann ist das Zertifikat beim Client schonmal nicht als Vertrauenswürdig im Zertifikatsspeicher hinterlegt.
Und das kann zu Problemen führen bei Outlook.
Gruß
Chonta
ich habe für unseren Exchange auch kein Zertifikat gekauft.
Aber ich habe eine kleine opsnssl CA auf Linux und stelle damit Zertifikate aus.
Allen Rechner der Domäne incl der Server vertrauen der CA und damit gibt es für alle Programme die den MS Zertifikatsspeicher verwenden auch kein Problem.
Ich hatte in Verbindung von Exhange 2013 und Windows 10 mit Outlook < 2013 ein Problem.
Letzen endes war es ein Problem mit dem Autodiscover, das die Clients die falsche Domäne wollten...
Nach DNS Anpssung lief es.
Und dabei habe ich auch das Selbsterstellte Zertifikat vom Exchange ausgetauscht.
Bei Exchange 2013 brauchst Du ein Zertifikat das echt alle möglichen Namen abdeckt sonst meckern die Clients.
Seit Exchange 2013 geht alles über https und Outlook anyware,
da ist es zwinend nötig, das Autodiscover richtig eingerichtet is, und das Zertifikat auch alle nötigen Namen/IP Adressen drin hat sonst tilt.
Wenn der IE bei dem Zertifikat einen Fehler meldet, dann ist das Zertifikat beim Client schonmal nicht als Vertrauenswürdig im Zertifikatsspeicher hinterlegt.
Und das kann zu Problemen führen bei Outlook.
Gruß
Chonta
Das Autodiscover das Problem sein kann, habe ich schon gelesen. Nur was und wie muss man da einstellen?
Wie sehe ich die IPs im Zertifikat? - die URL´s klar, die sind da.
Ich habe ein Script im Netz gefunden, (https://gallery.technet.microsoft.com/office/Exchange-Server-Client-510a ..) und werde das nochmal probieren - nochmal ein Zerifikat ausstellen und sehen obs damit klappt.
Welche DNS-Einstellungen soll ich checken?
Gruss
Jörg
Wie sehe ich die IPs im Zertifikat? - die URL´s klar, die sind da.
Ich habe ein Script im Netz gefunden, (https://gallery.technet.microsoft.com/office/Exchange-Server-Client-510a ..) und werde das nochmal probieren - nochmal ein Zerifikat ausstellen und sehen obs damit klappt.
Welche DNS-Einstellungen soll ich checken?
Gruss
Jörg
IPs sind im Zertifikat nur, wenn die bei der Erstellung mit angegeben wurden.
Ich erstelle für mich immer SAN Zertifikate die mit alternativen DNS-Namen alles abdecken was ich brauche und auch die IP des Servers.
Checke mal mit wireshark, welchen Weg der bei Autodiscover gehen will.
Und ggf mal manuell die Einstellungen für den Server eingeben, ob das klappt.
Und auch mal mit einem neune Profil versuchen.
Gruß
Chonta
Ich erstelle für mich immer SAN Zertifikate die mit alternativen DNS-Namen alles abdecken was ich brauche und auch die IP des Servers.
Checke mal mit wireshark, welchen Weg der bei Autodiscover gehen will.
Und ggf mal manuell die Einstellungen für den Server eingeben, ob das klappt.
Und auch mal mit einem neune Profil versuchen.
Gruß
Chonta
Outlook Profil gelöscht, Wireshark gestartet, neues angelegt (zuvor schon mehrfach). Danach mal per Hand korrigiert.
Autodiscover schmeißt mit immer so ein wirres Zeug als Servernamen da rin: abdwf-2343 ..... @domain.xy. Im Usernamen steht dann SMTP:=> mein.name@domain.xy passt vorn und hinten nicht. Auch manuelles nachkonfigurieren klappt nicht; es kommt 2x die Zertifikatswarnung und dann "kann keine Verbindung hergestellt werden".
Hier der Link zur Wireshark Aufzeichnung
Wenn ich dieses Script Powershell: Konfigurieren der internen und externen URLs von Exchange Server 2013, 2016 starte kommt als Antwort folgendes: Ausgabe Exchange Management Shell
so langsam weiß ich echt nicht mehr weiter. Das Ding bring mich zum Wahnsinn
ich bin gern bereit mal nen Testaccount einzurichten, das Ihr das selbst mal sehen könnt.
beste Grüße
Jörg
Autodiscover schmeißt mit immer so ein wirres Zeug als Servernamen da rin: abdwf-2343 ..... @domain.xy. Im Usernamen steht dann SMTP:=> mein.name@domain.xy passt vorn und hinten nicht. Auch manuelles nachkonfigurieren klappt nicht; es kommt 2x die Zertifikatswarnung und dann "kann keine Verbindung hergestellt werden".
Hier der Link zur Wireshark Aufzeichnung
Wenn ich dieses Script Powershell: Konfigurieren der internen und externen URLs von Exchange Server 2013, 2016 starte kommt als Antwort folgendes: Ausgabe Exchange Management Shell
so langsam weiß ich echt nicht mehr weiter. Das Ding bring mich zum Wahnsinn
ich bin gern bereit mal nen Testaccount einzurichten, das Ihr das selbst mal sehen könnt.
beste Grüße
Jörg
Hallo,
domain.xy is aber eine Domäne aus der der Benutzer eine Mailadresse hat?
Der Servername der angesprochen wird, ist das die IP von deinem Server?
Bei Windows 10 und Outlook < 2013 versucht der verzweifelt über AUtodiskover die Domäne der Hauptmailadresse zu verwenden und sucht für diese Domäne nach einstellungen.
Er versucht auch die Mailadresse als Benutzernamen.
Nachdem ich für die Domäne bei mir alles richtig im DNS eingestellt hatte, ging es auch bei mir.
Unser Exchange ist allerdings intern und externe Outlookclients gibt es nicht.
Und Im LAN habe ich dann trozdem Zugriff.
Aber Autodiscover muss laufen sonst hast Du keine Chance.
Gruß
Chonta
domain.xy is aber eine Domäne aus der der Benutzer eine Mailadresse hat?
Der Servername der angesprochen wird, ist das die IP von deinem Server?
Bei Windows 10 und Outlook < 2013 versucht der verzweifelt über AUtodiskover die Domäne der Hauptmailadresse zu verwenden und sucht für diese Domäne nach einstellungen.
Er versucht auch die Mailadresse als Benutzernamen.
Nachdem ich für die Domäne bei mir alles richtig im DNS eingestellt hatte, ging es auch bei mir.
Unser Exchange ist allerdings intern und externe Outlookclients gibt es nicht.
Und Im LAN habe ich dann trozdem Zugriff.
Aber Autodiscover muss laufen sonst hast Du keine Chance.
Gruß
Chonta
Hallo,
du solltest die Links mit den echten Domainnamen lieber schnell entfernen
Und Bilder klann man auch hier im Forum Posten und wird auch lieber gesehen.
Gruß
Chonta
du solltest die Links mit den echten Domainnamen lieber schnell entfernen
Und Bilder klann man auch hier im Forum Posten und wird auch lieber gesehen.
Gruß
Chonta
Ok, hab die mal rausgenommen.
In vielen Foren werden Bilder (der Erfahrung nach) nicht gern gesehen, weil sie eben den Server aufblähen. Daher nehme ich gern Dropbox
=> Ich bin in einigen Fotoforen unterwegs, da mögen die das gar nicht, wenn man Bilder hochschiebt :p
Ich nehme an. PN hast bekommen und kannst mal selbst testen?
Gruss
Jörg
In vielen Foren werden Bilder (der Erfahrung nach) nicht gern gesehen, weil sie eben den Server aufblähen. Daher nehme ich gern Dropbox
=> Ich bin in einigen Fotoforen unterwegs, da mögen die das gar nicht, wenn man Bilder hochschiebt :p
Ich nehme an. PN hast bekommen und kannst mal selbst testen?
Gruss
Jörg
Das Problem ist gelöst.
Die Zertifikate, angefordert über die ecp Oberfläche sind nur die halbe Miete.
Man muss zusätzlich das Root-Zertifikat der Domäne auf dem Rechner importieren. Dann klappts.
Dieses bekommt man über den Certserv
https://www.dropbox.com/s/1lik0natr559t8a/InstallCert.PNG?dl=0
zusätzlich habe ich die internen URLs den externen gleich gesetzt und das Autodiscover-Verzeichnis geändert.
https://autodiscover.domain.xy/Autodiscover/Autodiscover.xml
Externe DNS Domäneneinträge müssen auch eingerichtet sein:
autodiscover.domain.xy
legacy.domain.xy
owa.domain.xy
webmail.domain.xy
oab.domain.xy
mail.domain.xy
(wers braucht
pop.domain.xy
imap.domain.xy
smtp.domain.xy
Grüße
Jörg
Die Zertifikate, angefordert über die ecp Oberfläche sind nur die halbe Miete.
Man muss zusätzlich das Root-Zertifikat der Domäne auf dem Rechner importieren. Dann klappts.
Dieses bekommt man über den Certserv
https://www.dropbox.com/s/1lik0natr559t8a/InstallCert.PNG?dl=0
zusätzlich habe ich die internen URLs den externen gleich gesetzt und das Autodiscover-Verzeichnis geändert.
https://autodiscover.domain.xy/Autodiscover/Autodiscover.xml
Externe DNS Domäneneinträge müssen auch eingerichtet sein:
autodiscover.domain.xy
legacy.domain.xy
owa.domain.xy
webmail.domain.xy
oab.domain.xy
mail.domain.xy
(wers braucht
pop.domain.xy
imap.domain.xy
smtp.domain.xy
Grüße
Jörg
