bigitalian
Goto Top

Exchange Server 2013 - Zertifikat gewechselt auf DV Zertifikat - Clients melden Zertifikat fehler

Hi @all,

ich habe eine Frage und zwar habe ich einen Kunden, wo ein Exchange Server 2013 installiert ist. Als Client wird Outlook 2010 und Outlook 2013 eingesetzt.

Am Exchange Server 2013 war damals ein selbst signiertes Zertifikat eingebunden was ich gern wechseln wollte auf ein "echtes" Zertifikat.

Ich hab mir dann bei Comodo SSL ein Domain Valid Zertifikat mit einer Sub Domäne erstellt subdomäne.Domäne.de. (remote.xxx.xx)

Dieses Zertifikat hab ich am Exchange Server 2013 eingebunden und die Dienste drauf zugewiesen (Pop, Imap, IIS, Smtp).

Danach hab ich im IIS Informationsdienst, die Bindung auf der Website Microsoft Back End geändert auf das neue Zertifikat.

Desweiteren habe ich alle Internal und External Urls umgeschrieben auf die Subdomäne vom Zertifikat:

get-ClientAccessServer | fl
get-webservicesvirtualdirectory | fl
get-oabvirtualdirectory | fl
get-owavirtualdirectory | fl
get-ecpvirtualdirectory | fl
get-ActiveSyncVirtualDirectory| fl
get-PowerShellVirtualDirectory | fl
get-OutlookAnywhere | fl *intern*,*extern*,*auth*
get-OutlookProvider | fl *intern*,*extern*

Dann hab im DNS eine neue Zone angelegt subdomäne.Domäne.de. Dort ein A Host erstellt mit der IP Adresse des Exchange Servers.

Wenn ich dann Outlook 2010 öffne, erscheint die Meldung:

Fehlercode 10: Zielwebseite "EmailServername.Domäne.local" ist ungültig oder entsprich nicht den Namen.

Wenn ich Outlook 2013 starte, erscheint die Meldung:


Sicherheitshinweis: Der Name stimmt nicht überein "autodiscover.Domäne.domainendung"

Wenn ich nun beim Outlook 2010 ein neues eMail Profil erstelle, dannn hab ich ruhe und es kommt keine Fehlermeldung (ich möchte nicht bei mehr als zehn Outlook2010 Stationen ein neues Profil erstellen).

Wenn ich nun beim Outlook 2013 ein neues eMail Profil erstelle, erscheint weiterhin der Sicherheitshinweis, dass der Name "autodiscover.Domäne.domainendung" falsch ist.

Ich hab bisher fünf Exchange 2010 Server umgestellt auf ein "echtes" Zertifikat, doch beim Exchange 2013 beiße ich mir gerade die Zähne aus.

Das Log bezgl. des Autokonfigurationstests schaut auch sauber aus:
mail

Was fehlt mir ?

Vielen Dank


Mfg é Ciao

Christian Giuranna

Content-Key: 329983

Url: https://administrator.de/contentid/329983

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: 132272
132272 20.02.2017 aktualisiert um 09:44:55 Uhr
Goto Top
Sicherheitshinweis: Der Name stimmt nicht überein "autodiscover.Domäne.domainendung"
Logisch den dein Zertifikat enthält die autodiscover Subdomain nicht als SAN, deswegen kommt diese Meldung!
Wenn du das trotzdem ohne die Autodiscover Subdomain machen willst musst du im externen DNS der Hauptdomain (domain.de) einen Autodiscover SRV-Record(txt) setzen der auf deine Domain zeigt, ebenso intern (für Clients ohne Domainmembership).

Gruß
Mitglied: StefanKittel
StefanKittel 20.02.2017 um 09:48:32 Uhr
Goto Top
Moin,

sicher, dass Du an der richtigen Stelle suchst?

Der Autodiscover-Text ist OK, ein neues Outlook Profil ist auch ok.
Nur die bestehenden Outlook-Profile haben nicht mitbekommen, dass es neue Einstellungen gibt.
Vieleicht kann Outlook 2010 das einfach nicht? Auch bei Namensänderungen musste ich schon häufiger ein neues Profil erstellen.

Von wievielen Clients sprechen wir denn?
Die 10? Damit bist Du doch nach 20 Minuten durch.
Besser als nun Stundenlang zu suchen.

Stefan
Mitglied: Bigitalian
Bigitalian 20.02.2017 aktualisiert um 10:25:33 Uhr
Goto Top
@132272
Hi,
ich hab auf dem internen DNS Server auch nun folgende Zone angelegt autodiscover.domäne.domainendung + A auf dem Exchange Server.
Die Meldung beim Outlook 2013 bleibt weiterhin bestehen. (flushdns und Clientneustart schon ausgeführt).

Alle Clients sind Domänenmitglieder.

Ein San Zertifikat bezgl. Autodiscover lässt sich schnell erstellen (wenn die den externen DNS umstelle dann brauch ich ja kein San Zertifikat wie du geschrieben hast), mir bereiten die Outlook 2010 Clients sorgen. Weshalb wird dort der Fehlercode 10 ausgegeben und der fqdn des Servers angegeben, obwohl ich "soweit wie ich alle internal und externalurl kenne" auf die Sub Domäne umgestellt habe . Dann beim Profil neu Erstellung kommt nichts mehr ? Schreibt sich da der Client was weg ? Verhält die Exchange 2013 anders als 2010 ?

Bisher musste ich beim Exchange 2010 nicht mehr machen, als oben schon beschrieben.

Wenn ich ein Autodiscover SRV-Record(txt) setzten möchte, muss ich doch im Exchange 2013 die Verbundvertrauensstellung aktivieren, damit ich die Zeichenfolge erhalte um diese dann beim Provider eintragen zu können MS=msxxxxxx oder liege ich da falsch ?
Mitglied: Bigitalian
Bigitalian 20.02.2017 aktualisiert um 10:06:52 Uhr
Goto Top
@Stefan
Ja...aber ich hab noch ca. 10 weitere Exchange 2013 Server mit etlichen Outlook 2010 Clients. Wenn ich das bei jedem mache, bin ich bis Sommer an der Profiländerung dran.

Ich tippe ja auch auf Outlook2010 in Verbindung mit Exchange 2013..weil ich bisher mich totgesucht habe auf dem Exchange, aber soweit alles umgestellt habe, was ging.
Mitglied: 132272
Lösung 132272 20.02.2017 aktualisiert um 10:47:52 Uhr
Goto Top
Zitat von @Bigitalian:

@132272
Hi,
ich hab auf dem internen DNS Server auch nun folgende Zone angelegt autodiscover.domäne.domainendung + A auf dem Exchange Server.
Das bringt dir in diesem Fall nichts da die Autodiscover Domain nicht im Zertifikat drin ist!

Die Meldung beim Outlook 2013 bleibt weiterhin bestehen. (flushdns und Clientneustart schon ausgeführt).
Wundert mich nicht, dir fehlt der SRV-Record, wenn du die Autodiscover-Domain nicht ins Zertifikat aufnehmen willst. Nimmst du sie ins Zertifikat brauchst du hingegen keinen SRV.
Ein San Zertifikat bezgl. Autodiscover lässt sich schnell erstellen (wenn die den externen DNS umstelle dann brauch ich ja kein San Zertifikat wie du geschrieben hast), mir bereiten die Outlook 2010 Clients sorgen. Weshalb wird dort der Fehlercode 10 ausgegeben und der fqdn des Servers angegeben, obwohl ich "soweit wie ich alle internal und externalurl kenne" auf die Sub Domäne umgestellt habe . Dann beim Profil neu Erstellung kommt nichts mehr ? Schreibt sich da der Client was weg ?
Wenn du den Namen geändert hast musst du das Profil "resetten" (Konten -> Reparieren), denn Outlook cacht hier intern den Namen.
Verhält die Exchange 2013 anders als 2010 ?
Nein, das Autodiscoververfahren ist gleich. Nur neuere Versionen legen zwingend Wert auf korrekte Konfiguration des Autodiscover und des Zertifikats.
Bisher musste ich beim Exchange 2010 nicht mehr machen, als oben schon beschrieben.

Wenn ich ein Autodiscover SRV-Record(txt) setzten möchte, muss ich doch im Exchange 2013 die Verbundvertrauensstellung aktivieren,
Nein.

Hier den Dreiteiler lesen dann verstehst du alles was du brauchst auch was ich dir oben geschildert habe:
Zertifikatänderung im Exchange
Mitglied: Bigitalian
Bigitalian 20.02.2017 um 11:02:35 Uhr
Goto Top
@132272

Vielen Dank. Werde ich dann mal alles durchlesen und korrigieren.

Melde mich dann morgen um ein Bericht zu erstatten.

vielen Dank.

Also ist Exchange 2013 empfindlicher bei Autodiscover face-smile
Mitglied: 132272
132272 20.02.2017 aktualisiert um 11:10:51 Uhr
Goto Top
Zitat von @Bigitalian:
Also ist Exchange 2013 empfindlicher bei Autodiscover face-smile
Bei 2016 geht z.B. gar nichts mehr wenn's falsch eingerichtet ist face-wink. Also besser gleich dafür sorgen das es nach Vorschrift eingerichtet ist.
Bei die sollte wie gesagt entweder der STV Record Abhilfe schaffen oder eben die Aufnahme der autodiscover Subdomain ins Zertifikat und Anlegen eines A Record im externen DNS.
Mitglied: Bigitalian
Bigitalian 20.02.2017 um 12:46:25 Uhr
Goto Top
HI,
ich versuch es mit den SRV Record, da das DV Zertifikat günstiger ist. Dieser Kunde macht sonst nichts besonderes außer EAS.
Mitglied: 132272
132272 20.02.2017 aktualisiert um 13:00:48 Uhr
Goto Top
Zitat von @Bigitalian:

HI,
ich versuch es mit den STV Record, da das DV Zertifikat günstiger ist. Dieser Kunde macht sonst nichts besonderes außer EAS.
Sei aber gewarnt das nicht jedes mobile Endgerät Autodiscover-Umleitung via SRV unterstützt, hier wäre dann letzte Option http-Umleitung wenn Zertifikat gleich bleiben soll.
Mitglied: Bigitalian
Bigitalian 20.02.2017 um 13:07:34 Uhr
Goto Top
Danke für die Warnung.

Ich berichte face-smile
Mitglied: Bigitalian
Bigitalian 22.02.2017 aktualisiert um 11:49:48 Uhr
Goto Top
Guten Morgen,

mein Bericht. Nachdem ich den SRV (korrigiert) Record gesetzt hatte, meldeten trotzdem die Outlook 2010/2013 Clients Zertifikatsfehler.

Ich hab mich dann dazu entschlossen, ein San Zertifikat zu erstellen. Nachdem ich es eingebunden habe, meckerten die Client, dass der Name im Zertifikat falsch ist und zeigte den fqdn des Servers an.

Daraufhin habe ich dann in Outlook das Konto "repariert", was beim Outlook 2013 klappte. Beim Outlook 2010 half nur ein neues Profil erstellen.

Für mich somit erst einmal Fall abgeschlossen und um einiges an Erfahrung reicher geworden.

Vielen Dank !

Mfg é Ciao
Christian
Mitglied: 132272
132272 22.02.2017 um 08:20:08 Uhr
Goto Top
Nachdem ich den STV Record gesetzt hatte
SRV bitte face-wink, wir sin hier joa nee baim Sägsischn Dennisverband face-big-smile
Mitglied: Bigitalian
Bigitalian 22.02.2017 aktualisiert um 11:50:51 Uhr
Goto Top
Der Café hatte noch nicht gewirkt face-smile (Habsch extra gorrigiert)