zeroblue2005
Goto Top

IIS akzeptiert neues SSL Zerti nicht und nimmt immer noch das alte Zerti warum?

Hallo Zusammen,

habe jetzt meinen zweiten Exchange 2016 installiert und viele Fehler vom ersten mal vermieden. Jedoch hänge ich jetzt an einer Stelle, wo ich einfach nicht weiter komme und wo mir auch Franky-Seite nicht weiter hilft.

Ich habe im lokalen Netzwerk versucht, ein Outlook via autodisover.Domain.de einzubinden. Das klappt auch so weit, jedoch bekomme ich immer das alte Zerti angezeigt mit Fehlermeldung:

zerti2
zerti1

Im IIS und Exchange sieht das so aus:
zerti1a
zerti3

nslookup sieht gut aus:
zerti5

Auch bei ECP über FireFox kommt immer noch:
zerti4

Was habe ich vergessen oder muss ich machen?

Lieben Dank für die Hilfe face-smile

Content-Key: 337656

Url: https://administrator.de/contentid/337656

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: Snuffchen
Snuffchen 12.05.2017 um 21:50:45 Uhr
Goto Top
So wie ich es auf den Fotos erkenne, ist das Zertfikat für steuer.....de ausgestellt, der Server will das Zertifikat aber für server.steuer....de nutzen, wenn keine alternativen Namen im Zertifikat enthalten sind, ist das die Ursache für dein Problem
Mitglied: zeroblue2005
zeroblue2005 12.05.2017 aktualisiert um 22:45:33 Uhr
Goto Top
Das ist ja mein Problem. Alle URL im Exchange Server sind auf die ext URL ( Virtuelle Verzeichnise) eingestellt. Und trotzdem schreit er nach dem internen Hostname. Auf welchen Bild siehst du das?

Ich habe schon einen SRV für autodiscover im lokalen DNS gesetzt, aber dauf scheint er nicht zu reagieren.

Ich muss mich auch verbessern, er nimmt schon das richtige Zertifikat. Aber löst Autodiscover steuer....de über den lokalen Namen auf.

Die Frage ist wie kann ich ändern, dass kann doch nichts wildes sein.
Mitglied: zeroblue2005
zeroblue2005 13.05.2017 aktualisiert um 09:07:54 Uhr
Goto Top
OK habe den Fehler gefunden. Die virtuellen Verzeichnisse waren nicht Vollständig eingerichtet, bei den internen URL inkl. Outlook Anywhere, was glaube ich noch viel wichtiger war! Also mit Outlook intern gehts jetzt, das war das wichtigste.

Bleibt jetzt nur das Problem mit Mozilla. Wenn ich von einem Client https://domain.de/owa eingebe kommt nur:

NS_ERROR_NET_INADEQUATE_SECURITY

Hat da jemand noch eine Idee, warum das nicht geht? Das war doch irgndwas vom IIS oder? Ich meine eine Anpassung an Regedit hatte mir schon mal geholfen, kann mich aber nicht mehr erinnern was das war.
Mitglied: 132895
132895 13.05.2017 aktualisiert um 09:27:17 Uhr
Goto Top
Zitat von @zeroblue2005:

Bleibt jetzt nur das Problem mit Mozilla. Wenn ich von einem Client https://domain.de/owa eingebe kommt nur:

NS_ERROR_NET_INADEQUATE_SECURITY
Weil die Crypto-Einstellungen (Chipher-Suites) des IIS nicht aktuell konfiguriert sind!
Korrigiere sie
https://www.nartac.com/Products/IISCrypto

Gruß
Mitglied: zeroblue2005
zeroblue2005 13.05.2017 um 11:27:41 Uhr
Goto Top
Hallo Password,

danke für deine Antwort! Jetzt begebe ich mich in einem Bereich, wo ich gar keinen Plan von habe. Na ja ich versuche es mal.

Danke
Mitglied: zeroblue2005
zeroblue2005 13.05.2017 um 12:13:09 Uhr
Goto Top
OK habe jetzt versucht das einzustellen. Muss aber zugeben, das ich damit überfodert bin. Kannst du mir sagen was ich rausnehmen muss?
Mitglied: 132895
132895 13.05.2017 aktualisiert um 12:14:34 Uhr
Goto Top
Zitat von @zeroblue2005:
Jetzt begebe ich mich in einem Bereich, wo ich gar keinen Plan von habe.
Tun wir das als Admins nicht jeden Tag irgendwann mal?! face-smile
Lernen müssen wir unser Leben lang. Wer einen IIS betreibt sollte sich damit zwingend auseinandersetzen vor allem wenn das Teil ungeschützt ohne Proxy mit nacktem Arsch im Inet hängt.
Mitglied: 132895
132895 13.05.2017 um 12:16:23 Uhr
Goto Top
Mitglied: 132895
132895 13.05.2017 aktualisiert um 12:22:15 Uhr
Goto Top
Btw. die Frage wurde dir aber schon mal im März hier beantwortet!
Exchange 2016 und OWA bzw. Zertifikate
Onkel Alzheimer hat da wohl zugeschlagen face-wink
Mitglied: zeroblue2005
zeroblue2005 13.05.2017 aktualisiert um 12:24:32 Uhr
Goto Top
Wo bitte habe ich da die gleich Frage gestellt? Mein eigener Beitrag war meine erste Anlaufstelle... Damals habe ich IIS Crypto überhaupt nicht eingesetzt.
Mitglied: zeroblue2005
zeroblue2005 13.05.2017 um 12:28:30 Uhr
Goto Top
So jetzt läuft es mit Best Pract. und dann Neustart! Danke!