Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Bei jedem Outlook-Start Zertifikatsfehler obwohl Zertifikat auf Server nicht existiert

Frage Microsoft Exchange Server

Mitglied: DReffects

DReffects (Level 1) - Jetzt verbinden

05.09.2014, aktualisiert 07.09.2014, 7589 Aufrufe, 11 Kommentare

Hallo und guten Abend,

mich treibt seit etwa 8 Stunden folgendes mangels fundiertem Wissen in den Wahnsinn:

Ich wollte mittels einem dyndns host Exchange Active Sync mit dem SBS 2011 zum laufen bekommen und habe dazu für den dyndns hostname ein Zertifikat im Exchange angelegt.

Klappte leider nicht wirklich so wie erwartet, habe daher das Zertifikat wieder gelöscht. Das Standard-Zertifikat dass der SBS erstellt mit remote.domain.name ist natürlich weiterhin vorhanden und auch via Bindungen im IIS den 443er Ports zugeteilt.

Jedoch erhält nun jeder Client beim start von Outlook einen Zertifikatshinweis zu hostname.dyndns.org - und ich weiß einfach nicht an welcher stelle ich das Zertifikat entfernen soll. Ich sehe weder im IIS Zertifikatemanager noch im Exchange das auf dyndns ausgstellte Zertifkat.

Hat da jemand ein bisschen Hilfe für mich?

Danke & Gruß
Mitglied: sokraTonis
05.09.2014 um 20:45 Uhr
Ich würde dennoch auf eine falsche Bindung tippen. Diese solltest du sicherheitshalber nochmal alle überprüfen.
Bitte warten ..
Mitglied: DReffects
05.09.2014 um 21:41 Uhr
Gibt es noch andere Stellen wo eine solche Bindung hinterlegt sein könnte?

Bin im ISS MAnager auf die Default Website -> Bindungen -> 443 für die IP und locahost

Dort ist jeweils das korrekte Zertifikat hinterlegt. Wenn ich dort das Zertifikat in irgendein anderes ändere meldet dies Outlook auch sofort korrekt. Auf die meldung zum dyndns zertifikat hat das keinerlei auswirkung
Bitte warten ..
Mitglied: keine-ahnung
05.09.2014 um 21:45 Uhr
Moin,
Ich wollte mittels einem dyndns host Exchange Active Sync mit dem SBS 2011 zum laufen bekommen und habe dazu für den dyndns hostname ein Zertifikat im Exchange angelegt.
wieso hinterlegst Du das cert im Exchange und nicht by design über den zuständigen Assi des SBS?

BTW: es wird vermutlich auch keinen in den Ruin treiben, sich bei einem deutschen Hoster eine DDNS-aktivierbare domain zu hosten?

Lass den Assi einfach noch mal über den SBS laufen ...

LG, Thomas
Bitte warten ..
Mitglied: GuentherH
LÖSUNG 05.09.2014, aktualisiert 07.09.2014
Hi.

Und wie es mit dem Assistenten für DynDNS funktioniert, steht hie beschrieben - http://blog.sbspraxis.de/sbs2008-sbs2011-und-dyndns-p279/

LG Günther
Bitte warten ..
Mitglied: colinardo
06.09.2014, aktualisiert um 09:03 Uhr
Moin,
wenn alles nichts helfen sollte, checke mal die Zertifikatbindungen auf der Konsole mit netsh http show sslcert
. Ich hatte hier schon mal den Fall das sich ein verwaistes Zertifikat nur dort entfernen ließ, siehe:
http://www.administrator.de/wissen/internet-information-server-iis-7-5- ...

Grüße Uwe
Bitte warten ..
Mitglied: DReffects
06.09.2014 um 11:42 Uhr
Glaube ich habe mich da nicht deutlich genug ausgedrückt, sorry.

Ich hatte kein gekauftes Zertifikat, die dyndns geschichte soll nur etwas kurzes für die nächsten 30 Tage sein. Daher hatte ich ein Zeritfikat in der Exchange Konsole selbst erstellt und wollte es dann über den Zertifikatsdienst mit https://server/certsrv selbst signieren usw. Da dieser aber nicht verfügbar war (weil offenbar nicht installiert) hab ich das ganze abgebrochen und das zertifikat halt wieder rausgelöscht. Daher habe ich auch den Assistenten nicht verwendet, weils ja noch kein Zertifikat gab für ihn.

Seitdem besteht das Problem.

Habe gestern dann alles mögliche probiert. Mein letzter Arbeitsschritt vor dem Posting hier war, im IIS Manager die Bindungen auf ein anderen Zertifikat zu stellen und dann wieder zurück - in der Hoffnung, dass dies das Problem behebt. Dann natürlich die Webseite neu gestartet. Brachte leider nichts.

Nun war über 14 Stunden Outlook am Client geschlossen - beim ersten Aufruf gerade eben war ich voller freude: KEINE Zertifikatswarnung. Outlook geschlossen, wieder geöffnet, schon ist sie wieder da.

Weiterer Test: Outlook-Profil gelöscht, Oulook neu gestartet und eingerichtet. Beim ersten Öffnen keine Meldung, alle weiteren hingegen schon. Dies lässt sich reproduzieren.

Zitat von colinardo:

Moin,
wenn alles nichts helfen sollte, checke mal die Zertifikatbindungen auf der Konsole mit netsh http show sslcert
. Ich hatte hier schon mal den Fall das sich ein verwaistes Zertifikat nur dort entfernen ließ, siehe:
http://www.administrator.de/wissen/internet-information-server-iis-7-5- ...

Grüße Uwe

Vielen Dank für diesen Ansatz - leider taucht auch dort das besagte Zertifikat NICHT auf.
Bitte warten ..
Mitglied: colinardo
LÖSUNG 06.09.2014, aktualisiert 07.09.2014
Daher habe ich auch den Assistenten nicht verwendet, weils ja noch kein Zertifikat gab für ihn.
ja und jetzt ist kein Zertifikat aktiv oder was ? Schlecht... ohne wird das nicht wie gewünscht laufen.

  • Was gibt Get-ExchangeCertificate in einer EMS aus ?
Es sollte mindestens ein gültiges Zertifikat bestehen das gültig und aktiv an die verwendeten Dienste gebunden ist.
Bitte warten ..
Mitglied: DReffects
06.09.2014 um 13:07 Uhr
Zitat von colinardo:
ja und jetzt ist kein Zertifikat aktiv oder was ? Schlecht... ohne wird das nicht wie gewünscht laufen.

  • Was gibt Get-ExchangeCertificate in einer EMS aus ?
Es sollte mindestens ein gültiges Zertifikat bestehen das gültig und aktiv an die verwendeten Dienste gebunden ist.

ne, es ist einfach das selbstzertifizierte aus der installation mit remote.domäne.de aktiv. Die Ganze dyndns geschichte haben wir zugunsten einer festen IP verworfen.

Hier die Rückgabe - so wie sie imo sein sollte. Das problematische Zertifikat ist darin nicht aufgelistet.

[PS] C:\Windows>Get-ExchangeCertificate

Thumbprint Services Subject
-------- -------
D8XX7A58684D9C3B3BE706A10DB958EFC17A2A32 IP.WS. CN=remote.domain.de
E1XX0BDE00F56C3E0115DCF3EA119A0655BB3EC6 ....S. CN=PDC.domain.local
25XX341ED4B210781687361367E39E47D6819709 ....S. CN=Sites
76XXC65BB8D14F0303EF6E2D1F509150E3619916 ...... CN=domain-PDC-CA
02XXC31FE184DF77481670F277E623638B799218 ...... CN=WMSvc-WIN-QQH1BMQSV35
Bitte warten ..
Mitglied: DReffects
06.09.2014 um 15:36 Uhr
Hab gerade den Outlook Autoconfig Test-Dialog entdeckt.

Dort geistert die dyndns url umher. Siehe Screenshot unter:
http://s14.directupload.net/images/user/140906/dowzxwdf.jpg

In der Exchange-Verwaltungskonsole unter Serverkonfiguration -> Clientzugriff
ist jedoch bei allen Elementen (Outlook Web App, Exchange Systemsteuerung, Exchange ACtiveSync usw.) diese p7.de URL zusammen mit dem Zertifikat von mir wieder entfernt worden und auf remote.domain.de zurückgestellt worden.

Wo kann die URL denn noch herkommen?

Danke
Bitte warten ..
Mitglied: colinardo
LÖSUNG 06.09.2014, aktualisiert 07.09.2014
Checke alle internen und externen URLs mit der Powershell um sicherzugehen. Auf die GUI verlasse ich mich persönlich ungerne:
http://www.administrator.de/wissen/powershell-script-konfigurieren-der- ...
Und den Server ab und zu mal neu starten, wenn nicht schon geschehen. Und auch mal einen IISRESET durchführen.

Aber besser du hältst sich bei dem SBS-Gedöns an die Assistenten zum Einrichten des Zertifikates, und fummelst nicht hinten an allem rum ohne alle Abhängigkeiten zu kennen.
Wer weis wo der Assi den neuen Hostnamen noch alles hinterlegt hat, deswegen diesen nochmal mit dem vorherigen Domainnamen durchlaufen lassen.
Bitte warten ..
Mitglied: DReffects
07.09.2014 um 14:34 Uhr
Tausend Dank Euch Leute!

Problem konnte nun endlich gelöst werden - in der Tat brachte der gegencheck auf der Exchange-Shell die Lösung.

Der Befehl

[PS] C:\Windows>Get-WebServicesVirtualDirectory |fl identity,internalurl,externalurl

Identity : PDC\EWS (Default Web Site)
InternalUrl : https://remote.domain.de/EWS/Exchange.asmx
ExternalUrl : https://domain.p7.de/ews/exchange.asmx

zeigte: da stimmt was noch nicht.

Mittels
[PS] C:\Windows>Set-WebServicesVirtualDirectory -Identity "PDC\EWS (Default Web Site)" -ExternalUrl https://remote.domain.de/EWS/Exchange.asmx -BasicAuthentication:$true

Lies sich das ganze korrigieren.

Als ich von Euch in die Richtige Richtung gewiesen wurde fand ich folgende Seite die exakt dieses Problem, insbesondere im Zusammenhang mit der GUI:
http://www.3ait.co.uk/blog/changing-the-autodiscover-url-in-microsoft-e ...

In Kombination mit dem Outlook Autodiscover-Test lies sich das ganze dann lösen.

Vielen Vielen Dank für die Hilfe!!

Grüße,
DR
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...