Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Problem mit Zertifikat - Oder doch kein Problem ? Ursache für Verbindungsproblem gesucht

Frage Microsoft Exchange Server

Mitglied: schafea

schafea (Level 1) - Jetzt verbinden

06.04.2013, aktualisiert 21:17 Uhr, 4770 Aufrufe, 11 Kommentare

Folgendes Problem:
ExRCA (https://www.testexchangeconnectivity.com/) zeigt ein Problem mit einem installierten SSL-Serverzertifikat an. Öffnet man die Seite in einem Webbrowser schein mit dem Zertifikat alles in Ordnung zu sein. Ich suche Tipps woran das liegen könnte.

Folgende Grundkonfiguration:
Hinter einer Firewall (pfSense) ist ein Windows Server 2003 Std (aktueller update Stand) mit IIS 6 und Exchange 2003 SP2, installiert. HTTPS Port wird von der Firewall an den Server weitergereicht.
Auf dem Server ist für SSL ein GeoTrust RapidSSL-Zertifikat (von Domainfactory) gültig bis 5/2013 installiert.

der Standardtest für den Zugriff auf Exchange (RPC über HTTP):

https://EXTDOMAIN.de/rpc

reagiert wie erwartet. Der Browser zeigt am Ende das geschlossene Schloss und meint das verwendete Zertifikat sei prima in Ordnung.

Teste ich die verbindung hingegen mit dem Microsoft Remote Connectivity Analyzer (ExRCA) so kommt folgender Fehler:

ExRCA testet Exchange ActiveSync.
Fehler beim Testen von Exchange ActiveSync.

Testschritte
Attempting to resolve the host name EXTDOMAIN.de in DNS.
The host name resolved successfully.
Weitere Details
IP addresses returned: x.x.x.x

Testing TCP port 443 on host EXTDOMAIN.de to ensure it's listening and open.
The port was opened successfully.

Testing the SSL certificate to make sure it's valid.
The SSL certificate failed one or more certificate validation checks.
Testschritte
ExRCA is attempting to obtain the SSL certificate from remote server EXTDOMAIN.de on port 443.
ExRCA wasn't able to obtain the remote SSL certificate.
The certificate couldn't be validated because SSL negotiation wasn't successful.
This could have occurred as a result of a network error or because of a problem with
the certificate installation.

Grundsätzlich soll das scheinbar bedeutetn, das ExRCA das SSL Zertifikat nicht "auslesen" kann. Warum aber kann es der Browser beim Zugriff scheinbar problemlos (s.o.)?
Was stimmt den nun? Ist das Zertifikat richtig installiert oder nicht? und falls nicht was passt da nicht?
Keine Ahnung wo ich noch suchen soll.

(Hintergrund der Frage ist natürlich, das RPC über HTTP nicht funktioniert.)


Ich hoffe einer hier hat eine Idee.

Gruß

Andreas
Mitglied: aqui
06.04.2013 um 19:48 Uhr
Vermutlich ein Mismatch mit dem FQDN und dem internal Name im Zertifikat (geraten).
Hier steht unter "Cerificates" was zu zwingend beachten ist wenn man interne Server per NAT nach draussen bringt :
http://blog.schertz.name/2012/07/lync-edge-server-best-practices/
Ist zwar für Lync, gilt aber analog auch für RPC.
Bitte warten ..
Mitglied: schafea
06.04.2013, aktualisiert um 19:58 Uhr
@aqui:
Das Problem mit dem internen und externen Namen ist mir klar. Normalerweise sollte der Browser dann aber wohl meckern:

Wenn ich im Browser auf EXTDOMAIN.de zugreife und das Zertifikat nicht auf EXTDOMAIN.de ausgestellt ist sondern z.B. auf INTDOMAIN.de dann gibts soweit ich das weis eine Fehlermeldung. das ist aber hier nicht der Fall. Der ExRCA kann so einen Fehler nebenbei bemerkt auch nachweisen (wie ich schon erfahren musst ).
Es muss hier irgendwas anderes sein. ich such jetzt schon eine knappe Woche...

Aber Danke für den Hinweis.

Gruß

Andreas
Bitte warten ..
Mitglied: Dani
07.04.2013 um 11:24 Uhr
Hi Andreas,
ich würde erstmal das Zertifikat nochmals installieren.
Danach würde ich die Seite von einem Rechner aufrufen der nicht dir gehört. Einfach zu sehen ob du nicht in der Vergangenheit irgendwelche Zertifikate installiert hast um das "Schloss" zuerhalten.


Grüße,
Dani
Bitte warten ..
Mitglied: schafea
07.04.2013 um 12:09 Uhr
Hallo Dani,

danke für den Tip. Bzgl. des reinstallieren des zertifikates:
Sollte man vorher versuchen alle Spuren der alten zertifikate, Zwischen- und Stammzertifikate auf dem Server zu löschen und dann komplett neu die zertifikate in den Speicher einzuspielen? Oder einfach nur "Zertifikat importieren" und "Speicher automatisch wählen?".

Das mit dem anderen Rechner habe ich schon versucht. Ich habe von verschiedenen Rechnern aus die externe Seite (.../rpc) angesprochen und es gab keine Probleme.

Gruß

Andreas
Bitte warten ..
Mitglied: Dani
07.04.2013 um 14:18 Uhr
Puhhh... Exchange 2003 ist schon ein Weilchen her. Aber installiert man das Zertifikat nicht über den IIS?


Grüße,
Dani
Bitte warten ..
Mitglied: schafea
07.04.2013 um 19:41 Uhr
Genau, es wird in der Standardwebsite des IIS installiert. Die Frage ist nur ob man die "Überreste" der vorherigen Installation (insb. Die Zwischen- und Stammzertifikate) löschen sollte oder nicht.

Alternativ kann man das Zertifikat dann aber wohl auch über das Zertifikat-Snap-In im MMC installieren.
Bitte warten ..
Mitglied: schafea
08.04.2013 um 10:28 Uhr
Problem gelöst:

es lag an den Firewall Einstellungen:

Offenbar reicht es nicht wenn über den Port 443 komuniziert werden kann. Ich bin mir allerdings noch nicht sicher welche Kanäle nach AUSSEN offen sein müssen.
Bitte warten ..
Mitglied: aqui
08.04.2013 um 11:26 Uhr
Nimm einen Wireshark Sniffer und sniffer so einen Verbindungsaufbau mit... DANN weisst du es wasserdicht und musst nicht spekulieren !
Bitte warten ..
Mitglied: Dani
08.04.2013 um 13:34 Uhr
Moin,
seltsam... wir haben bei uns außer 443 TCP nichts anderes freigegeben.


Grüße,
Dani
Bitte warten ..
Mitglied: schafea
08.04.2013 um 13:44 Uhr
Du meinst von WAN zu LAN. Da stimme ich zu.

Ich hatte aber auch ein paar regeln die den verkehr vom LAN ins WAN "regulieren" sollten eingebaut. da gabts offenbar Probleme.

Ganz läuft es jetzt auch immer noch icht. Das nächste Problem wartet schon: RPC-Proxy nicht pingbar...

Mal sehen...

Danke erstmal an Alle die geholfen haben

Andreas
Bitte warten ..
Mitglied: schafea
08.04.2013 um 15:31 Uhr
... die Lösung war :

RPC über HTTP nocheinmal deinstallieren und neu installieren (Einstellungen blieben erhalten).
Danach fluppte es wieder.

OK... Alles Fertig.

Danke nochmal an alle die Mitgeholfen haben.

Andreas
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Exchange Server
gelöst Exchange 2010 Activesync Problem bei IOS 10.1.1 und Wildcard SSL Zertifikat (2)

Frage von hasel123 zum Thema Exchange Server ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...

Exchange Server
Outlook Anywhere ohne gekauftes Zertifikat (7)

Frage von DKowalke zum Thema Exchange Server ...

Windows Netzwerk
gelöst Problem mit PSexec64 von Sysinternals (8)

Frage von MaxMoritz6 zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (15)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...