Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Problem mit Zertifikat - Oder doch kein Problem ? Ursache für Verbindungsproblem gesucht

Frage Microsoft Exchange Server

Mitglied: schafea

schafea (Level 1) - Jetzt verbinden

06.04.2013, aktualisiert 21:17 Uhr, 5113 Aufrufe, 11 Kommentare

Folgendes Problem:
ExRCA (https://www.testexchangeconnectivity.com/) zeigt ein Problem mit einem installierten SSL-Serverzertifikat an. Öffnet man die Seite in einem Webbrowser schein mit dem Zertifikat alles in Ordnung zu sein. Ich suche Tipps woran das liegen könnte.

Folgende Grundkonfiguration:
Hinter einer Firewall (pfSense) ist ein Windows Server 2003 Std (aktueller update Stand) mit IIS 6 und Exchange 2003 SP2, installiert. HTTPS Port wird von der Firewall an den Server weitergereicht.
Auf dem Server ist für SSL ein GeoTrust RapidSSL-Zertifikat (von Domainfactory) gültig bis 5/2013 installiert.

der Standardtest für den Zugriff auf Exchange (RPC über HTTP):

https://EXTDOMAIN.de/rpc

reagiert wie erwartet. Der Browser zeigt am Ende das geschlossene Schloss und meint das verwendete Zertifikat sei prima in Ordnung.

Teste ich die verbindung hingegen mit dem Microsoft Remote Connectivity Analyzer (ExRCA) so kommt folgender Fehler:

ExRCA testet Exchange ActiveSync.
Fehler beim Testen von Exchange ActiveSync.

Testschritte
Attempting to resolve the host name EXTDOMAIN.de in DNS.
The host name resolved successfully.
Weitere Details
IP addresses returned: x.x.x.x

Testing TCP port 443 on host EXTDOMAIN.de to ensure it's listening and open.
The port was opened successfully.

Testing the SSL certificate to make sure it's valid.
The SSL certificate failed one or more certificate validation checks.
Testschritte
ExRCA is attempting to obtain the SSL certificate from remote server EXTDOMAIN.de on port 443.
ExRCA wasn't able to obtain the remote SSL certificate.
The certificate couldn't be validated because SSL negotiation wasn't successful.
This could have occurred as a result of a network error or because of a problem with
the certificate installation.

Grundsätzlich soll das scheinbar bedeutetn, das ExRCA das SSL Zertifikat nicht "auslesen" kann. Warum aber kann es der Browser beim Zugriff scheinbar problemlos (s.o.)?
Was stimmt den nun? Ist das Zertifikat richtig installiert oder nicht? und falls nicht was passt da nicht?
Keine Ahnung wo ich noch suchen soll.

(Hintergrund der Frage ist natürlich, das RPC über HTTP nicht funktioniert.)


Ich hoffe einer hier hat eine Idee.

Gruß

Andreas
Mitglied: aqui
06.04.2013 um 19:48 Uhr
Vermutlich ein Mismatch mit dem FQDN und dem internal Name im Zertifikat (geraten).
Hier steht unter "Cerificates" was zu zwingend beachten ist wenn man interne Server per NAT nach draussen bringt :
http://blog.schertz.name/2012/07/lync-edge-server-best-practices/
Ist zwar für Lync, gilt aber analog auch für RPC.
Bitte warten ..
Mitglied: schafea
06.04.2013, aktualisiert um 19:58 Uhr
@aqui:
Das Problem mit dem internen und externen Namen ist mir klar. Normalerweise sollte der Browser dann aber wohl meckern:

Wenn ich im Browser auf EXTDOMAIN.de zugreife und das Zertifikat nicht auf EXTDOMAIN.de ausgestellt ist sondern z.B. auf INTDOMAIN.de dann gibts soweit ich das weis eine Fehlermeldung. das ist aber hier nicht der Fall. Der ExRCA kann so einen Fehler nebenbei bemerkt auch nachweisen (wie ich schon erfahren musst ).
Es muss hier irgendwas anderes sein. ich such jetzt schon eine knappe Woche...

Aber Danke für den Hinweis.

Gruß

Andreas
Bitte warten ..
Mitglied: Dani
07.04.2013 um 11:24 Uhr
Hi Andreas,
ich würde erstmal das Zertifikat nochmals installieren.
Danach würde ich die Seite von einem Rechner aufrufen der nicht dir gehört. Einfach zu sehen ob du nicht in der Vergangenheit irgendwelche Zertifikate installiert hast um das "Schloss" zuerhalten.


Grüße,
Dani
Bitte warten ..
Mitglied: schafea
07.04.2013 um 12:09 Uhr
Hallo Dani,

danke für den Tip. Bzgl. des reinstallieren des zertifikates:
Sollte man vorher versuchen alle Spuren der alten zertifikate, Zwischen- und Stammzertifikate auf dem Server zu löschen und dann komplett neu die zertifikate in den Speicher einzuspielen? Oder einfach nur "Zertifikat importieren" und "Speicher automatisch wählen?".

Das mit dem anderen Rechner habe ich schon versucht. Ich habe von verschiedenen Rechnern aus die externe Seite (.../rpc) angesprochen und es gab keine Probleme.

Gruß

Andreas
Bitte warten ..
Mitglied: Dani
07.04.2013 um 14:18 Uhr
Puhhh... Exchange 2003 ist schon ein Weilchen her. Aber installiert man das Zertifikat nicht über den IIS?


Grüße,
Dani
Bitte warten ..
Mitglied: schafea
07.04.2013 um 19:41 Uhr
Genau, es wird in der Standardwebsite des IIS installiert. Die Frage ist nur ob man die "Überreste" der vorherigen Installation (insb. Die Zwischen- und Stammzertifikate) löschen sollte oder nicht.

Alternativ kann man das Zertifikat dann aber wohl auch über das Zertifikat-Snap-In im MMC installieren.
Bitte warten ..
Mitglied: schafea
08.04.2013 um 10:28 Uhr
Problem gelöst:

es lag an den Firewall Einstellungen:

Offenbar reicht es nicht wenn über den Port 443 komuniziert werden kann. Ich bin mir allerdings noch nicht sicher welche Kanäle nach AUSSEN offen sein müssen.
Bitte warten ..
Mitglied: aqui
08.04.2013 um 11:26 Uhr
Nimm einen Wireshark Sniffer und sniffer so einen Verbindungsaufbau mit... DANN weisst du es wasserdicht und musst nicht spekulieren !
Bitte warten ..
Mitglied: Dani
08.04.2013 um 13:34 Uhr
Moin,
seltsam... wir haben bei uns außer 443 TCP nichts anderes freigegeben.


Grüße,
Dani
Bitte warten ..
Mitglied: schafea
08.04.2013 um 13:44 Uhr
Du meinst von WAN zu LAN. Da stimme ich zu.

Ich hatte aber auch ein paar regeln die den verkehr vom LAN ins WAN "regulieren" sollten eingebaut. da gabts offenbar Probleme.

Ganz läuft es jetzt auch immer noch icht. Das nächste Problem wartet schon: RPC-Proxy nicht pingbar...

Mal sehen...

Danke erstmal an Alle die geholfen haben

Andreas
Bitte warten ..
Mitglied: schafea
08.04.2013 um 15:31 Uhr
... die Lösung war :

RPC über HTTP nocheinmal deinstallieren und neu installieren (Einstellungen blieben erhalten).
Danach fluppte es wieder.

OK... Alles Fertig.

Danke nochmal an alle die Mitgeholfen haben.

Andreas
Bitte warten ..
Ähnliche Inhalte
Webbrowser
Zertifikats Problem
Frage von brammerWebbrowser4 Kommentare

Hallo, wir haben bei einem Kunden eine etwa spezielle Regelung was den Zugriff auf Maschinen für Wartungszwecke angeht. Der ...

Windows Server
RDP Verbindungsproblem
Frage von killtecWindows Server3 Kommentare

Hallo, ich habe folgendes Problem: Wenn ich mich via RDP auf einen bestimmten Server verbinden will, bekomme ich die ...

Windows 7
Zwischenablage gesperrt - Ursache finden
Frage von staybbWindows 75 Kommentare

Hallo, ich nutze Windows 7 x64 SP1. Seit kurzem kann ich keine Copy+Paste Funktion mehr nutzen. Sie wird einfach ...

Ubuntu
Verbindungsproblem Radiusserver
gelöst Frage von marcel90Ubuntu

Hallo zusammen, ich bin gerade etwas am testen von einem Radiusserver. Das ganze realisier ich zurzeit auf einer VMware. ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 107 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless8 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...