Hallo Zusammen,
wer kann mir helfen?
Im Zuge der Konfiguration für Zertifikatsprobleme habe ich im EAC alle URL's (ext wie int) der viruellen Verzeichnisse auf einen andere URL gelegt.
Nach Neustart des Servers W2k19 habe ich keine Zugriff mehr von meinem Outlook oder auf das EAC oder per OWA.
Mit dem Script vom Franky habe ich in der Powershell alle URL's wieder zurückgestellt. Dies hat aber leider nichts gebracht.
Jetzt bin ich ratlos, das Problem kann auch durch Experimente mit den Zertifikaten entstanden sein.
Hi,
Zertifikat beinhaltet die neuen Hostnamen?
Zertifikat auf Frontend und Backend IIS gesetzt?
Restart-WebAppPool MSExchangeAutodiscoverAppPool Restart-WebAppPool MSExchangeRpcProxyFrontEndAppPool Restart-WebAppPool MSExchangeRpcProxyAppPool
DNS passt auch?
Gruß,
Ralf
Hi Ralf,
DNS passt, habe alles mit NSLookup überprüft. Ein Restart bringt nicht viel wenn ich den Server schon mehrfach neu gestartet habe.
Tja dass mit den Zertifikaten ist so ein Problem.
Ich habe dies immer noch nicht richtig verstanden.
Meine Emails (senden/emfangen) gehen alle über meinen Provider.
Meinen Domain lautet extdomain.de
Intern läuft das AD mydomain.int
Die virtuellen Verzeichnisse lauten outlook.mydomain.int (interne wie ext. Url) sowie auch das autodiscover.mydomain.int
Bei SSL Trust habe ich mir eine 30 Tages Zertifikat besorgt und im EAC eingetragen:
Common Name: extdomain.de
Produkt: Comodo PositiveSSL
intern DNS ist mit extdomain.de und mydomain.int mit einem A Hosteintrag auf den Ex-Server verdrahtet.
Wenn ich mich intern mit Outlook/OWA verbinde bekommt der Sicherheitshinweis für outlook.mydomain.int und autodiscover.mydomain.int "Der Name auf dem Zertifikat ist ungültig oder stimmt nicht".
Bei meinen Provider habe ich supdomains mit Weiterleitung auf meine feste IP Adresse für outlook.extdomain.de und autodiscover.extdomain.de angelegt.
mit outllook.extdomain.de werde ich auf mein OWA weitergeleitet nur habe ich im Browser als URL die IP Adresse drinstehen und es gibt die Warnung das die Seite nicht sicher ist.
Die Sicherheitshinweise beziehen sich immer darauf dass das Zertifikat für extdomain.de ausgestellt ist.
Dann habe ich die alle virtuellen Verzeichnis (int/ext) auf die URL's outlook.extdomain.de und autodiscover.extdomain.de umgelegt.
Danach ging kein OWA, EAC oder Outlook mehr.
da du kein Split DNS nutzt, so wie ich es aus der Antwort lese, hast du ja bestimmt eine interne CA.
Dann erstell dir dort ein SAN Zert mit allen relevanten Namen sowohl für in wie für externe Domain.
Da Deine Clients dem SAN Zert der internen CA vertrauen, ist zumindest eine Outlook/OWA Verbindung von intern möglich (passende Zert Zuweisung und VS Config + DNS Config vorausgesetzt.)
für externe Zugriffe brauchst du dann eben ein public Zert. Hier würde sich dann ein Wildcard oder SAN Zertifikat anbieten, weíl du dann diverse Sub Namen für die Veröffentlichung nutzen kannst. Dieses Zert kann man dann auf einen Reverseproxy packen (Sophos, Kemp whatever) und bei Bedarf dann ein SSL Offload etc machen. Extern nutzt dann Public, interne Clients das von deiner CA ausgestellte SAN Zert. alles nur Vorschläge... gibt bestimmt viele andere Wege nach Rom.
Ralf
Wenn ich mich intern mit Outlook/OWA verbinde bekommt der Sicherheitshinweis für outlook.mydomain.int und autodiscover.mydomain.int "Der Name auf dem Zertifikat ist ungültig oder stimmt nicht".
Was ja irgendwie logisch ist, wenn du ein externes Zetifikat nutzt und alles auf interene Namen konfigurierst. ;)
Die virtuellen Verzeichnisse lauten outlook.mydomain.int (interne wie ext. Url) sowie auch das autodiscover.mydomain.int
Bei SSL Trust habe ich mir eine 30 Tages Zertifikat besorgt und im EAC eingetragen:
Ich würde sagen, da fehlt irgendwo das Verständnis, wie URL/Zertifikate und Namen konfiguriert werden sollten, damit es paßt.
Wie schon gesagt, wenn du nur intern agierst, dann konfigurier halt alles auf interne Namen und nutze ein internes Zertifikat (mit den internen Namen). Wenn es extern zugänglich sein soll, dann nutze Split-DNS und öffentliche Zertifikate und öffentliche Namen.
Bye
Norbert
da du kein Split DNS nutzt, so wie ich es aus der Antwort lese, hast du ja bestimmt eine interne CA
wen du mit Splitt DNS die DNS Einträge mit mydomain.int (A.Host -> IP. Exchangeserver) und extdomain.de (A.Host -> IP. Exchangeserver) meinst das habe ich eingerichtet.
Das habe ich so gemacht.
Split-DNS meint, dass der selbe Name intern und extern jeweils anders aufgelöst werden. DEin Client kennt immer nur outlook.externedomain.tld aber intern wird daraus bspw. eine 192.168.173.10 und extern eine 217.255.255.90
Bye
Norbert
Kann es mir helfen alle virtuelle Verzeichnisse (int/ext) auf die URL's outlook.extdomain.de und autodiscover.extdomain.de umgelegt.
das habe ich schon einmal gemacht dann ging bis auf den Powershell-Zugriff gar nichts mehr (kein OWA, EAC oder Outlook).
Was muss ich machen nach der Umlegung der URL's noch machen. Ein einfacher Start des Servers hat nichts gebracht.
PS: Vielleicht ist ja jemand bereit das mit mir ein einer Fernwartung zu lösen ?
das habe ich schon einmal gemacht dann ging bis auf den Powershell-Zugriff gar nichts mehr (kein OWA, EAC oder Outlook).
Und haben die Namen auch intern und extern korrekt aufgelöst?
Ich kann keine Fernwartung anbieten.
Bye
Norbert