Kein Zugriff auf EA...
 
Benachrichtigungen
Alles löschen

Kein Zugriff auf EAC OWA oder per Outlook-Client Exchange 2019

10 Beiträge
3 Benutzer
0 Likes
791 Ansichten
(@benito)
Active Member
Beigetreten: Vor 10 Monaten
Beiträge: 5
Themenstarter  

Hallo Zusammen,

wer kann mir helfen?

Im Zuge der Konfiguration für Zertifikatsprobleme habe ich im EAC alle URL's (ext wie int) der viruellen Verzeichnisse auf einen andere URL gelegt.

Nach Neustart des Servers W2k19 habe ich keine Zugriff mehr von meinem Outlook oder auf das EAC oder per OWA.

Mit dem Script vom Franky habe ich in der Powershell alle URL's wieder zurückgestellt. Dies hat aber leider nichts gebracht.

Jetzt bin ich ratlos, das Problem kann auch durch Experimente mit den Zertifikaten entstanden sein.


   
Zitat
(@geloeschter-benutzer)
Reputable Member
Beigetreten: Vor 6 Monaten
Beiträge: 262
 

Hi,

Zertifikat beinhaltet die neuen Hostnamen?
Zertifikat auf Frontend und Backend IIS gesetzt?

Restart-WebAppPool MSExchangeAutodiscoverAppPool
Restart-WebAppPool MSExchangeRpcProxyFrontEndAppPool
Restart-WebAppPool MSExchangeRpcProxyAppPool

 

DNS passt auch?

 

Gruß,
Ralf


   
AntwortZitat

(@benito)
Active Member
Beigetreten: Vor 10 Monaten
Beiträge: 5
Themenstarter  

Hi Ralf,

DNS passt, habe alles mit NSLookup überprüft. Ein Restart bringt nicht viel wenn ich den Server schon mehrfach neu gestartet habe.

Tja dass mit den Zertifikaten ist so ein Problem.

Ich habe dies immer noch nicht richtig verstanden.

Meine Emails (senden/emfangen) gehen alle über meinen Provider.

Meinen Domain lautet extdomain.de

Intern läuft das AD mydomain.int

Die virtuellen Verzeichnisse lauten outlook.mydomain.int (interne wie ext. Url) sowie auch das autodiscover.mydomain.int

Bei SSL Trust habe ich mir eine 30 Tages Zertifikat besorgt und im EAC eingetragen:

Common Name: extdomain.de
Produkt: Comodo PositiveSSL

intern DNS ist mit extdomain.de und mydomain.int mit einem A Hosteintrag auf den Ex-Server verdrahtet.

Wenn ich mich intern mit Outlook/OWA verbinde bekommt der Sicherheitshinweis für outlook.mydomain.int und autodiscover.mydomain.int  "Der Name auf dem Zertifikat ist ungültig oder stimmt nicht".

Bei meinen Provider habe ich supdomains  mit Weiterleitung auf meine feste IP Adresse für outlook.extdomain.de und autodiscover.extdomain.de angelegt.

mit outllook.extdomain.de werde ich auf mein OWA weitergeleitet nur habe ich im Browser als URL die IP Adresse drinstehen und es gibt die Warnung das die Seite nicht sicher ist.

 

Die Sicherheitshinweise beziehen sich immer darauf dass das Zertifikat für extdomain.de ausgestellt ist.

Dann habe ich die alle virtuellen Verzeichnis (int/ext) auf die URL's outlook.extdomain.de und autodiscover.extdomain.de umgelegt.

Danach ging kein OWA, EAC oder Outlook mehr.


   
AntwortZitat
(@geloeschter-benutzer)
Reputable Member
Beigetreten: Vor 6 Monaten
Beiträge: 262
 

da du kein Split DNS nutzt, so wie ich es aus der Antwort lese, hast du ja bestimmt eine interne CA.
Dann erstell dir dort ein SAN Zert mit allen relevanten Namen sowohl für in wie für externe Domain.
Da Deine Clients dem SAN Zert der internen CA vertrauen, ist zumindest eine Outlook/OWA Verbindung von intern möglich (passende Zert Zuweisung und VS Config + DNS Config vorausgesetzt.)

für externe Zugriffe brauchst du dann eben ein public Zert. Hier würde sich dann ein Wildcard oder SAN Zertifikat anbieten, weíl du dann diverse Sub Namen für die Veröffentlichung nutzen kannst. Dieses Zert kann man dann auf einen Reverseproxy packen (Sophos, Kemp whatever) und bei Bedarf dann ein SSL Offload etc machen. Extern nutzt dann Public, interne Clients das von deiner CA ausgestellte SAN Zert. alles nur Vorschläge... gibt bestimmt viele andere Wege nach Rom.

Ralf

 

 


   
AntwortZitat

NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 2 Jahren
Beiträge: 1007
 
Veröffentlicht von: @benito

Wenn ich mich intern mit Outlook/OWA verbinde bekommt der Sicherheitshinweis für outlook.mydomain.int und autodiscover.mydomain.int  "Der Name auf dem Zertifikat ist ungültig oder stimmt nicht".

 

Was ja irgendwie logisch ist, wenn du ein externes Zetifikat nutzt und alles auf interene Namen konfigurierst. ;)

Veröffentlicht von: @benito

Die virtuellen Verzeichnisse lauten outlook.mydomain.int (interne wie ext. Url) sowie auch das autodiscover.mydomain.int

 

Veröffentlicht von: @benito

Bei SSL Trust habe ich mir eine 30 Tages Zertifikat besorgt und im EAC eingetragen:

 

Ich würde sagen, da fehlt irgendwo das Verständnis, wie URL/Zertifikate und Namen konfiguriert werden sollten, damit es paßt.

Wie schon gesagt, wenn du nur intern agierst, dann konfigurier halt alles auf interne Namen und nutze ein internes Zertifikat (mit den internen Namen). Wenn es extern zugänglich sein soll, dann nutze Split-DNS und öffentliche Zertifikate und öffentliche Namen.

 

Bye

Norbert


   
AntwortZitat
(@benito)
Active Member
Beigetreten: Vor 10 Monaten
Beiträge: 5
Themenstarter  
Veröffentlicht von: @monthy

da du kein Split DNS nutzt, so wie ich es aus der Antwort lese, hast du ja bestimmt eine interne CA

wen du mit Splitt DNS die DNS Einträge mit mydomain.int (A.Host -> IP. Exchangeserver) und extdomain.de (A.Host -> IP. Exchangeserver) meinst das habe ich eingerichtet.
Das habe ich so gemacht.

Diese r Beitrag wurde geändert Vor 10 Monaten von Benito

   
AntwortZitat

NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 2 Jahren
Beiträge: 1007
 

Split-DNS meint, dass der selbe Name intern und extern jeweils anders aufgelöst werden. DEin Client kennt immer nur outlook.externedomain.tld aber intern wird daraus bspw. eine 192.168.173.10 und extern eine 217.255.255.90

 

Bye

Norbert


   
AntwortZitat
(@benito)
Active Member
Beigetreten: Vor 10 Monaten
Beiträge: 5
Themenstarter  

Kann es mir helfen alle virtuelle Verzeichnisse (int/ext) auf die URL's outlook.extdomain.de und autodiscover.extdomain.de umgelegt.

das habe ich schon einmal gemacht dann ging bis auf den Powershell-Zugriff gar nichts mehr (kein OWA, EAC oder Outlook).

Was muss ich machen nach der Umlegung der URL's noch machen. Ein einfacher Start des Servers hat nichts gebracht.


   
AntwortZitat

(@benito)
Active Member
Beigetreten: Vor 10 Monaten
Beiträge: 5
Themenstarter  

PS: Vielleicht ist ja jemand bereit das mit mir ein einer Fernwartung zu lösen ? 


   
AntwortZitat
NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 2 Jahren
Beiträge: 1007
 
Veröffentlicht von: @benito

das habe ich schon einmal gemacht dann ging bis auf den Powershell-Zugriff gar nichts mehr (kein OWA, EAC oder Outlook).

 

Und haben die Namen auch intern und extern korrekt aufgelöst?

 

Ich kann keine Fernwartung anbieten.

 

Bye

Norbert


   
AntwortZitat

Teilen: