@norbertfe wie bekomme ich eine DB, die kein Backup ist in den Exchange rein? Ich hatte das Szenario so verstanden, dass hier eine DB eingefügt werden kann, die nicht aus einem Backup stammt. Das gleiche Thema habe ich ja immer noch.
Hab ich dir doch oben verlinkt. In deinem Fall ist es halt nicht aus einem Backup sondern die Datei so wie sie eben bei dir auf der Platte rumliegt sowie alle dazugehörigen Logfiles (wo die rumliegen weißt du ja auch).
Bye
Norbert
So, bin nun wieder so weit wie vor dem Zerstören. Cert ist erstellt, im Exchange is alles auf SSL gestellt, er will aber noch nicht auf Sicher schwenken. https steht noch immer zu begin. Ich suche jetzt mal hier nach Lösungen und mache bei Fragen ein neues Thema auf.
https steht noch immer zu begin
Naja, was steht denn in der URL und was steht im Zertifikat? Durchgestrichenes https heißt, es gibt ein Problem mit deinem Zertifikat. Wenn du mal deine Fehler korrekt beschreiben würdest, wäre das Problem wohl schon gelöst.
Dann haue ich es mal hier herein.
Intern, zum Beispiel mit der Exchange Seite, die ich aktuell nur auf dem Server benutze komme ich mit mit "https:\\localhost\ecp" auf den IIS
Das Postfach , das ja wieder funktioniert rufe ich über meine externe Adresse ab "https:\\externeadresse.com\owa"
Dann habe ich noch meine Maildomäne.de, mit der ich Mails versende und natürlich auch empfange.
diese drei Domänen habe ich in der AD verknüpft, das ich sie bei den Usern als Domäne wählen kann, und im Exchange bei Nachrichtenfluss, akzeptierte Domänen eingetragen, da ich mit den @... Mails raus senden und erhalte.
Meine User haben also immer eine Adresse mit allen drei Domänen.
In der Exchange 2019 GUI unter Server - Zertifikate, habe ich dann ein Zertifikat erstellt, dass von meiner CN=Server.interneDomäne kommt.
Wenn ich dieses Zertifikat über den Stift , also bearbeiten öffne, sehe ich bei den
alternativen Antragstellernamen folgende Einträge im Fenster
Server.interneDomäne
AutoDiscover.interneDomäne
AutoDiscover.externeadresse.com
AutoDiscover.Maildomäne.de
WMSvc-SHA2-Servername
interneDomäne
externeadresse.com
Maildomäne.de
Bei Dienste sind alle vier, inkl. IIS gehakt
Ziel ist es, das ich hier den Strich im https weg bekomme und ich möchte meine unsere Mails wieder auf dem Mobile abfragen können. (Outlook lokal auch, Da mach ich mich aber dran, wenn das Thema durch ist. Die Clients müssen noch in die neue Domäne gesetzt werden.
Was fehlt noch an Info? Bin mir nicht sicher.
Gruß Wolf
Da sind viel zu viele Namen im Zertifikat. Da gehört natürlich NUR die beiden Namen rein "AutoDiscover.externeadresse.com" und "Server.externeadresse.com". Wie deine domain heißt, wirst du ja wissen und mit welchem Namen du das von extern gern im Browser aufrufen willst (server) wirst du festlegen und im Exchange entsprechend konfigurieren. Wenn du dann ein valides Zertifikat hast, wird dir auch kein Fehler im Browser angezeigt, wenn du https://server.externeadresse.com aufrufst. Natürlich kommen Fehler wenn du https://localhost/ecp eingibst. Kein normaler Mensch schreibt ja localhost in ein Zertifikat. In einem öffentlichen Zertifikat sowieso nicht möglich. ;)
Bye
Norbert
Dann erstelle ich mein Cert am besten noch mal neu und wie in der Beschreibung vom Whitepaper, korrekt? Ich wüste nicht, das man bestehende Certs anpassen kann, oder?
Und das Cert ersetze ich dann über die Exchange Oberfläche. korrekt?
Dann erstelle ich mein Cert am besten noch mal neu und wie in der Beschreibung vom Whitepaper, korrekt?
Du arbeitest also mit selfsigned certificate? Dann wird dir im Zweifel dein Browser trotzdem Fehler ausspucken, weil er dem Zertifikat per Default nicht traut und kein modernes Smartphone wird mit dieser Konfiguration synchronisieren. Aber du machst das schon. :)
Bye
Norbert
Hm, von Client Seite war es kein Problem. Auf dem SBS hatte ich die Mobile per Selfsigned bis letzte Woche ja auch verbunden. Musste nur Exchange vor 2013 auswählen, bei der Konfig am Mobile.
Der SBS hatte soweit ich weiß aber ne eigene CA und das ist was anderes als ein selfsigned certificate.
Bye
Norbert
Ich habe die Zertifiziertungsstelle auch hier auf meinem Server. Ich habe ein Stammzertifikat. Auf dieses hat mein Clientcert immer verwiesen. Tatsächlich sehe ich jetzt im Exchange, das dort keines der Zertifikate mit meinem CA gebunden ist. Bei meiner letzten "Aktion" hatte ich das Cert über die Zertifizierungsstelle erstellt und im IIS eingebunden. Dann ging irgendwann nichts mehr. Wie bekomme ich das nu korrekt hin?
Ich habe mal einen Test auf der MS Verbindungsseite für ActivSync durchgeführt. Diese hier Microsoft-Remoteverbindungsuntersuchung: Testeingabe
Das kommt da raus.
im IIS eingebunden.
Weil man das nicht im iis tut sondern per eac oder Exchange Management Shell.
Doch, der Rest war aber alles grün, deswegen habe ich es nicht geschrieben. Hier der gesamte Text.
Die Microsoft-Verbindungsuntersuchung testet Exchange ActiveSync.
Fehler beim Testen von Exchange ActiveSync.
Testschritte
Es wird versucht, den AutoErmittlungs- und Exchange ActiveSync-Test durchzuführen (falls angefordert).
AutoErmittlung für Exchange ActiveSync erfolgreich getestet.
Testschritte
Es wird versucht, alle Methoden zum Herstellen einer Verbindung mit dem AutoErmittlungsdienst zu verwenden.
Der AutoErmittlungsdienst wurde erfolgreich getestet.
Testschritte
Es wird versucht, die mögliche AutoErmittlungs-URL https://externeAdresse.com:443/Autodiscover/Autodiscover.xml zu testen.
URL der AutoErmittlung erfolgreich getestet.
Testschritte
Es wird versucht, den Hostnamen externeAdresse.com im DNS aufzulösen.
Der Hostname wurde erfolgreich aufgelöst.
Weitere Details
Es wird getestet, ob TCP-Port 443 auf Host externeAdresse.com überwacht wird/geöffnet ist.
Der Port wurde erfolgreich geöffnet.
Die Gültigkeit des SSL-Zertifikats wird überprüft.
Das Zertifikat hat alle Überprüfungsanforderungen bestanden.
Testschritte
Die Microsoft-Verbindungsuntersuchung prüft den TCP-Endpunkt xxx.yyy.ddd.rrr am Port 443, um festzustellen, welche SSL/TLS-Protokolle und Verschlüsselungsverfahren-Sammlungen aktiviert sind.
Wir konnten die aktivierten Protokolle und Verschlüsselungsverfahren-Sammlungen erkennen.
Weitere Details
Überprüfen, ob Ihr Server modernen TLS-Protokolle und Verschlüsselungssammlungen unterstützt.
Ihr Server unterstützt moderne TLS-Protokolle und Verschlüsselungssammlungen, er sollte mit Microsoft 365-Diensten kompatibel sein.
Die Microsoft-Verbindungsuntersuchung versucht, das SSL-Zertifikat vom Remoteserver externeAdresse.com an Port 443 zu erhalten.
Die Microsoft-Verbindungsuntersuchung hat das Remote-SSL-Zertifikat erfolgreich abgerufen.
Weitere Details
Der Zertifikatsname wird überprüft.
Zertifikatsnamen erfolgreich überprüft.
Weitere Details
Das Datum des Zertifikats wird getestet, um zu bestätigen, dass das Zertifikat gültig ist.
Überprüfung des Datums war erfolgreich. Das Zertifikat ist nicht abgelaufen.
Weitere Details
Es wird versucht, dem AutoErmittlungsdienst eine POST-Anforderung zu senden, damit er URLs ggf. automatisch erkennen kann.
Die Microsoft-Verbindungsuntersuchung hat die AutoErmittlung-Einstellungen erfolgreich durch das Senden von AutoErmittlung-POST-Daten abgerufen.
Testschritte
Die Microsoft-Verbindungsuntersuchung versucht, eine XML-Antwort des AutoErmittlungsdiensts von URL https:// externeAdresse.com:443/Autodiscover/Autodiscover.xml für Benutzer Mailadresse@vonmir abzurufen.
Die XML-Antwort der AutoErmittlung wurde erfolgreich abgerufen.
Weitere Details
Die Exchange ActiveSync-Einstellungen werden überprüft.
Die Exchange ActiveSync-URL https:// externeAdresse.com /Microsoft-Server-ActiveSync wurde erfolgreich überprüft.
Es wird versucht, den Hostnamen externeAdresse.com im DNS aufzulösen.
Der Hostname wurde erfolgreich aufgelöst.
Weitere Details
Es wird getestet, ob TCP-Port 443 auf Host externeAdresse.com überwacht wird/geöffnet ist.
Der Port wurde erfolgreich geöffnet.
Die Gültigkeit des SSL-Zertifikats wird überprüft.
Das Zertifikat hat alle Überprüfungsanforderungen bestanden.
Testschritte
Die Microsoft-Verbindungsuntersuchung prüft den TCP-Endpunkt 109.250.99.252 am Port 443, um festzustellen, welche SSL/TLS-Protokolle und Verschlüsselungsverfahren-Sammlungen aktiviert sind.
Wir konnten die aktivierten Protokolle und Verschlüsselungsverfahren-Sammlungen erkennen.
Weitere Details
Überprüfen, ob Ihr Server modernen TLS-Protokolle und Verschlüsselungssammlungen unterstützt.
Ihr Server unterstützt moderne TLS-Protokolle und Verschlüsselungssammlungen, er sollte mit Microsoft 365-Diensten kompatibel sein.
Die Microsoft-Verbindungsuntersuchung versucht, das SSL-Zertifikat vom Remoteserver externeAdresse.com an Port 443 zu erhalten.
Die Microsoft-Verbindungsuntersuchung hat das Remote-SSL-Zertifikat erfolgreich abgerufen.
Weitere Details
Der Zertifikatsname wird überprüft.
Zertifikatsnamen erfolgreich überprüft.
Weitere Details
Das Datum des Zertifikats wird getestet, um zu bestätigen, dass das Zertifikat gültig ist.
Überprüfung des Datums war erfolgreich. Das Zertifikat ist nicht abgelaufen.
Weitere Details
HTTP-Authentifizierungsmethoden für URL https:// externeAdresse.com /Microsoft-Server-ActiveSync werden getestet
Fehler beim HTTP-Authentifizierungstest.
Weitere Details
Die Antwort „HTTP 403 Verboten“ wurde empfangen. Die Antwort scheint von Unknown zu stammen.
Antworttext: HTTP-Antwortkopfzeilen: X-FEServer: Servername
Content-Length: 0 Date: Thu, 15 Feb 2024 12:43:05 GMT
Server: Microsoft-IIS/10.0 X-Powered-By: ASP.NET
Mit welchem Benutzeraccount hast du den Remote Connectivity Analyzer gefüttert? Welche Rechte hat dieser Account bei dir im AD?
Das ist ein einfacher Domänen User, kein Admin.
Und der hat auch ein Postfach?
Ja, auf das greife ich aktuell per OWA schon intern zu, da ich meine beiden Client Rechner noch nicht von der alten auf die neue Domäne umgezogen habe versuche ich es erst gar nicht mit Outlook.
Ich habe jetzt mal in EAC geguckt, da steht die Adresse https://externeAdresse.com/Microsoft-Server-ActiveSync als Seite. Wenn ich diese öffne, kommt eine Abfrage mit der Auswahl von zwei Zertifikaten. Wenn ich da bei den Cert Infos gucke, steht bei beiden, dass sie in der Zertifikatsstelle in die Liste der Vertrauenswürdigen Zertifikate aufgenommen werden müssten.
Wenn ich eines der beiden auswähle bekomme ich ohne jede Anmeldung direckt 403 Error angezeigt.
Es funktioniert. Ich habe jetzt erst mal im EAC unter Server, Virtuelle Verzeichnisse, beim Microsoft-Server-ActiveSync in den Einstellungen unter Authentifizierung SSL auf True, den Haken bei Standardauthentifizierung gesetzt aber das Client Cert war bei mir auf Anfordern, das sitzt nun auf ignorieren, und die Verbindung steht. auf dem Mobile