Öffentliches Zertif...
 
Benachrichtigungen
Alles löschen

Öffentliches Zertifikat - Problem lokaler Exchangename

14 Beiträge
3 Benutzer
0 Reactions
250 Ansichten
(@marcom)
Active Member
Beigetreten: Vor 1 Monat
Beiträge: 7
Themenstarter  

Hallo Zusammen,

ich habe ein öffentliches Zertifikat für 3 Domänen gekauft.
domaene.de - mail.domaene.de - autodiscover.domaene.de
für Exchange 2019

Hat soweit funktioniert; OWA startet nun ohne die Meldung "Webseite unsicher"

Nun habe ich das Problem bei den Outlook Clients.
Hier erscheint bei jedem Outlook Start der Sicherheitshinweis das der Name nicht mit Webseite übereinstimmt. Klar, da der lokale Name des Exchange "exchange.intern.local" lautet.
Es muss auf Ja geklickt werden damit Outlook arbeitet.Installieren des Zert. hilft nicht weiter.

Ich bin kein Zertifikatsprofi, deswegen die Frage wie ich das Problem gelöst bekomme.

Danke schon im Voraus

Marco


   
Zitat
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1554
 

Veröffentlicht von: @marcom

Installieren des Zert. hilft nicht weiter.

Ja, wie denn auch, wenn der Name falsch ist ;) Im Übrigen braucht man Zertifikate (die auf Hosts ausgestellt wurden) sowieso nicht zu "installieren", denn das bringt ja keine Vorteile.

 

Ich würde sagen, du schaust mal was unter

 

get-clientaccessservice | fl *uri*

zurückgegeben wird (vermutlich https://lokaler-Exchange/Autodiscover/Autodiscover.xml) und änderst das auf externer Name https://externerName/Autodiscover/Autodiscover.xml

 

Bye

Norbert

 


   
AntwortZitat

(@marcom)
Active Member
Beigetreten: Vor 1 Monat
Beiträge: 7
Themenstarter  

@norbertfe Hallo Norbert, herzlichen Dank für die Rückantwort. Das mit dem Installieren und das dies nicht klappt war mir klar da der Name sich ja nicht im Zert. befindet. Wie geschrieben, bin kein Zertifikatsexperte.

Der "get-clientaccessservice" hat den lokalen exchange-Namen zurückgegeben. Wie/Wo ändere ich diesen auf den externen Namen ? 

Danke

Viele Grüße

Marco


   
AntwortZitat
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1554
 

Mit set-clientaccessservice? ;)


   
AntwortZitat

(@kidlark)
Eminent Member
Beigetreten: Vor 4 Jahren
Beiträge: 18
 

Da gibt es auf Frankys Webseite ein tolles Script mit dem diese URLS gesetzt werden können, z.B.  https://www.frankysweb.de/exchange-2019-die-basiskonfiguration/

 


   
AntwortZitat
(@marcom)
Active Member
Beigetreten: Vor 1 Monat
Beiträge: 7
Themenstarter  

@norbertfe Hi, der Wert ist gesetzt und der get-Befehl gibt nun den externen Namen aus. Der Sicherheitshinweis bei Outlook ist aber nach wie vor (Exchange sowie Client neu gestartet)

Auf einem Client habe ich das Outlook Profil gelöscht und neu angelegt; keine Besserung.

Sind evtl. noch weitere Schritte notwendig ?

Diese r Beitrag wurde geändert Vor 1 Monat von MarcoM

   
AntwortZitat

NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1554
 

Zeig mal die genaue Fehlermeldung (ggf. anonymisieren) und zeig mal das an, was als Zertifikat angezeigt wird.


   
AntwortZitat
(@marcom)
Active Member
Beigetreten: Vor 1 Monat
Beiträge: 7
Themenstarter  

@norbertfe Hallo, Sorry war eine Woche unterwegs. Das Problem ist nach einem gestrigen Neustart von DC und Exchange anderst. Outlook, OWA und Admin-Center lassen sich nicht mehr öffnen/verbinden.

Im Windows LOG finde ich zwei, sich ständig wiederholende, Meldungen:

"Bei der Verwendung der SSL-Konfiguration für den Endpunkt 0.0.0.0:443 ist ein Fehler aufgetreten"

sowie

"Bei der Verwendung der SSL-Konfiguration für den Endpunkt 127.0.0.1:443 ist ein Fehler aufgetreten"

Mit Google habe ich unterschiedliches gefunden (IIS) möchte aber lieber auf Deinen Expertenrat warten.

Viele Grüße Marco

 

Diese r Beitrag wurde geändert Vor 4 Wochen von MarcoM

   
AntwortZitat

NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1554
 

Veröffentlicht von: @marcom

Das Problem ist nach einem gestrigen Neustart von DC und Exchange anderst

Noch anderster?

 

Veröffentlicht von: @marcom

Mit Google habe ich unterschiedliches gefunden (IIS) möchte aber lieber auf Deinen Expertenrat warten.

 

Was hast du denn gefunden? Ist ggf. einfacher zu sagen ob das paßt, als jetzt mit den paar Infos selber Ideen hier einzustellen. Bei Fehlermeldungen aus dem Eventlog hilft es ungemein auch die Event-ID mitzuliefern. ;)


   
AntwortZitat
(@marcom)
Active Member
Beigetreten: Vor 1 Monat
Beiträge: 7
Themenstarter  

@norbertfe Habe nun im IIS das richtige Zertifikat zugewiesen und ECP sowie OWA funktionieren. Outlook nur bedingt da hier eine Microsoft Anmeldung erscheint (siehe Foto)


   
AntwortZitat

NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1554
 

Zuweisung von Zertifikaten im IIS sollte man nicht tun, weil die Exchangekonfiguration das wieder überschreibt. Also setze das Zertifikat sicherheitshalber auch mal mit der Exchange Powershell. Outlook will sich offenbar unbedingt mit Exchange Online verbinden. Das musst du steuern.

https://www.frankysweb.de/outlook-autodiscover-fuer-office-365-deaktivieren/


   
AntwortZitat
(@marcom)
Active Member
Beigetreten: Vor 1 Monat
Beiträge: 7
Themenstarter  

@norbertfe Dankeschön ; habe dies erledigt und auch die Reg-Einträge gesetzt. Jetzt ist zwar die MS-Meldung weg, aber bei einem Testclient kann ich Outlook nicht einrichten; die Mailadresse wird korrekt vorgegeben, dann Exchange ausgewählt und dann erscheint Fehlermeldung (siehe Foto)


   
AntwortZitat

(@marcom)
Active Member
Beigetreten: Vor 1 Monat
Beiträge: 7
Themenstarter  

bei einem Client der Domäne (mit bereits eingerichtetem Outlook erschien die MS-Meldung auch, nach setzen der Reg-Einträge kommt nur noch der Sicherheitshinweis (siehe Foto); nach klicken auf "Ja" funktioniert Outlook; allerdings nach jedem Outlook-Start das selbe


   
AntwortZitat
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1554
 

Da steht ja offenbar auch immer noch der falsche Name im Zertifikat (oder in der Konfiguration). Schwer zu sagen im Forum. Im zweiten Fall, sollte das dann irgendwann ja mal verschwinden der Fehler. Warum du allerdings kein neues Outlook Profil einrichten kannst, das läßt sich ebenso schwer im Forum "erraten". Irgendwo wir wohl noch ein Fehler in der Konfig stecken.


   
AntwortZitat

Teilen: