none
Fehler bei externen Aufruf OWA / ECP RRS feed

  • Frage

  • Hallo zusammen.

    Ich habe auf einmal folgende Problematik: Wenn von extern die owa bzw. ecp Seite eines Exchanges 2016 aufgrufen werden soll, erscheint auf einmal die Seite beim Edge:

    Keine sichere Verbindung möglich 

    Dies liegt möglicherweise daran, dass die Website veraltete oder unsichere TLS-Sicherheitseinstellungen verwendet. Wenn das Problem wiederholt auftritt, wenden Sie sich an den Besitzer der Website.

    Es hatte aber davor problemlos funktioniert, ein öffentliches SSL Zertifikat ist ebenfalls eingepflegt worden. Woran kann es auf einmal liegen? Ich hoffe, ihr habt eventuell Lösungsvorschläge.

    Danke

    Freundliche Grüße,
    Jens Pietryga

    Dienstag, 2. Oktober 2018 16:12

Antworten

  • Hallo zusammen.

    Nach langem hin und her mit Microsoft und dem Zertifikathersteller habe ich dann die Information bekommen, dass ist an dem IPv6 Protokoll liegt.

    Sobald das aktiv ist und der Rechner (der extern auf OWA zugreifen möchte) darüber auch mit dem Internet kommuniziert ist die Seite nicht aufrufbar. Wenn jedoch gewährleistet ist, dass die Internetverbindung über IPv4 läuft (in meinem Fall testweise IPv6 deaktiviert), kann die OWA/ECP Seite problemlos dargestellt werden.

    Freundliche Grüße,

    Jens

    • Als Antwort markiert ems.IT Montag, 19. November 2018 10:34
    Montag, 19. November 2018 10:34

Alle Antworten

  • Moin,

    wenn er das sagt, dann ist mit dem Zertifikat irgendwas nicht in Ordnung. Lass  Dir das Zertifikat mit einem anderen Browser anzeigen (in Edge geht das nicht), vielleicht fällt ja schon irgendwas auf. Oder Du exportierst es in eine Datei (.cer) und sagst

    certutil -f -urlfetch -verify Zertifikat.cer


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Dienstag, 2. Oktober 2018 20:22
  • Moin, moin.

    Entschuldige bitte die verspätete Antwort, hatte aber ein paar Tage Urlaub. Wenn ich diesen Befehl ausführe, erscheint folgende Meldung:

    C:\Exchange2016>certutil -f -urlfetch -verify Zertifikat.cer
    LoadCert(Cert) hat ASN1 Unerwartetes Datenende. 0x80093102 (ASN: 258 CRYPT_E_ASN1_EOD) zurückgegeben.
    CertUtil: -verify-Befehl ist fehlgeschlagen: 0x80093102 (ASN: 258 CRYPT_E_ASN1_EOD)
    CertUtil: ASN1 Unerwartetes Datenende.

    Beim Zertifikatsnamen habe ich natürlich den richtigen eingetragen.

    Freundliche Grüße,
    Jens Pietrga

    Montag, 15. Oktober 2018 13:48
  • Hallo Jens,

    ausschließlich von extern und ausschließlich vom Edgebrowser?

    Greifst du von intern mit anderem Namen auf den Exchange OWA zu?

    In den Kryptographieeinstellungen des Servers oder Clients wurde aber nicht manipuliert?

    Welchen Stand hat dein Exchange 2016 ?

    Hast du noch etwas vor dem Exchange 2016 Webzugriff was den https Datenverkehr anfasst?

    Kenne zum Beispiel Kunden bei dem ein WAN Optimierer davor Probleme verursachen kann oder sogar das identische Zertifikat benötigt.


    Marcel Brabetz


    Montag, 15. Oktober 2018 14:10
  • Moin,

    beschreibe mal kurz, wie Du zu der untersuchten .cer-Datei kamst und wie Du das Zertifikat importiert hast.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.


    Montag, 15. Oktober 2018 14:28
  • Hallo Marcel,

    es ist auschließlich von extern und betrifft alle Browser.  An den Rechnern, auf denen die Seite schon einmal aufgerufen wurde (vor dem Fehler), tritt dieser Fehler nicht auf, nur an den Rechnern die aktuell die Seite aufrufen möchten (ist mir gerade aufgefallen).

    Wo finde ich denn die Kryptographieeinstellungen? Es wurden jedoch keine Einstellungen verändert. Der Versionsstand lautet: 15.1 ‎(Build 1466.3)‎.

    Es existiert auch nichts, was den Datenverkehr vorher "anfasst".

    Freundliche Grüße,
    Jens Pietryga

    Montag, 15. Oktober 2018 15:08
  • Moin, 

    ich habe im ECP unter den Punkt Server, Zertifikate dieses exportiert. Hier wurde auch die Anforderung für das Zertifikat erstellt und nach Erstellung desselbigen abgeschlossen.

    Hoffe, ich konnte die die benötigten Informationen bereitstellen.

    Freundliche Grüße,
    Jens Pietryga

    Montag, 15. Oktober 2018 15:14
  • Hallo Jens,

    wofür hast du es da exportiert?

    Wenn du es über diese Schnittstelle eingerichtet hast, ist eigentlich alles an seinem Platz.

    Einen Export könntest du erst nach erfolgter Einrichtung vornehmen?


    Marcel Brabetz

    Montag, 15. Oktober 2018 15:28
  • Hallo Marcel.

    Ich hatte es für die Prüfung exportiert, die Evgenij vorgeschlagen hatte. Die Einrichtung ist soweit auch erfolgreich durchgeführt worden.

    Freundliche Grüße,
    Jens Pietryga

    Montag, 15. Oktober 2018 15:41
  • Wenn du es da exportierst, solltest du eigentlich eine PFX Datei haben und keine crt wie Evgenij es vorgeschlagen hat. Ich denke das solltest du einfach aus einem anderen Browser herunterladen und dann damit prüfen.

    Marcel Brabetz

    Montag, 15. Oktober 2018 15:46
  • Okay, danke.

    Freundliche Grüße,
    Jens Pietryga

    Montag, 15. Oktober 2018 15:47
  • Hier die "richtige" Info zum oben genannten certutil Befehl:

        CN=GeoTrust TLS RSA CA G1
        OU=www.digicert.com
        O=DigiCert Inc
        C=US
      Namenshash (sha1): ba14a9ab8164c6afb43c9d29383ae6f9d257abe9
      Namenshash (md5): 05cae2a229c75041852f5564f533400d
    Antragsteller:
        CN=exchange.domain.de
      Namenshash (sha1): bb326f36a06a224868b28abc198db664527676f6
      Namenshash (md5): f2edb1e4b25d25efd29309416676b94b
    Zertifikatseriennummer: 0b7e9f68afe75b419d32feded2c9fece
    dwFlags = CA_VERIFY_FLAGS_ALLOW_UNTRUSTED_ROOT (0x1)
    dwFlags = CA_VERIFY_FLAGS_IGNORE_OFFLINE (0x2)
    dwFlags = CA_VERIFY_FLAGS_FULL_CHAIN_REVOCATION (0x8)
    dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
    dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
    ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN (0x20000000)
    HCCE_LOCAL_MACHINE
    CERT_CHAIN_POLICY_BASE
    -------- CERT_CHAIN_CONTEXT --------
    ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
      Issuer: CN=GeoTrust TLS RSA CA G1, OU=www.digicert.com, O=DigiCert Inc, C=US
      NotBefore: 09.07.2018 02:00
      NotAfter: 08.07.2020 14:00
      Subject: CN=exchange.domain.de
      Serial: 0b7e9f68afe75b419d32feded2c9fece
      SubjectAltName: DNS-Name=exchange.domain.de, DNS-Name=autodiscover.domain.de
      Cert: 3565ae27cd8be6c0ce4aef59051d65a93be23bdf
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Zertifikat abrufen  ----------------
      Überprüft "Zertifikat (0)" Zeit: 0 8b3c5b9b867d4be46d1cb5a01d45d67dc8e94082
        [0.0] http://cacerts.geotrust.com/GeoTrustTLSRSACAG1.crt
      ----------------  Zertifikat abrufen  ----------------
      Überprüft "Basissperrliste (014c)" Zeit: 0 bddbdb175d6063babc300699a270a9f5bf792095
        [0.0] http://cdp.geotrust.com/GeoTrustTLSRSACAG1.crl
      ----------------  Basissperrliste veraltet  ----------------
      Keine URLs "Keine" Zeit: 0 (null)
      ----------------  Zertifikat-OCSP  ----------------
      Überprüft "OCSP" Zeit: 0 0dfea4331bc7fd5ef579d46010cd2a96339511f6
        [0.0] http://status.geotrust.com
      --------------------------------
        CRL (null):
        Issuer: CN=GeoTrust TLS RSA CA G1, OU=www.digicert.com, O=DigiCert Inc, C=US
        ThisUpdate: 15.10.2018 10:28
        NextUpdate: 22.10.2018 09:43
        CRL: c10f7b2b27d37ec30e36bf3edac7840dfa403870
      Issuance[0] = 2.16.840.1.114412.1.2
      Issuance[1] = 2.23.140.1.2.1
      Application[0] = 1.3.6.1.5.5.7.3.1 Serverauthentifizierung
      Application[1] = 1.3.6.1.5.5.7.3.2 Clientauthentifizierung
    CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=0
      Issuer: CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
      NotBefore: 02.11.2017 14:23
      NotAfter: 02.11.2027 14:23
      Subject: CN=GeoTrust TLS RSA CA G1, OU=www.digicert.com, O=DigiCert Inc, C=US
      Serial: 0d07782a133fc6f9a57296e131ffd179
      Cert: 8b3c5b9b867d4be46d1cb5a01d45d67dc8e94082
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Zertifikat abrufen  ----------------
      Keine URLs "Keine" Zeit: 0 (null)
      ----------------  Zertifikat abrufen  ----------------
      Überprüft "Basissperrliste (0154)" Zeit: 0 96a2b5ff14b48a114902f68ab4e88aa1e1e6fd62
        [0.0] http://crl3.digicert.com/DigiCertGlobalRootG2.crl
      ----------------  Basissperrliste veraltet  ----------------
      Keine URLs "Keine" Zeit: 0 (null)
      ----------------  Zertifikat-OCSP  ----------------
      Überprüft "OCSP" Zeit: 0 9dea191e8b0851dbc8d63cee3a434bba14bff7f2
        [0.0] http://ocsp.digicert.com
      --------------------------------
        CRL (null):
        Issuer: CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
        ThisUpdate: 15.10.2018 02:00
        NextUpdate: 22.10.2018 02:00
        CRL: 39da3c375f894413efae08cc6bea1bc6bb889647
      Application[0] = 1.3.6.1.5.5.7.3.1 Serverauthentifizierung
      Application[1] = 1.3.6.1.5.5.7.3.2 Clientauthentifizierung
    CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0
      Issuer: CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
      NotBefore: 01.08.2013 14:00
      NotAfter: 15.01.2038 14:00
      Subject: CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US
      Serial: 033af1e6a711a9a0bb2864b11d09fae5
      Cert: df3c24f9bfd666761b268073fe06d1cc8d4f82a4
      Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
      Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Zertifikat abrufen  ----------------
      Keine URLs "Keine" Zeit: 0 (null)
      ----------------  Zertifikat abrufen  ----------------
      Keine URLs "Keine" Zeit: 0 (null)
      ----------------  Zertifikat-OCSP  ----------------
      Keine URLs "Keine" Zeit: 0 (null)
      --------------------------------
      Application[0] = 1.3.6.1.5.5.7.3.1 Serverauthentifizierung
      Application[1] = 1.3.6.1.5.5.7.3.2 Clientauthentifizierung
      Application[2] = 1.3.6.1.5.5.7.3.4 Sichere E-Mail
      Application[3] = 1.3.6.1.5.5.7.3.3 Codesignatur
      Application[4] = 1.3.6.1.5.5.7.3.8 Zeitstempel
      EV[0] = 2.16.840.1.114412.2.1
    Exclude leaf cert:
      Chain: 5129b3225f9b50ff1cebb973b788ea6ed014301f
    Full chain:
      Chain: b497170ba4d04e4d8eb1f200f7ab01450c224b55
    ------------------------------------
    Verfizierte Ausstellungsrichtlinien:
        2.16.840.1.114412.1.2
        2.23.140.1.2.1
    Verfizierte Anwendungsrichtlinien:
        1.3.6.1.5.5.7.3.1 Serverauthentifizierung
        1.3.6.1.5.5.7.3.2 Clientauthentifizierung
    Das Zertifikat ist ein Endeinheitzertifikat
    Sperrstatussüberprüfung des untergeordneten Zertifikats erfolgreich abgeschlossen.
    CertUtil: -verify-Befehl wurde erfolgreich ausgeführt.

    Freundliche Grüße,
    Jens Pietryga

    Montag, 15. Oktober 2018 15:53
  • Das Zertifikat sieht für mich erst einmal okay aus. So lange du nur die Namen "exchange.domain.tld" und "autodiscover.domain.tld" verwendest.

    Die Verwendungszwecke sehen soweit auch okay aus.

    Eventuell möchtest du deinen (falls direkt erreichbar) Exchange ja einmal über ssllabs.com testen lassen.

    Da bekommst du zumindest einige Auflistungen darüber was dein Exchange Server an Verschlüsselungsparametern alles anbietet.


    Marcel Brabetz

    Montag, 15. Oktober 2018 16:33
  • Guten Morgen.

    Ja, es werden nur die beiden Namen verwendet. Beim Test über ssllabs.com scheint auch alles im grünen Bereich zu sein. 

    Freundliche Grüße,
    Jens Pietryga

    Dienstag, 16. Oktober 2018 05:56
  • Hallo zusammen.

    Nach langem hin und her mit Microsoft und dem Zertifikathersteller habe ich dann die Information bekommen, dass ist an dem IPv6 Protokoll liegt.

    Sobald das aktiv ist und der Rechner (der extern auf OWA zugreifen möchte) darüber auch mit dem Internet kommuniziert ist die Seite nicht aufrufbar. Wenn jedoch gewährleistet ist, dass die Internetverbindung über IPv4 läuft (in meinem Fall testweise IPv6 deaktiviert), kann die OWA/ECP Seite problemlos dargestellt werden.

    Freundliche Grüße,

    Jens

    • Als Antwort markiert ems.IT Montag, 19. November 2018 10:34
    Montag, 19. November 2018 10:34