none
Fehlermeldung Zertifikat aus falschem Standort RRS feed

  • Frage

  • Ich habe das Problem, dass hin und wieder ein Zertifikatsfehler nach dem Start von Outlook hochkommt, welches zu einem Exchange in einem anderen Standort gehört.
    Zur Systemumgebung:
    Eine Root-Domäne Root.loc und darunter drei weitere Domänen DOM1.root.loc, DOM2.root.loc und DOM3.root.loc
    In jeder Domäne existiert ein bzw. zwei Exchange-Server mit allen drei Rollen (MBX, HUB, CAS). Seit beinahe zwei Jahren alles OK. Nun bekommen die Mitarbeiter in DOM1 immer mal wieder ein Zertifikatsfehler. Das Zertifikat gehört zum Exchange der Domäne DOM2.

    Wieso greifen plötzlich die Clients auf diesen Server zu und das auch nur sporadisch? Da gibt es doch eigentlich keinen Grund für.
    Da ich mich mit der Zertifikatsthematik noch nicht so richtig auskenne, wäre ich über Lösungsansätze dankbar.

    Danke
    Manfred

    Mittwoch, 4. Februar 2015 15:53

Antworten

  • Moin,

    grundsätzlich sollten die Self-Signed weg und gegen intern oder extern signierte Zertifikate ausgetauscht werden. Bei intern signierten wird dann die Root-CA per GPO verteilt.

    Ob und warum Exchange einen anderen Standort an den Client ausliefert kann vielfältige Gründe haben. Zum einen müssen die Exchange-Einstellungen passen. Zum anderen sind es aber auch Client-Einstellungen, IP-Adresse und AD-Site-Einstellungen wichtig.

    Beispiel: Die Netzwerker haben sich entschieden, andere IP-Adressbereiche per DHCP auszuliefern. Sie haben das aber nicht den AD-Leuten mitgeteilt, damit die IP-Adressen der korrekten Site zuordnen. Und schon liefert Exchange falsche CAS-Server via Autodiscover an die Clients mit den neuen IP-Adressen und kein Exchange-Admin kann sich das erklären.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert Klaus Manfred Donnerstag, 5. Februar 2015 09:07
    Donnerstag, 5. Februar 2015 08:55

Alle Antworten

  • Moin,

    wenn wir davon ausgehen, dass bei korrekten Zertifikaten und mit korrekt konfigurierten URLs niemals eine Fehlermeldung auftaucht, auch nicht, wenn das Ding von einem anderen Standort kommt, wäre die erste Frage:

    Welche Fehlermeldung gibt es denn genau? Ist das Zertifikat eventuell abgelaufen und niemand hat es gemerkt?


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Mittwoch, 4. Februar 2015 19:01
  • Hi,

    Jeder Standort hat offizielle Zertifikate. Jedoch sind in diesem speziellen Fall noch zwei weiter self signed Zertifikate. Eines davon ist abgelaufen und das wurde vom Administrator vor Ort entfernt. Aber warum nun dieses Verhalten, warum jetzt erst? Ich habe schon darüber nachgedacht, ob ich nicht auch noch das andere self signed Zertifikat lösche.
    Diese Zertifikat ist am Standort selbst noch in Benutzung und auch auf den Clients installiert. Aber nur auf den Clients am Standort selbst. 

    Hilft hier nur der Austausch des Zertifikats gegen ein offizielles?

    Manfred 

    Mittwoch, 4. Februar 2015 21:20
  • Moin,

    grundsätzlich sollten die Self-Signed weg und gegen intern oder extern signierte Zertifikate ausgetauscht werden. Bei intern signierten wird dann die Root-CA per GPO verteilt.

    Ob und warum Exchange einen anderen Standort an den Client ausliefert kann vielfältige Gründe haben. Zum einen müssen die Exchange-Einstellungen passen. Zum anderen sind es aber auch Client-Einstellungen, IP-Adresse und AD-Site-Einstellungen wichtig.

    Beispiel: Die Netzwerker haben sich entschieden, andere IP-Adressbereiche per DHCP auszuliefern. Sie haben das aber nicht den AD-Leuten mitgeteilt, damit die IP-Adressen der korrekten Site zuordnen. Und schon liefert Exchange falsche CAS-Server via Autodiscover an die Clients mit den neuen IP-Adressen und kein Exchange-Admin kann sich das erklären.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert Klaus Manfred Donnerstag, 5. Februar 2015 09:07
    Donnerstag, 5. Februar 2015 08:55
  • Moin moin,

    ein Fehler in der Standortkonfiguration (IP Kreise) kann ich ausschließen. Das hab ich schon kontrolliert. Dann warte ich, bis das extern signierte Zertifikat da ist und entferne die self signed Zertifikate.

    Danke für die schnelle Antwort.
    Manfred

    Donnerstag, 5. Februar 2015 09:07
  • Das mit der IP-Adresse war nur exemplarisch gemeint, da oftmals nicht klar ist, wie abhängig Exchange von anderen Dingen ist.

    Das mit den Zertifikaten behebt am Ende aber nur das Symptom (Fehlermeldung beim Client), nicht unbedingt aber das Problem.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Donnerstag, 5. Februar 2015 09:18