none
Zertifikat für externen FQDN und Outlook im LAN RRS feed

  • Frage

  • Hallo,

    wir setzen Exchange 2010 mit Outlook 2010 ein. OWA und Activesync sind über das Internet erreichbar ('subdomain.extern.de'). Outlook im LAN verbindet sich über den Servernamen 'mailserver.intern' (single label domain) mit dem Exchange Server.

    Bisher wurde ein selbst signiertes Zertifikat eingesetzt (im LAN via GPO verteilt). Bei Zugriff auf die externe URL kam jedoch die Meldung, daß es sich um ein nicht vertrauenswürdiges Zertifikat handelt.

    Jetzt soll auf ein Class 1 Startcom-Zertifikat gewechselt werden. Das Importieren des Zertifikates im Exchange hat funktioniert.

    Ich habe dem Zertifikat den Dienst 'IIS' zugewiesen. Ein Aufruf von OWA über das Internet war erfolgreich, das neue Zertifikat wird als gültig und vertrauenswürdig eingestuft.

    Im LAN kommt bei den Outlook-Clients jedoch die Fehlermeldung, daß der FQDN im Zertifikat 'subdomain.extern.de' nicht zum Servernamen 'mailserver.intern' paßt (domain mismatch).

    Folgende Schritte habe ich bisher (erfolglos) durchgeführt;

    • DNS-Eintrag inkl. PTR für 'subdomain.extern.de', so daß Clients aus dem LAN die Adresse auf den Mailserver auflösen
    • Änderungen der URLs entsprechend KB940726, sowie anpassen der URLs für OWA, ActiveSync, ECP
    • ==> Serverneustart

    Anschließend habe ich auf dem Client ein neues Outlook-Profil angelegt. Dort wird jedoch immer wieder der LAN-interne Servername für den Exchange-Server eingetragen.

    Was muß noch getan werden, damit die Clients im LAN den Exchange-Server über seinen externen FQDN ansprechen?

    Donnerstag, 11. Juni 2015 13:47

Antworten

  • Das im Profil der normale "interne Name" steht ist soweit ok, solange du kein CAS Array angelegt hast. Wenn du sicher bist alle URLS geändert zu haben, hilft wahrscheinlich nur mal Fiddler mitlaufen zu lassen um zu schauen wo noch der normale Name auftaucht
    • Als Antwort markiert A. Weidner Freitag, 12. Juni 2015 12:06
    Donnerstag, 11. Juni 2015 18:15
  • ... hilft wahrscheinlich nur mal Fiddler mitlaufen zu lassen um zu schauen wo noch der normale Name auftaucht

    Das hat geholfen. Die Änderungen und Einstellungen waren zwar korrekt, aber Outlook hat versucht, die externe URL über den Proxyserver zu erreichen und ist an der Authentifizierung des Proxyservers gescheitert. Ich habe eine GPO erstellt, bei der der Zugriff auf die externe FQDN des Mailservers den Proxyserver umgeht.

    Danke und schönes Wochenende

    • Als Antwort markiert A. Weidner Freitag, 12. Juni 2015 12:06
    Freitag, 12. Juni 2015 12:06

Alle Antworten

  • Wie kommt denn die Verbindung zustande, über Outlookanywhere oder normal über Mapi. Falls Outlook Anywhere, dann auch da die URL geändert? Hast du auch die die Autodiscover URL angepaßt? 

    Grüße

    Jörg

    Donnerstag, 11. Juni 2015 14:02
  • Moin,

    auch hier heißt das Zauberwort wie immer Split-DNS.

    Dann werden alle internen URL auf die extern URL umgestellt und fertig.

    Schon passt das externe Certifikat zum internen Server.

    ;)


    Gruß Norbert

    Donnerstag, 11. Juni 2015 14:07
    Moderator
  • Wie kommt denn die Verbindung zustande, über Outlookanywhere oder normal über Mapi. Falls Outlook Anywhere, dann auch da die URL geändert? Hast du auch die die Autodiscover URL angepaßt? 

    Grüße

    Jörg


    Outlook greift über MAPI auf Exchange zu. Die Autodiscover-URL wurde nach der Anleitung aus KB940726 angepaßt.
    Donnerstag, 11. Juni 2015 14:24
  • Moin,

    auch hier heißt das Zauberwort wie immer Split-DNS.

    Dann werden alle internen URL auf die extern URL umgestellt und fertig.

    Schon passt das externe Certifikat zum internen Server.

    ;)


    Gruß Norbert


    Wenn ich Split-DNS richtig verstanden habe, lege ich im DNS eine neue Zone an, die den externen Namen intern auflöst. Das habe ich bereits gemacht, die Clients im LAN können den externen FQDN abfragen und bekommen die interne IP-Adresse des Mailservers als Antwort. Oder fehlt da noch etwas?

    • Bearbeitet A. Weidner Donnerstag, 11. Juni 2015 14:30
    Donnerstag, 11. Juni 2015 14:30
  • Das im Profil der normale "interne Name" steht ist soweit ok, solange du kein CAS Array angelegt hast. Wenn du sicher bist alle URLS geändert zu haben, hilft wahrscheinlich nur mal Fiddler mitlaufen zu lassen um zu schauen wo noch der normale Name auftaucht
    • Als Antwort markiert A. Weidner Freitag, 12. Juni 2015 12:06
    Donnerstag, 11. Juni 2015 18:15
  • Moin,

    und wie immer bei Exchange - Geduld.

    Manche Änderungen dauern, bis die beim Client ankommen.

    ;)


    Gruß Norbert

    Donnerstag, 11. Juni 2015 20:49
    Moderator
  • ... hilft wahrscheinlich nur mal Fiddler mitlaufen zu lassen um zu schauen wo noch der normale Name auftaucht

    Das hat geholfen. Die Änderungen und Einstellungen waren zwar korrekt, aber Outlook hat versucht, die externe URL über den Proxyserver zu erreichen und ist an der Authentifizierung des Proxyservers gescheitert. Ich habe eine GPO erstellt, bei der der Zugriff auf die externe FQDN des Mailservers den Proxyserver umgeht.

    Danke und schönes Wochenende

    • Als Antwort markiert A. Weidner Freitag, 12. Juni 2015 12:06
    Freitag, 12. Juni 2015 12:06