none
Exchange Server 2013 - Zertifikat gewechselt auf DV Zertifikat - Clients melden Zertifikat fehler RRS feed

  • Frage

  • Hi @all,

    ich habe eine Frage und zwar habe ich einen Kunden, wo ein Exchange Server 2013 installiert ist. Als Client wird Outlook 2010 und Outlook 2013 eingesetzt.

    Am Exchange Server 2013 war damals ein selbst signiertes Zertifikat eingebunden was ich gern wechseln wollte auf ein "echtes" Zertifikat.

    Ich hab mir dann bei Comodo SSL ein Domain Valid Zertifikat mit einer Sub Domäne erstellt subdomäne.Domäne.de. (remote.xxx.xx)

    Dieses Zertifikat hab ich am Exchange Server 2013 eingebunden und die Dienste drauf zugewiesen (Pop, Imap, IIS, Smtp).

    Danach hab ich im IIS Informationsdienst, die Bindung auf der Website Microsoft Back End geändert auf das neue Zertifikat.

    Desweiteren habe ich alle Internal und External Urls umgeschrieben auf die Subdomäne vom Zertifikat:

    get-ClientAccessServer | fl
    get-webservicesvirtualdirectory | fl
    get-oabvirtualdirectory | fl
    get-owavirtualdirectory | fl
    get-ecpvirtualdirectory | fl
    get-ActiveSyncVirtualDirectory| fl
    get-PowerShellVirtualDirectory | fl
    get-OutlookAnywhere | fl *intern*,*extern*,*auth* 
    get-OutlookProvider |  fl *intern*,*extern*

    Dann hab ich im DNS zwei neue Zonen angelegt subdomäne.Domäne.domeinendung und autodiscover.domäne.domainendung.Dort ein A Host erstellt mit der IP Adresse des Exchange Servers.

    Wenn ich dann Outlook 2010 öffne, erscheint die Meldung:

    Fehlercode 10: Zielwebseite "EmailServername.Domäne.local" ist ungültig oder entsprich nicht den Namen.

    Wenn ich Outlook 2013 starte, erscheint die Meldung:

    Sicherheitshinweis: Der Name stimmt nicht überein "autodiscover.Domäne.domainendung"

    Wenn ich nun beim Outlook 2010 ein neues eMail Profil erstelle, dannn hab ich ruhe und es kommt keine Fehlermeldung (ich möchte nicht bei mehr als zehn Outlook2010 Stationen ein neues Profil erstellen).

    Wenn ich nun beim Outlook 2013 ein neues eMail Profil erstelle, erscheint weiterhin der Sicherheitshinweis, dass der Name "autodiscover.Domäne.domainendung" falsch ist.

    Ich hab bisher fünf Exchange 2010 Server umgestellt auf ein "echtes" Zertifikat, doch beim Exchange 2013 beiße ich mir gerade die Zähne aus.

    Das Log bezgl. des Autokonfigurationstests schaut auch sauber aus:

    Was fehlt mir ?

    Vielen Dank

    Mfg é Ciao

    Christian Giuranna




    • Bearbeitet Kucuk Montag, 20. Februar 2017 09:02
    Montag, 20. Februar 2017 08:29

Antworten

  • Moin,

    SRV ist eine Möglichkeit, allerdings funktioniert das nicht mit jedem mobilen Client. Du musst das ausprobieren und erlebst eventuell mobile Clients, die den SRV ignorieren.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Montag, 20. Februar 2017 16:53

Alle Antworten

  • Hallo,

    dir fehlt autodiscover.domain.tld im Zertifikat.

    Selbst wenn du die URLs in allen Virtuellen Webverzeichnissen änderst, sucht Outlook bei der Exchange-Erkennung standardmäßig auch nach autodiscover.domain.tld.

    Link: Technet

    Darum soll man ja auch SAN/UC-SSL-Zertifikate kaufen in denen autodiscover.domain.tld und z.B. remote.domain.tld drin steht.

    Mit einem einfachen Zertifikat ließe sich das nur umsetzen, wenn du alles auf autodiscover.domain.tld änderst.

    Grüße Steve

    Montag, 20. Februar 2017 09:03
  • HI,

    danke für die Rückmeldung. Ich habe folgenden Tipp bekommen:

    STV Record anlegen. Einmal beim Provider und einmal im DNS, so kann ich weiterhin dieses Zertifikat verwenden und bräuchte kein San Zertifikat.

    Das wollte ich morgen beim Kunden ausprobieren.

    Bezgl. der Zertifiaktsmeldung beim Outlook 2010 habe ich zwei Möglichkeiten bekommen:

    1. Wie erwähnt, Profil neu erstellen

    2. Unter Konto das vorhandene Profil reparieren. Dann sollte hier die Meldung auch weg sein.

    Montag, 20. Februar 2017 12:11
  • Moin,

    SRV ist eine Möglichkeit, allerdings funktioniert das nicht mit jedem mobilen Client. Du musst das ausprobieren und erlebst eventuell mobile Clients, die den SRV ignorieren.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Montag, 20. Februar 2017 16:53
  • Ergänzend zu Robert:

    ich hoffe das du nicht wirklich das Backend-Zertifikat vom Server geändert hast.

    ;)


    Gruß Norbert

    Dienstag, 21. Februar 2017 07:17
    Moderator