none
Exchange 2007 Zertifikatsfehlermeldung RRS feed

  • Frage

  • Liebe Forenleser

    Ich habe einen SBS-Server 2008 mit Exchange 2007 drauf.

    Ich habe folgendes Problem:

    In Outlook erscheint diese lästige Sicherheitsmeldung dass das Zertifikat nicht auf den richtigen Namen ausgestellt ist.

    Zuerst war das Sites-Zertifikat abgelaufen, worauf ich es erneuert und installiert habe. Die DNS-Namen sind korrekt eingetragen auf dem Zertifikat und auch im IIS ist das Zertifikat richtig hinterlegt. Das Problem ist es erscheint in Outlook ein Drittanbieter Zertifkat des Mailhosters. Deshalb stimmt auch der Name nicht überein...Ich habe schon versucht das Drittanbieterzertifikat zu löschen (inkl. CA) worauf es einfach wieder erschien nach einer Weile...

    Wie bringe ich nun meinem Server bei dass er nur mein "Sites" Zertifikat für Outlook verwenden soll und dieses Drittanbieterzertifikat "ignorieren" soll..??

    Vielen Dank für Ihre Antworten

    Liebe Grüsse Joël

    Dienstag, 27. November 2012 10:09

Alle Antworten

  • Moin,

    das kling eher nach einem Outlook-Problem. Wenn Du OWA aufrufst, kommt dann das richtige Zertifikat?

    Spontan würde ich mal tippen, dass Outlook die Autodiscover-URL mit einer falschen IP auflöst. Oder die Autodiscover-URL ist falsch in Exchange eingestellt.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Dienstag, 27. November 2012 10:40
  • Ahoi

    Ja wenn ich von aussen das OWA aufrufe kommt das Sites Zertifikat und nicht das Drittanbieterzertifikat.

    Wo finde ich die Autodiscover Optionen in Exchange?

    Danke für deine Antwort

    Gruss

    Dienstag, 27. November 2012 10:47
  • Moin,

    die URL findest Du hiermit heraus:
    Get-ClientAccessServer | fl Name,AutodiscoverServiceInternalUri

    Ändern dann mit Set-ClientAccessServer SERVERNAME -AutodiscoverServiceInternalUri URL


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Dienstag, 27. November 2012 12:23
  • Ahoi

    Vielen Dank für die Infos.

    Die Autodiscover Adresse stimmt für mich (https://remote.firma.ch/autodiscover/autodiscover.xml)

    Was könnte sonst noch falsch sein?

    Gruss

    Dienstag, 27. November 2012 15:41
  • Hallo,

    ist das ein selbst ausgestelltes Zertifikat oder von extern, z.B.Digicert ausgestellt?

    Wenn selbstsigniert, ist das neue Cert an den Clients ausgerollt worden?

    ;)


    Gruß Norbert

    Dienstag, 27. November 2012 17:06
    Moderator
  • Moin,

    Die Autodiscover Adresse stimmt für mich (https://remote.firma.ch/autodiscover/autodiscover.xml)

    und wenn Du INTERN diese URL aufrufst, landest Du auch wirklich bei Deinem Exchange? Und nicht beim Proxy, Provider oder sonst irgendwo extern.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Dienstag, 27. November 2012 17:27
  • Ahoi

    Wenn ich Intern auf die Autodiscover Adresse (https://remote.firma.ch/autodiscover/autodiscover.xml) browse kommt folgender Code heraus:

    <?xml version="1.0" encoding="utf-8" ?>
    - <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006">
    - <Response>
    - <Error Time="09:16:32.0506675" Id="1729211704">
    <ErrorCode>600</ErrorCode>
    <Message>Ungültige Anforderung.</Message>
    <DebugData />
    </Error>
    </Response>

    </Autodiscover>

    Oben im Internet Explorer wird auch mein Sites Zertifikat angezeigt.

    Wenn ich die Autodiscover Adresse ohne "remote" am Anfang (https://firma.ch/autodiscover/autodiscover.xml) eingebe, kommt ein Loginfenster.

    Was bedeutet das nun :S ??

    Danke für deine Antwort.

    Gruss Joël

    Mittwoch, 28. November 2012 08:32
  • Hi

    Das Zertifikat dass mich stört ist eines von  GeoTrust "Equifax Secure Certificate Authority".

    Das Sites Zertifikat dass verwendet werden soll ist ein selbst ausgestelltes.

    Das Sites Zertifikat wurde schon auf den Outlookclients installiert.

    Gruss

    Mittwoch, 28. November 2012 08:37
  • Hi joel89,

    alles etwas komisch, egal ob von intern oder extern, es sollte immer das gleiche cert angezeigt werden. Outlook läuft nach der Bestätigung? Dann solltest du ja beim richtigen Server sein. Es ist wirklich kein Proxy aktiv - OWA stimmt ja, dann muss Outlook auch passen.

    Welche Clientversion nutzt du und kannst du die genaue Meldung posten?


    Viele Grüße
    Christian

    Donnerstag, 29. November 2012 21:30
    Moderator
  • Hi

    Ja Outlook läuft nach der Bestätigung. Jedoch ist die Meldung sehr mühsam da sie 3mal bestätigt werden muss.. Nein es ist kein Proxy aktiv. Wenn ich über OWA gehe kommt mein eigenes Zertifikat im Browser. Ein selbst erstelltes "Sites" mit allen richtigen DNS-Namen..... Wenn ich Outlook im internen Netz öffne erscheint die untenstehende Meldung mit eben diesem Drittanbieterzertifikat.

    Clientversion ist Outlook 2010...

    Danke für deine Antwort

    Gruss Joël


    • Bearbeitet joel89 Montag, 3. Dezember 2012 08:13
    Montag, 3. Dezember 2012 08:07
  • Moin,

    Das Sites Zertifikat dass verwendet werden soll ist ein selbst ausgestelltes.

    Das Sites Zertifikat wurde schon auf den Outlookclients installiert.

    ein inter signierted oder ein self-signed?

    Self-Signed Zertifikate sind nicht supported und Du wirst feststellen, dass die je nach Windows Version und manchmal sogar Service Packe mal funktionieren und mal nicht.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Montag, 3. Dezember 2012 08:11
  • Ahoi.

    Das Zertifikat ist selbst signiert.

    Diese Aussage kann ich leider nicht nachvollziehen, da ich mind. 3 gleiche Server habe die alle die gleiche Windows Version, gleiche SP's und gleiche Clientversionen haben und bei denen meine selbst erstellten Zertifkate wunderbar funktionieren...

    Das einzige was mir noch einfällt was bei diesem Server anders ist, ist dass der Assistent (SBS-Konsole) "Internetadresse einrichten" vor langer Zeit mal ausgeführt wurde.

    Ich sehe jedoch keinen Zusammenhang dabei.

    Das Problem ist ja dass diesem Drittanbieterzertifikat in den Vordergrund springt...

    Gruss Joël

    Montag, 3. Dezember 2012 08:25
  • Moin,

    Diese Aussage kann ich leider nicht nachvollziehen, da ich mind. 3 gleiche Server habe die alle die gleiche Windows Version, gleiche SP's und gleiche Clientversionen haben und bei denen meine selbst erstellten Zertifkate wunderbar funktionieren...

    für die Prüfung der Zertifikate ist Windows auf dem Client zuständig. Verschiedene Windows Versionen verhalten sich unterschiedlich. Bei Vista gabe es sogar Unterscheide zwischen RTM und SP 1 (bei RTM gingen sie nicht, bei SP 1 gingen sie).

    Wie auch immer: Self-Signed ist teilweise nicht supported. Da MSFT das weiß, können Sie mit jedem Update plötzlich und ohne Begründung nicht mehr funktionieren. Das musst Du wissen, wenn Du Dich auf einen unsupporteden Zustand einlässt.

    Das Problem ist ja dass diesem Drittanbieterzertifikat in den Vordergrund springt...

    Das "springt" nicht in Vordergrund. Der Client ruft eine falsche Adresse (oder falsche IP) auf. Das können wir hier aus der Ferne aber nicht wirklich checken.

     - Namen prüfen
     - DNS prüfen
     - Proxy-Ausnahmen für Exchange einstellen
     - Bindungen im IIS prüfen


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Montag, 3. Dezember 2012 09:03
  • Hi

    Ich habe nun noch festgestellt dass im DNS-Server eine zusätzliche Forward-Lookup Zone mit dem Namen remote.meinefirma.ch eingetragen ist. Jedoch ist in dieser Zone nichts definiert. (Ich nehme schwer an dass diese Zone damals mit eben diesem Assistenten erstellt wurde).

    Des weiteren sehe ich im IIS-Manager bei "SBS-Web Applications" folgende Bindungen:

    Bei https ist mein Sites Zertifikat hinterlegt. Auch hier wieder der Eintrag remote.meinefirma.ch von diesem Assistenten.

    Zusätzlich sehe ich noch dass die Website "Default Web Site" nicht gestartet werden kann weil ein Port (443 oder 80) zweimal verwendet wird:-->

    Wie sollte die korrekte Konfiguration sein?

    Muss ich die Ports bei Defualt Web Site oder bei Web Apps hinterlegen?

    Vielen Dank für deine Hilfe.

    Gruss Joël

    Montag, 3. Dezember 2012 09:27
  • Moin,

    Des weiteren sehe ich im IIS-Manager bei "SBS-Web Applications" folgende Bindungen:<http://social.technet.microsoft.com/Forums/getfile/202663>

    ok, das ist vermutlich "schief".

    Wie sollte die korrekte Konfiguration sein?

    Ich habe leider keinen SBS im Einsatz und kann daher an dieser Stelle nichts weiter sagen. :(


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Montag, 3. Dezember 2012 09:32
  • Hi

    Ok. Vielen Dank für deine Antwort.


     - Namen prüfen

     - DNS prüfen
     - Proxy-Ausnahmen für Exchange einstellen
     - Bindungen im IIS prüfen

    Ich habe nun den DNS überprüft und die Bindungen sollten nun auch i.O. sein.

    Was meinst du mit Namen prüfen?

    Und was ist genau gemeint mit proxy Ausnahmen für Exchange?

    Danke für deine Antwort.

    Gruss Joël


    Montag, 3. Dezember 2012 10:47
  • Moin,

    Was meinst du mit Namen prüfen?

    stimmen die URLs, die Autodiscover übertrage (und die Autodiscover-URL selbst).

    Und was ist genau gemeint mit proxy Ausnahmen für Exchange?

    Wenn Du einen Proxy benutzt, muss der Exchange-Server bei den Clients als Ausnahme konfiguriert sein.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Montag, 3. Dezember 2012 12:03
  • Hi

    Die URL's die Autodiscover übertragen.. :S kannst du mir sagen wo ich das sehe und wie es aussehen sollte?

    Die Autodiscover selbst ist korrekt eingetragen..

    Der mit dem Proxy ist nicht der Fall weil wir nie einen eingesetzt haben und auch keiner vorhanden ist.

    Danke und Gruss

    Montag, 3. Dezember 2012 12:15
  • >Die URL's die Autodiscover übertragen.. :S kannst du mir sagen wo ich das sehe und wie es aussehen sollte?

    Wie die aussehen sollen, kann ich Dir nicht sagen, da ich Deine Umgebung nicht kenn.

    Aber finden kannst Du die mit "E-Mail-Autokonfiguration testen..." in Outlook.

    Siehe hier (Abschnitt "Autodiscover "testen" " weiter untern):
    http://www.msxfaq.net/e2007/autodiscover.htm


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Montag, 3. Dezember 2012 12:50
  • Hi

    Ok. Danke für die Antwort.

    Also wenn ich nun auf dem Client die E-Mail Konfiguration teste kommt sobald ich auf "Test" klicke wieder meine Zertifikatsmeldung mit dem falschen Zertifikat.

    Ich habe jetzt nur AutoErmittlung testen lassen und die Meldung ist. "Ihre Einstellungen konnten nicht von der automatischen Konfiguration bestimmt werden."

    Also ist Autodiscover doch falsche konfiguriert nehme ich mal an?

    Gruss und Danke

    Montag, 3. Dezember 2012 13:37
  • >Also ist Autodiscover doch falsche konfiguriert nehme ich mal an?

    Ja, sieht so aus.

    Ist das ein Domänen-Client?


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Montag, 3. Dezember 2012 15:02
  • Hi

    Ok.

    Der Client ist ein virtueller Terminalserver ( Windows Server Standard).

    Der Termianlserver ist in der Domäne.

    Gruss

    Montag, 3. Dezember 2012 15:16