none
Der Name des Sicherheitszertifkates ist ungültig... RRS feed

  • Frage

  • Hi,

    ich weiss, eine schon öfter gestellte Frage.

    Folgendes Problem: Irgendwann wurde der SBS2011 eingerichtet. Funktioniert alles super. server1.domain.local als interner Domain-Name.

    Heute wurde ein Smartphone hinzugefügt. Ich habe also die Ports vom Router geschalten, nochmal den Wizard (Adresswizard "Internetadresse einrichten") ausgeführt und dyndns-Adresse eingegeben. Smartphone kann auch problemlos zugreifen per ActiveSync.

    Nun kriegt aber jeder Outlook-Client 2010 plötzlich beim Starten die Meldung: Sicherheitshinweis "remote.domain.de Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein."

    Ok, das kann ich nachvollziehen, weil remote.domain.de nun eine dyndns-Adresse ist (name.no-ip.org). Das Zertifikat hat er beim Durchlaufen des Wizards offensichtlich nicht selber geändert. Woher hat er dieses "remote.domain.de" denn, wenn es im Wizard geändert wurde?

    Nun meine Frage: Wie geh ich am besten vor. Muss ich ein neues internes Zertifikat erstellen oder die Lösung anwenden, die ich in der Knowledgebase gefunden habe?! :

    Und auf was stell ich diese "InternalURL" ein? name.dyndns.org?

    "

    1. Starten Sie die Exchange-Verwaltungsshell.
    2. Ändern Sie die URL für die AutoErmittlung im Service Connection Point. Den Service Connection Point ist in der Active Directory-Verzeichnisdienst gespeichert. Um diesen URL zu ändern, geben Sie den folgenden Befehl, und drücken Sie dann die EINGABETASTE:
      Set-ClientAccessServer-Identität <var>CAS_Server_Name</var> - AutodiscoverServiceInternalUri https://<var>e-Mail-Nachrichten</var>.contoso.com/autodiscover/autodiscover.xml
    3. Ändern Sie das InternalUrl -Attribut der EWS. Zu diesem Zweck geben Sie den folgenden Befehl, und drücken Sie dann die EINGABETASTE:
      Correctly-Identität<var>CAS_Server_Name</var>\EWS (Standardwebsite)" - InternalUrl https://<var>e-Mail-Nachrichten</var>.contoso.com/ews/exchange.asmx
    4. Ändern Sie das InternalUrl -Attribut für die Verteilung von webbasierten Offline-Adressbuch. Zu diesem Zweck geben Sie den folgenden Befehl, und drücken Sie dann die EINGABETASTE:
      Set-OwaVirtualDirectory-Identity<var>CAS_Server_name</var>\oab (Standardwebsite)" - InternalUrl https://<var>e-Mail-Nachrichten</var>.contoso.com/oab
    5. Ändern Sie das InternalUrl -Attribut des UM-Webdiensts. Zu diesem Zweck geben Sie den folgenden Befehl, und drücken Sie dann die EINGABETASTE:
      Set-UMVirtualDirectory-Identity<var>CAS_Server_Name</var>\unifiedmessaging (Standardwebsite)" - InternalUrl https://<var>e-Mail-Nachrichten</var>.contoso.com/unifiedmessaging/service.asmx"

    Wie geh ich am einfachsten und schnellsten vor, um die Fehlermeldung verschwinden zu lassen?

    Danke.




    • Bearbeitet Raymond198 Montag, 14. Januar 2013 17:14
    Montag, 14. Januar 2013 15:49

Antworten

  • Hi Raymond198,

    SBS ist immer etwas spezieller, weshalb es auch gut ist im SBS-Forum zu posten:
    http://social.technet.microsoft.com/Forums/de-de/sbsde/threads

    Heute wurde ein Smartphone hinzugefügt. Ich habe also die Ports vom Router geschalten, nochmal den Wizard (Adresswizard "Internetadresse einrichten") ausgeführt und dyndns-Adresse eingegeben. Smartphone kann auch problemlos zugreifen per ActiveSync.

    Hast du ein selbstsigniertes Zertifikat und welchen Namen stehen darin?

    get-exchangecertificate wäre eine Ansatz.

    Nun kriegt aber jeder Outlook-Client 2010 plötzlich beim Starten die Meldung: Sicherheitshinweis "remote.domain.de Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein."

    Da hat sich wohl durch den Wizard überall remote* eingetragen und wenn das nicht im Cert steht, ist es schwierig.

    Ok, das kann ich nachvollziehen, weil remote.domain.de nun eine dyndns-Adresse ist (name.no-ip.org). Das Zertifikat hat er beim Durchlaufen des Wizards offensichtlich nicht selber geändert. Woher hat er dieses "remote.domain.de" denn, wenn es im Wizard geändert wurde?

    Sieht so aus und da könntest du im SBS-Forum sofort eine Rückmeldung erhalten.

    Nun meine Frage: Wie geh ich am besten vor. Muss ich ein neues internes Zertifikat erstellen oder die Lösung anwenden, die ich in der Knowledgebase gefunden habe?! :Und auf was stell ich diese "InternalURL" ein? name.dyndns.org?

    Grundsätzlich der interne Name des Server als FQDN und der sollte im Cert stehen.

    5. Ändern Sie das *InternalUrl* -Attribut des UM-Webdiensts.Zu diesem Zweck geben Sie den folgenden Befehl, und drücken Sie dann die EINGABETASTE:
    *Set-UMVirtualDirectory-Identity<var>CAS_Server_Name</var>\unifiedmessaging (Standardwebsite)" - InternalUrl https://<var>e-Mail-Nachrichten</var>.contoso.com/unifiedmessaging/service.asmx"*

    Genau so kannst du die Namen anpassen. Hier ist noch ein Link, wie du alles auf einen SingleName anpasstSollte auch soweit für SBS gelten, aber der Hinweis, dass da einen menge Wizards gibt, die ich nicht kenne.
    http://cohesivelogic.com/2011/01/exchange-2010-single-name-ssl-certificates/

    Wie geh ich am einfachsten und schnellsten vor, um die Fehlermeldung verschwinden zu lassen?

    Mehr Infos und dann schauen wir...


    Viele Grüße
    Christian

    • Als Antwort vorgeschlagen Alex Pitulice Donnerstag, 17. Januar 2013 10:55
    • Als Antwort markiert Alex Pitulice Dienstag, 29. Januar 2013 09:18
    Dienstag, 15. Januar 2013 07:15
    Moderator
  • Hallo,

    der SBS Wizard erstellt nur bei der Erstkonfiguration ein self signed Cert.

    Das geht z.B. nicht mit Windows Mobile oder Windows Phone (7.x, 8.x)

    Es gibt jetzt diverse Möglichkeiten, dein Problem zu lösen, z.B. ein neues Cert ausstellen und intern ausrollen.

    Wurde eine intere PKI installiert, wenn ja, müsstest du auf http://server1/certsrv zugreifen können.

    Da ich an deiner Frage erkenne, das du keine große Erfahrung mit Exchange hast, ggf. mal einen Consulter hinzuziehen.

    Erstens geht dann alles und 2tens lernst du was.

    ;)


    Gruß Norbert

    • Als Antwort vorgeschlagen Alex Pitulice Donnerstag, 17. Januar 2013 10:55
    • Als Antwort markiert Alex Pitulice Dienstag, 29. Januar 2013 09:18
    Dienstag, 15. Januar 2013 07:20
    Moderator

Alle Antworten

  • Hi Raymond198,

    SBS ist immer etwas spezieller, weshalb es auch gut ist im SBS-Forum zu posten:
    http://social.technet.microsoft.com/Forums/de-de/sbsde/threads

    Heute wurde ein Smartphone hinzugefügt. Ich habe also die Ports vom Router geschalten, nochmal den Wizard (Adresswizard "Internetadresse einrichten") ausgeführt und dyndns-Adresse eingegeben. Smartphone kann auch problemlos zugreifen per ActiveSync.

    Hast du ein selbstsigniertes Zertifikat und welchen Namen stehen darin?

    get-exchangecertificate wäre eine Ansatz.

    Nun kriegt aber jeder Outlook-Client 2010 plötzlich beim Starten die Meldung: Sicherheitshinweis "remote.domain.de Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein."

    Da hat sich wohl durch den Wizard überall remote* eingetragen und wenn das nicht im Cert steht, ist es schwierig.

    Ok, das kann ich nachvollziehen, weil remote.domain.de nun eine dyndns-Adresse ist (name.no-ip.org). Das Zertifikat hat er beim Durchlaufen des Wizards offensichtlich nicht selber geändert. Woher hat er dieses "remote.domain.de" denn, wenn es im Wizard geändert wurde?

    Sieht so aus und da könntest du im SBS-Forum sofort eine Rückmeldung erhalten.

    Nun meine Frage: Wie geh ich am besten vor. Muss ich ein neues internes Zertifikat erstellen oder die Lösung anwenden, die ich in der Knowledgebase gefunden habe?! :Und auf was stell ich diese "InternalURL" ein? name.dyndns.org?

    Grundsätzlich der interne Name des Server als FQDN und der sollte im Cert stehen.

    5. Ändern Sie das *InternalUrl* -Attribut des UM-Webdiensts.Zu diesem Zweck geben Sie den folgenden Befehl, und drücken Sie dann die EINGABETASTE:
    *Set-UMVirtualDirectory-Identity<var>CAS_Server_Name</var>\unifiedmessaging (Standardwebsite)" - InternalUrl https://<var>e-Mail-Nachrichten</var>.contoso.com/unifiedmessaging/service.asmx"*

    Genau so kannst du die Namen anpassen. Hier ist noch ein Link, wie du alles auf einen SingleName anpasstSollte auch soweit für SBS gelten, aber der Hinweis, dass da einen menge Wizards gibt, die ich nicht kenne.
    http://cohesivelogic.com/2011/01/exchange-2010-single-name-ssl-certificates/

    Wie geh ich am einfachsten und schnellsten vor, um die Fehlermeldung verschwinden zu lassen?

    Mehr Infos und dann schauen wir...


    Viele Grüße
    Christian

    • Als Antwort vorgeschlagen Alex Pitulice Donnerstag, 17. Januar 2013 10:55
    • Als Antwort markiert Alex Pitulice Dienstag, 29. Januar 2013 09:18
    Dienstag, 15. Januar 2013 07:15
    Moderator
  • Hallo,

    der SBS Wizard erstellt nur bei der Erstkonfiguration ein self signed Cert.

    Das geht z.B. nicht mit Windows Mobile oder Windows Phone (7.x, 8.x)

    Es gibt jetzt diverse Möglichkeiten, dein Problem zu lösen, z.B. ein neues Cert ausstellen und intern ausrollen.

    Wurde eine intere PKI installiert, wenn ja, müsstest du auf http://server1/certsrv zugreifen können.

    Da ich an deiner Frage erkenne, das du keine große Erfahrung mit Exchange hast, ggf. mal einen Consulter hinzuziehen.

    Erstens geht dann alles und 2tens lernst du was.

    ;)


    Gruß Norbert

    • Als Antwort vorgeschlagen Alex Pitulice Donnerstag, 17. Januar 2013 10:55
    • Als Antwort markiert Alex Pitulice Dienstag, 29. Januar 2013 09:18
    Dienstag, 15. Januar 2013 07:20
    Moderator
  • Hi,

    danke Euch vorerst für Eure Antworten.

    Gruß

    Dienstag, 15. Januar 2013 10:57
  • Donnerstag, 17. Januar 2013 10:55
  • Hallo Raymond,

    Wir gehen davon aus, dass die Antworten Dir weitergeholfen haben.
    Wenn ja, wäre es hilfreich wenn Du diese Lösung bestätigen würdest, sodass andere Leute von derselben Situation profitieren können. Wenn nein, neue Rückfragen oder Ergänzungen zu diesem Thread bleiben weiterhin möglich.

    Danke und viele Grüße,
    Alex


    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Dienstag, 29. Januar 2013 09:18