none
Outlook bekommt falsches Exchange-Zertifikat übergeben RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Zusammen,wir haben hier gerade ein seltsames Phänomen. Wir haben einen neuen Exchange aufgesetzt, der momentan parallel zum bisherigen läuft. Postfächer sind alle im neuen Exchange (mail2). Autodiscover verweist allerdings noch über den alten Exchange (mail1), da wir bisher keine Möglichkeit gefunden haben, sämtlichen Outlook-Clients automatisch den Pfad zum neuen CAS mitzuteilen - das ist allerdings ein anderes Problem. D.h., momentan verbinden sich sämtliche Clients mit mail1, der die Anfragen zu den Postfächern auf mail2 witerleitet.

    Problem: Seit dem Wechsel der Postfächer bekommen einigen Clients (Outlook 2010) eine Zertifikatswarnung mit dem Hinweis, dass der DNS nicht stimmt. Auf beiden Mail-Servern ist unser Wildcard-Zertifikat (*.firma.com) für IIS, SMTP und OWA eingebunden. Die Problem-Clients erhalten allerdings das Zertifikat unserer Website (www.firma.com), welches aus internen Gründen ein separates Zertifikat ist. Wir verzweifeln gerade echt daran, wo Outlook dieses Zertifikat herbekommt, da es definitiv auf keinem der Mail-Server eingebunden ist. Dort befindet sich ausschließlich das Wildcard-Zertifikat. Über OWA bekommen wir auch das richtige Zertifikat mit, nur über die Clients nicht. Sowohl im IIS, als auch in der Exchange-Verwaltungskonsole sehen wir nur das Wildcard und das von Exchange selbsterstellte Zertifikat.

    Jemand eine Idee, an welcher Stelle ich noch suchen kann?

    Dienstag, 29. April 2014 08:04
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Ok,

    die verschiedenen URLs (EWS, OAB) müssen auf ALLEN Server korrekt sein. Falls Du auf dem neuen Server die URLs nicht angepasst hast, bekommt der Client die standardmäßigen auch präsentiert und probiert die auch.

    Das Problem hier bei ist, dass die Autodiscover-Funktion die URLs "zufällig" aussucht. Der Client bekommt also beim ersten Mal OAB->Server 1, EWS->Server 1. Beim zweiten Mall kann das dann so aussehen: OAB->Server 2, EWS->Server 2. Auch Mischungen sind möglich, also beim dritten Mal OAB->Server 1, EWS->Server 2. Da das mehr oder weniger zufällig passiert, sieht es von der Client-seitige her sehr merkwürdig und scheinbar ohne Regel.

    Daher ist es sehr wichtig, dass unmittelbar nach der Installation von CAS-Rollen, die Zertifikate und die URLs korrekt eingestellt werden.

    Korrekt kann sein, je nach Umgebung:

     - alles auf einen allgemeinen Namen wegen Load Balancer

     - alles auf den Namen von Server 1

     - URLs so lassen, aber die Zertifikate korrekt anpassen

    Wenn das daran liegt, ist es im Endeffekt vollkommen egal, wann Du das änderst. Falsch ist es schon und es kann durch die Korrektur nicht schlimmer werden, nur besser. Gibt also bei den Einstellungen keinen Grund, dass bis auf's Wochenende zu verschieben (was meistens eh schlecht ist, weil dann niemand da ist, der testen oder helfen kann).

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert LNAG Mittwoch, 30. April 2014 13:14
    Mittwoch, 30. April 2014 08:37
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    ich würde mal ganz spontan auf die lokalen Proxy-Einstellungen tippen, in denen Exchange-Server nicht als Ausnahmen stehen.

    Alternativ könnte das aus ein DNS-Problem (Round Robin) sein.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Dienstag, 29. April 2014 09:55
    |
  • Question
    Anmelden
    0
    Anmelden

    Hey Robert,

    danke für deine schnelle Antwort. Lokale Proxys sind im LAN deaktiviert und auch das DNS-Problem Round-Robin können wir ausschließen. Seltsam ist auch, dass wir dieses Problem nur bei einigen Clients und auch nur sporadisch, also nicht bei jedem Start von Outlook haben.

    Gruss aus Berlin zurück!

    Dienstag, 29. April 2014 10:18
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    über welche Exchange-Version reden wir? Sind das AD-Clients oder Nicht-AD-Clients mit dem Fehler? Stimmen alle URLs, die per Autodiscover an den Client übermittelt werden? Habt ihr die auf beiden Servern identisch konfiguriert?

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Dienstag, 29. April 2014 10:42
    |
  • Question
    Anmelden
    0
    Anmelden

    Morgen, Exchange2010 und alles AD-Clients. Autodiscover zeigt auf unseren alten mail1-Server. Ich habe jetzt noch 1-2 Ansätze gefunden, die ich allerdings ungern im laufenden Betrieb ausprobiere. Spätestens am Wochenende werde ich das mal testen. Über weitere Ideen wäre ich natürlich trotzdem froh..

    LG,

    Mittwoch, 30. April 2014 08:22
    |
  • Question
    Anmelden
    0
    Anmelden

    Ok,

    die verschiedenen URLs (EWS, OAB) müssen auf ALLEN Server korrekt sein. Falls Du auf dem neuen Server die URLs nicht angepasst hast, bekommt der Client die standardmäßigen auch präsentiert und probiert die auch.

    Das Problem hier bei ist, dass die Autodiscover-Funktion die URLs "zufällig" aussucht. Der Client bekommt also beim ersten Mal OAB->Server 1, EWS->Server 1. Beim zweiten Mall kann das dann so aussehen: OAB->Server 2, EWS->Server 2. Auch Mischungen sind möglich, also beim dritten Mal OAB->Server 1, EWS->Server 2. Da das mehr oder weniger zufällig passiert, sieht es von der Client-seitige her sehr merkwürdig und scheinbar ohne Regel.

    Daher ist es sehr wichtig, dass unmittelbar nach der Installation von CAS-Rollen, die Zertifikate und die URLs korrekt eingestellt werden.

    Korrekt kann sein, je nach Umgebung:

     - alles auf einen allgemeinen Namen wegen Load Balancer

     - alles auf den Namen von Server 1

     - URLs so lassen, aber die Zertifikate korrekt anpassen

    Wenn das daran liegt, ist es im Endeffekt vollkommen egal, wann Du das änderst. Falsch ist es schon und es kann durch die Korrektur nicht schlimmer werden, nur besser. Gibt also bei den Einstellungen keinen Grund, dass bis auf's Wochenende zu verschieben (was meistens eh schlecht ist, weil dann niemand da ist, der testen oder helfen kann).

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert LNAG Mittwoch, 30. April 2014 13:14
    Mittwoch, 30. April 2014 08:37
    |
  • Question
    Anmelden
    0
    Anmelden
    Hey Robert, VIELEN DANK für deine Mühen. Das Problem war die EWS Adresse, die falsch konfiguriert war. Habe ich eben angepasst, jetzt funktionierts.
    Mittwoch, 30. April 2014 13:15
    |