none
SBS 2008 SSL Zertifikat Problem RRS feed

  • Frage

  • Ich habe auf meinem SBS Server mit Hilfe der Wizards eine Domäne und ein passendes Zertifikat für den Remote Webarbeitsplatz erstellt

    Format : remote.firma.dyndns.org

    Im Dyndns Account den Alias * aktiviert . Der Zugriff über den Remote Arbeitsplatz mittels : https://remote.firma.dyndns.org  geht auch einwandfrei .

    Jetzt habe ich aber das Problem das wenn ich auf dem SBS Server Outlook starte eine Fehlermeldung mit ungültigen Zertifikaten kommt

    mit dem Verweis auf mein selbst erstelltes Dyndns Zertifikat ...

    Kann man den IIS so konfigurieren dass er nur für das TSWEB und das OWA dieses dyndns Zertifikat benutzt und für die internen anfragen wieder

    das standardmäßige Sites Serverzertifikat des SBS Servers ?

    Oder setzt man irgendwo im internen DNS Server einen Alias so das diese remote.firma.dyndns.org auch auf den eigenen Server zeigt ?

    Soweit ich das sehen kann ersetzt der Wizard auf dem IIS mit der SSL Bindung alle Einträge mit diesem remote.firma.dyndns.org zertifikat und

    das führt bei internen Anfragen vom Outlook zu problemen .

    Christian

     

     

    Samstag, 19. Februar 2011 16:36

Antworten

  • Hi Christian,
     
    [..]
    >> ja, aber dazu müsste man direkt auf dem Server nach dem Rechten schauen
    >> und dafür eine Bearbeitungsgebühr verlangen
    >
    > wenn es eine unkomplizierte und für beide Seiten akzeptable Lösung beim
    > Microsoft Support gäbe, würde ich die auch nutzen .
     
    was wär für Dich denn eine "akzeptable Lösung"?
     
     
    > Beispiel : 0190 Hotline für 2 oder 3 Euro / min bei der man anruft und ein
    > Spezialist für SBS Zertifikate schaut sich das mal an ..
     
    1. Es gibt keinen Spezialisten ausschliesslich für SBS SSL-Zertifikate
    2. Wird dieser Spezialist nicht für 2..3 EUR pro Minute für ein paar Minuten
    auf Deinen Server schauen, und klick machen - sondern diesen erst einmal
    ausführlich analysieren, was nun wirklich der Grund Deiner (womöglich
    mehrfachen) Fehlkonfiguration ist.
     
     
    > Es gibt aber keinen unkomplizierten direkten Support
     
    Doch - frag diejenigen, die z.B. uns schon einmal angerufen haben..
     
     
    > deshalb versucht man es über so ein Forum des "Herstellers" und hofft hier
    > solche Spezialisten zu finden, die einem bei solchen Fragen antworten:
     
    Darauf hab ich ja geantwortet, dass Du einen solchen SBS-Spezialisten (gerne
    auch uns) direkt anrufen sollst, damit dieser einmal direkt auf dem Server
    nach dem Rechten schaut denn..
     
     
    > Poste bitte Protokoll XYZ aus dem Ordner ZXY , dann sollte man sehen was
    > dort nicht passt
     
    ... dieses "Protokoll XYZ" gibt es nicht, da Deine Miskonfiguration bzgl.
    SSL-Zertifikate an den unterschiedlichsten Stellen sein kann
     
     
    > Natürlich ist es wie 99 / 100 eine OEM Installation des Herstellers
    > Fujitsu
    > und eigentlich müsste man ja jetzt den Support des OEM Lieferanten
    > beanspruchen kommen
     
    Ich würde mich sehr stark wundern, wenn ein Hardware-Hersteller eine so
    speziele Fehlkonfiguration einer OEM-Software beheben würde, geschweige denn
    könnte..
     
     
    > Vielleicht kann mir ja hier jemand helfen in welcher Richtung der Fehler
    > zu suchen ist.
     
    wie gesagt, wende Dich an einen SBS-Spezialisten (gerne auch an uns) und
    lass ihn direkt auf dem Server (gegen eine Aufwandsentschädigung) schauen,
    da Zertifikatsprobleme nicht durch "kurzes Beschreiben der Suche in diesem
    und jenem Log" behoben werden können.
     
     
    P.S: Dein Posting war so dermaßen unleserlich, dass man kaum entziffern
    konnte, was Du eigentlich geschrieben hast. Deshalb beim editieren darauf
    achten, dass das Posting ausschliesslich Text enthält
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Donnerstag, 24. Februar 2011 14:40
    Moderator

Alle Antworten

  • Also ich habe den Assitenten durchlaufen lassen. Internet Adresse einrichten!!!

    Dort habe ich die Remote.domain.de angepasst. Da wir eine Feste IP Adresse haben, habe ich extern eine Subdomain angelegt und den A Record auf die Feste IP gesetzt.

    Wenn ich jetzt intern ping auf remote.domain.de mache kommt die IP vom Server. Genauso beim nslookup. Geprüft am Server!

    Ich habe für dich im DNS nachgeschaut. Der Assistent legt eine Forward Lookup Zone an mit drei Einträgen. SOA / NS / Host (A)

    Check mal bitte deinen DNS Server. Ich hatte bei einem anderen Kunden das gleiche Problem (DYNDNS). Da war das DNS nicht sauber.

     

    Gib doch mal die IP vom Server und IPconfig /all vom Client. Vielleicht ist dort was nicht in Ordnung.

     

    Sonntag, 20. Februar 2011 07:49
  • Das Problem ist imme noch nicht geklärt .

    Wenn ich auf dem Client PC das Outlook starte kommt nach ca. 10 Klicks oder diverse Mails aufmachen die Fehlermeldung mit dem Zertifikat .

    "Der Name auf dem Zertifikat ist ungültig oder stimmt nicht mit dem Namen der Webseite überein "

    Wen man dann das Zertifikat aufruft sieht man :

    Ausgestellt von : Kundenname-servername-CA

    Ausgestellt für : Remote.Kundenname.dyndns.org

    Habe schon versucht das Zertifikat in die vertrauensw. Stammzertifiz. stellen zu installieren aber das hilft nicht .

    Wenn man vom Client aus diese Dyndns Adresse anpingt, antowrtet auch der interne Server und nicht die Public IP, die DNS Zuweisung

    auf dem Server ist also auch ok. Der Client hat als DNS auch nur den internen Server .

    Soweit ich das sehen kann ersetzt der SBS Server ja mit dem Wizzard der IP Adresse das Zertifikat für alle HTTPS Seiten also

    auch für die Kommunikation der lokalen Outlooks mit dem Server, da liegt der Fehler .

    Ich kenne mich aber nicht so mit den Zertifikaten aus, kann man im IIS Manager das so festlegenn das er dieses Zertifikat für

    die remote.firmenname.dyndns.org nur für die OWA und WEB Arbeitsplatz Seiten nutzt ?? und alle anderen Seiten mit dem

    normalen SSL Zertifikat des Servers mit seinem lokalen Namen ausstattet ?

    Gibt es noch jemanden hier der mit diesem Zertifikats Gewusel etwas besser klarkommt ?

    Grüße

    Christian

     

     

    Mittwoch, 23. Februar 2011 11:28
  • Hi Christian,
     
    > Das Problem ist imme noch nicht geklärt .
    >
    > Wenn ich auf dem Client PC das Outlook starte kommt nach ca. 10 Klicks
    > oder diverse
    > Mails aufmachen die Fehlermeldung mit dem Zertifikat .
    >
    > "Der Name auf dem Zertifikat ist ungültig oder stimmt nicht mit dem Namen
    > der Webseite
    > überein "
    >
    > Wen man dann das Zertifikat aufruft sieht man :
    >
    > Ausgestellt von : Kundenname-servername-CA
    >
    > Ausgestellt für : Remote.Kundenname.dyndns.org
    >
    > Habe schon versucht das Zertifikat in die vertrauensw. Stammzertifiz.
    > stellen zu installieren
    > aber das hilft nicht .
    >
    > Wenn man vom Client aus diese Dyndns Adresse anpingt, antowrtet auch der
    > interne Server
    > und nicht die Public IP, die DNS Zuweisung
    >
    > auf dem Server ist also auch ok. Der Client hat als DNS auch nur den
    > internen Server .
    >
    > Soweit ich das sehen kann ersetzt der SBS Server ja mit dem Wizzard der IP
    > Adresse
    > das Zertifikat für alle HTTPS Seiten also
    >
    > auch für die Kommunikation der lokalen Outlooks mit dem Server, da liegt
    > der Fehler .
    >
    > Ich kenne mich aber nicht so mit den Zertifikaten aus, kann man im IIS
    > Manager das so
    > festlegenn das er dieses Zertifikat für
    >
    > die remote.firmenname.dyndns.org nur für die OWA und WEB Arbeitsplatz
    > Seiten nutzt??
    > und alle anderen Seiten mit dem
    >
    > normalen SSL Zertifikat des Servers mit seinem lokalen Namen ausstattet?
    >
    > Gibt es noch jemanden hier der mit diesem Zertifikats Gewusel etwas besser
    > klarkommt?
     
    ja, aber dazu müsste man direkt auf dem Server nach dem Rechten schauen und
    dafür eine Bearbeitungsgebühr verlangen.
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Mittwoch, 23. Februar 2011 17:54
    Moderator
  • >j a, aber dazu müsste man direkt auf dem Server nach dem Rechten schauen und
    > dafür eine Bearbeitungsgebühr verlangen.

    wenn es eine unkomplizierte und für beide Seiten akzeptable Lösung beim Microsoft Support gäbe, würde ich die auch nutzen .

    Beispiel : 0190 Hotline für 2 oder 3 Euro / min bei der man anruft und ein Spezialist für SBS Zertifikate schaut sich das mal an ...

    Es gibt aber keinen unkomplizierten direkten Support, deshalb versucht man es über so ein Forum des "Herstellers" und hofft hier solche

    Spezialisten zu finden, die einem bei solchen Fragen antworten :

    Poste bitte Protokoll XYZ aus dem Ordner ZXY , dann sollte man sehen was dort nicht passt.

    Christian

    PS: Natürlich ist es wie 99 / 100 eine OEM Installation des Herstellers Fujitsu und eigentlich müsste man ja jetzt den Support
    des OEM Lieferanten beanspruchen kommen ... aber da schlägt die böse Keule der Realität zu , wer das schon mal porbiert hat . 

    Vielleicht kann mir ja hier jemand helfen in welcher Richtung der Fehler zu suchen ist.

    Donnerstag, 24. Februar 2011 07:20
  • Hi Christian,
     
    [..]
    >> ja, aber dazu müsste man direkt auf dem Server nach dem Rechten schauen
    >> und dafür eine Bearbeitungsgebühr verlangen
    >
    > wenn es eine unkomplizierte und für beide Seiten akzeptable Lösung beim
    > Microsoft Support gäbe, würde ich die auch nutzen .
     
    was wär für Dich denn eine "akzeptable Lösung"?
     
     
    > Beispiel : 0190 Hotline für 2 oder 3 Euro / min bei der man anruft und ein
    > Spezialist für SBS Zertifikate schaut sich das mal an ..
     
    1. Es gibt keinen Spezialisten ausschliesslich für SBS SSL-Zertifikate
    2. Wird dieser Spezialist nicht für 2..3 EUR pro Minute für ein paar Minuten
    auf Deinen Server schauen, und klick machen - sondern diesen erst einmal
    ausführlich analysieren, was nun wirklich der Grund Deiner (womöglich
    mehrfachen) Fehlkonfiguration ist.
     
     
    > Es gibt aber keinen unkomplizierten direkten Support
     
    Doch - frag diejenigen, die z.B. uns schon einmal angerufen haben..
     
     
    > deshalb versucht man es über so ein Forum des "Herstellers" und hofft hier
    > solche Spezialisten zu finden, die einem bei solchen Fragen antworten:
     
    Darauf hab ich ja geantwortet, dass Du einen solchen SBS-Spezialisten (gerne
    auch uns) direkt anrufen sollst, damit dieser einmal direkt auf dem Server
    nach dem Rechten schaut denn..
     
     
    > Poste bitte Protokoll XYZ aus dem Ordner ZXY , dann sollte man sehen was
    > dort nicht passt
     
    ... dieses "Protokoll XYZ" gibt es nicht, da Deine Miskonfiguration bzgl.
    SSL-Zertifikate an den unterschiedlichsten Stellen sein kann
     
     
    > Natürlich ist es wie 99 / 100 eine OEM Installation des Herstellers
    > Fujitsu
    > und eigentlich müsste man ja jetzt den Support des OEM Lieferanten
    > beanspruchen kommen
     
    Ich würde mich sehr stark wundern, wenn ein Hardware-Hersteller eine so
    speziele Fehlkonfiguration einer OEM-Software beheben würde, geschweige denn
    könnte..
     
     
    > Vielleicht kann mir ja hier jemand helfen in welcher Richtung der Fehler
    > zu suchen ist.
     
    wie gesagt, wende Dich an einen SBS-Spezialisten (gerne auch an uns) und
    lass ihn direkt auf dem Server (gegen eine Aufwandsentschädigung) schauen,
    da Zertifikatsprobleme nicht durch "kurzes Beschreiben der Suche in diesem
    und jenem Log" behoben werden können.
     
     
    P.S: Dein Posting war so dermaßen unleserlich, dass man kaum entziffern
    konnte, was Du eigentlich geschrieben hast. Deshalb beim editieren darauf
    achten, dass das Posting ausschliesslich Text enthält
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Donnerstag, 24. Februar 2011 14:40
    Moderator