zetor 11 Geschrieben 14. August 2011 Melden Teilen Geschrieben 14. August 2011 Hallo Leute, wenn ich den Exchange Verbindungstest für Outlook Autoermittlung laufen lasse kommt die folgende Meldung: Attempting to resolve the host name abc-domain.de in DNS.The host name resolved successfully. Weitere Details IP addresses returned: 80.69.46.167 Testing TCP port 443 on host abc-domain.de to ensure it's listening and open. The specified port is either blocked, not listening, or not producing the expected response. Weitere Informationen zu diesem Problem und zu möglichen Lösungen Weitere Details A network error occurred while communicating with the remote host. Klar, der DNS Name in der Autoermittlung ist falsch, denn der deutet auf meine Webdomain, um auf mein Exchange Server zu kommen müsste da ssl.abc-domain.de stehen. Ich habe nur nirgends was gefunden wo man das ändern kann?? Folgendes habe ich jetzt nach eifrigem googlen schon versucht: - Ports an der Firewall und Weiterleitungen sind alle freigegeben und aktiviert (80, 443, 25) - Beim exchange 2010 ist die interne und externe URL beim OWA eingetragen. - Ich habe beim DNS Server eine Primäre Zone eingetragen die abc-domain.de lautet, und dort wiederrum einen SRV für Autodiscover auf ssl.abc-domain.de Hilft aber irgendwie alles nichts, er versucht weiterhin sich die Autodiscoverdaten direkt von abc-domain.de und somit von der falschen IP abzuholen :( Was mache ich falsch? Gruß Andreas Zitieren Link zu diesem Kommentar
zetor 11 Geschrieben 14. August 2011 Autor Melden Teilen Geschrieben 14. August 2011 ich habe mir eben nochmal gedanken dazu gemacht: kann es sein das einfach alle probleme damit gelöst wären das mein webdomainbetreiber eine NAT für den port 443 auf meine subdomain ssl.abc-domain.de einrichtet? Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 14. August 2011 Melden Teilen Geschrieben 14. August 2011 Moin, Du kannst zwar die URL für Autodiscover ändern, aber Du wirst damit nicht wirklich glücklich werden. Im Outlook ist die "hard-codiert", d.h. Du müsstest dann auch Outlook ändern (z.B. mit einer XML-Datei). In mobilen Clients hast Du gar keine Chance. Mit NAT hat das übrigens nichts zu tun, NAT setzen IP-Adresse extren/intern um. Ein guter Proxy könnte das. Warum lässt Du nicht einfach einen DNS-Eintrag auf die gleiche IP-Adresse machen? Notfalls ginge auch ein CNAME-Eintrag. Zitieren Link zu diesem Kommentar
zetor 11 Geschrieben 15. August 2011 Autor Melden Teilen Geschrieben 15. August 2011 ok was muss ich dem administrator da genau für eine anweisung geben? er hat jetzt folgendes gemacht, aber das funktioniert noch nicht: ~$ dig autodiscover.abc-domain.de +short ssl.abc-domain.de. wenn ich dann den exchange connectivity test laufen lasse und er versucht abc-domain.de zu erreichen läuft er wieder ins leere! Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 15. August 2011 Melden Teilen Geschrieben 15. August 2011 Moin, DIG ist ja nur ein Anzeigeprogramm, kein Konfigurationsprogramm. Da Du leider die Domänen verschleierst, können wir nicht mal nachsehen, was da im DNS zur Zeit eingestellt ist. Dem DNS-Admins sagst Du das, was ich Dir oben geschrieben habe: Eine A-Eintrag für Autodiscover mit Deiner IP zusätzlich oder einen CNAME-Eintrage für Autodiscover. Wenn der damit nichts anfangen kann, solltest Du den Anbieter wechseln. :) Zitieren Link zu diesem Kommentar
zetor 11 Geschrieben 15. August 2011 Autor Melden Teilen Geschrieben 15. August 2011 hi robert, das letzte mal wurde ich ermahnt nicht meine domain hier zu nennen, aber ok :) ssl.doerr-agrar.de autodiscover.doerr-agrar.de sind die beiden um die es sich dreht! Ich werde deinen Ratschlag mal so weitergeben, aber ich glaube ich weiss jetzt an was es noch gelegen hat: Ich hatte in meinem SAN Zertifikat mit der dns von autodiscover.doerr-agrar.de nicht angelegt. Darauf hin habe ich mit dieser Anleitung "Exchange 2010: SAN Zertifikat und interne Zertifizierungsstelle", die ich sehr gut finde, ein neues Zertifikat erstellt: https://www.frankysweb.de/?p=456 Und bekomme aber noch die folgende Fehlermeldung: Es wird versucht, die mögliche AutoErmittlungs-URL https://autodiscover.doerr-agrar.de/AutoDiscover/AutoDiscover.xml zu testen.Fehler beim Testen dieser potenziellen AutoErmittlungs-URL. Testschritte Attempting to resolve the host name autodiscover.doerr-agrar.de in DNS. The host name resolved successfully. Weitere Details IP addresses returned: 217.86.157.176 Testing TCP port 443 on host autodiscover.doerr-agrar.de to ensure it's listening and open. The port was opened successfully. Testing the SSL certificate to make sure it's valid. The SSL certificate failed one or more certificate validation checks. Testschritte ExRCA is attempting to obtain the SSL certificate from remote server autodiscover.doerr-agrar.de on port 443. ExRCA successfully obtained the remote SSL certificate. Weitere Details Remote Certificate Subject: E=andrea@doerr-agrar.de, CN=owa.doerr-agrar.de, O=doerr-agrar, C=DE, Issuer: CN=doerr-agrar CA Zertifizierungsstelle, DC=doerr-agrar, DC=local, E=andreas@doerr-agrar.de, L=Ostheim v.d. Rhön, S=Bayern, C=DE, O=doerr-agrar. Validating the certificate name. The certificate name was validated successfully. Weitere Details Host name autodiscover.doerr-agrar.de was found in the Certificate Subject Alternative Name entry. Certificate trust is being validated. Certificate trust validation failed. Testschritte ExRCA is attempting to build certificate chains for certificate E=andrea@doerr-agrar.de, CN=owa.doerr-agrar.de, O=doerr-agrar, C=DE. A certificate chain couldn't be constructed for the certificate. Weitere Details The certificate chain couldn't be built. You may be missing required intermediate certificates. hast du eine Ahnung was ich noch falsch gemacht habe? Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 15. August 2011 Melden Teilen Geschrieben 15. August 2011 Moin, ermahnt vermutlich nicht, aber eventuell wurde Dir gesagt, dass es sicherer wäre sie nicht zu nennen. Ist es meistens ja auch und meistens auch nicht notwendig - außer bei DNS-Problemen. :) Autodiscover hat übrigens einen CNAME (ich habe es jetzt mal verschleiert, ein Mod kann das gerne bei Dir oben jetzt tun): > set type=cname > autodiscover.xxxxagrar.de Server: server04.sm-rw.local Address: 192.168.11.234 Nicht autorisierende Antwort: autodiscover.xxxxagrar.de canonical name = ssl.xxxxagrar.de ssl.xxxxagrar.de internet address = 217.86.yyy.zzz Dein Zertifikat hört übrigens auf die richten Namen, aber laut Firefox ist die Zertifikatskette nicht komplett: Dem Zertifikat wird nicht vertraut, weil [b]keine Zertifikatsausstellerkette angegeben[/b] wurde. Das Zertifikat gilt nur für folgende Namen: owa.xxxxagrar.de , ssl.xxxxagrar.de , autodiscover.xxxxagrar.de , autodiscover.xxxxagrar.local , server-exch.xxxxagrar.local , server-exch Das steht auch oben im Fehler: The certificate chain couldn't be built. You may be missing required intermediate certificates. Zitieren Link zu diesem Kommentar
zetor 11 Geschrieben 15. August 2011 Autor Melden Teilen Geschrieben 15. August 2011 Und was heisst das? Was ist eine Zertifikatskette? Ich stehe da gerade auf dem Schlauch Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 15. August 2011 Melden Teilen Geschrieben 15. August 2011 Dass dir die Zertifikate der Zwischenzertifizierungsstellen fehlen wahrscheinlich. X.509 ;) Da du aber keine Domain nennst (wie gesagt, ist ja deine Sache), kann man dir nicht viel helfen, ausser eben mit allgemeinen Hinweisen. Bye Norbert Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 15. August 2011 Melden Teilen Geschrieben 15. August 2011 Moin, jetzt wo ich mir das Zertifikat selbst noch mal ansehe: Du hast eine eigene PKI benutzt (na ja, wie auch im Link oben beschrieben). Setz bei der Prüfung mit ExRCA mal den Haken "Vertrauensstellung für SSL ignorieren", denn geht wenigstens der Test. Damit Deine Clients das Zertifikat akzeptieren, musst Du den öffentlichen Schlüssel aus der PKI exportieren und bei den Clients als vertrauenswürdige Zertifizierungstelle wieder importieren. Zitieren Link zu diesem Kommentar
zetor 11 Geschrieben 15. August 2011 Autor Melden Teilen Geschrieben 15. August 2011 Willkommen bei Doerr-Agrar ist meine domain (der website) ssl.doerr-agrar.de die für meine server und intern doerr-agrar.local die website läuft nicht auf meinem server sondern auf dem meines webdienstanbieters. ich bin jetzt nicht so der pr0 in sachen zertifikaten, aber ich habe es geschafft eine eigene unternehmens pki zu installieren und dann eine zertifikatvorlage für den exchange server -> san zertifikat. reicht das nicht? :) muss ich wohl noch an einer übergeordneten stelle zertifiziert sein? eigentlich funktioniert ja alles: autodiscover im lan, owa, exchange active sync usw.. nur was mich zur weissglut bringt ist das in letzter zeit outlook ständig nach dem benutzernamen und passwort fragt! jetzt dachte ich das es wohl an den autodiscoverfunktionen liegen könnte und habe daraufhin den test laufen lassen. Zitieren Link zu diesem Kommentar
zetor 11 Geschrieben 15. August 2011 Autor Melden Teilen Geschrieben 15. August 2011 das mit dem stammzertifikat bei den clients läuft bereits! ich verteile die auch über eine gpo ich hab eben nochmal nachgeschaut das zertifikat ist installiert! Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 15. August 2011 Melden Teilen Geschrieben 15. August 2011 Moin, im Prinzip reicht es, um ein Zertifikat zum Verschlüsseln zu bekommen (denn das tut es). Die Mache haben aber auch eingebaut, das der Herausgeber den Anfordernden überprüft und damit garantiert, dass das Zertifikat auch vom richtigen angefordert wurde. Das nennt man dann "Vertrauenswürdigkeit". Du hast eine eigene PKI aufgebaut. Als Konzequenz vertraut der niemand, denn sonst könnte ja jeder eine PKI einfach so aufbauen. Normalweise werden alle internen Clients über Gruppenrichtlinien in den nächsten Stunden Deiner PKI vertrauen. Falls das nicht passiert, musst Du, wie oben schon beschrieben, über die CA-Verwaltung das Zertifikat der Stammstelle aufrufen, exportieren (ohne privaten Schlüssel), auf den Client kopieren und dort wieder importieren (in vertrauenswürdige Herausgeber). Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 15. August 2011 Melden Teilen Geschrieben 15. August 2011 Ergänzung: Dann ruf doch im Client mal die OWA-Seite auf im MSIE auf. Gibt es Fehler dabei? Wenn ja, welche? Zitieren Link zu diesem Kommentar
zetor 11 Geschrieben 15. August 2011 Autor Melden Teilen Geschrieben 15. August 2011 keine fehlermeldung das kannst du auch probieren (hoffe ich) :) owa seite der autodiscover test durchläuft zwar jetzt den test mit dem zertifikat, allerdings hängt er jetzt beim download der autoermittlungseinstellungen: Es wird versucht, dem AutoErmittlungsdienst eine POST-Anforderung zu senden, damit er URLs ggf. automatisch erkennen kann.Beim Senden der POST-Anforderungen für die AutoErmittlung konnten keine AutoErmittlungseinstellungen abgerufen werden. Testschritte ExRCA versucht, eine XML-Antwort des AutoErmittlungsdiensts von URL https://autodiscover.doerr-agrar.de/AutoDiscover/AutoDiscover.xml für Benutzer andreas@doerr-agrar.de abzurufen. Von ExRCA konnte keine XML-Antwort von der AutoErmittlung abgerufen werden. Weitere Details Die Antwort 'HTTP 500' wurde von Unknown zurückgegeben. was isn das jetzt schon wieder?!?! muh ein fehler nach dem anderen, ich glaub ich geh jetzt erstmal aufs feld meine gerste dreschen =) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.