Knorkator 12 Geschrieben 20. Dezember 2012 Melden Teilen Geschrieben 20. Dezember 2012 Guten Morgen, nachdem alle Zertifikate auf unserem Exchange2010 eingebunden wurden und es keine Zertifikatsfehler mehr innerhalb von Outlook gibt und Owa funktioniert, möchte ich Outlook über HTTPS nutzen. Die Testläufe auf Exchangeconnectivity.com sind alle in Ordnung, bis auf eine Warnung: Analyzing the certificate chains for compatibility problems with versions of Windows. Potential compatibility problems were identified with some versions of Windows. Weitere Details ExRCA can only validate the certificate chain using the Root Certificate Update functionality from Windows Update. Your certificate may not be trusted on Windows if the "Update Root Certificates" feature isn't enabled. Ein Outlook Test von Zuhause konnte keine Verbindung mit dem Exchange herstellen. Benutzername und Kennwort wurden allerdings abgefragt. Die Einrichtung wurde Analog zu diesem Artikel vorgenommen:Exchange 2010: Outlook Anywhere konfigurieren (RPC over HTTPS) | Franky's Web Im Anwendungsprotokoll der Ereignisanzeige finde ich keine Einträge bzgl. fehlgeschlagenen Logins o.ä. In der Firewall ist nur Port 443 eingehend freigegeben. Hat jemand einen Tipp? Danke! Zitieren Link zu diesem Kommentar
Knorkator 12 Geschrieben 20. Dezember 2012 Autor Melden Teilen Geschrieben 20. Dezember 2012 Ich habe eben auf einem lokalen Outlook die Einstellungen geprüft. Dort steht noch msstd:mail.domail.com unter "Verbindung mit Proxyservern herstellen, deren Zertifikat den folgenden Prinzipalnamen enthält" Diesen Haken habe ich gestern nicht gesetzt bzw. keinen Eintrag dort erstellt. Werde es später erneut testen. Hat noch jemand eine Info bzgl. der Zertifikatsmeldung? Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben 20. Dezember 2012 Melden Teilen Geschrieben 20. Dezember 2012 Hi, mit welchen Outlook Client arbeitest du zu hause? Zitieren Link zu diesem Kommentar
Knorkator 12 Geschrieben 20. Dezember 2012 Autor Melden Teilen Geschrieben 20. Dezember 2012 Hallo, Outlook 2010 - Aktueller Stand. Hab ich vergessen.. sorry. Zitieren Link zu diesem Kommentar
Worti 10 Geschrieben 15. Januar 2013 Melden Teilen Geschrieben 15. Januar 2013 Servus noch aktuell? Das Zertifikat ist ein gekauftes welches Intern und Extern funktioniert ohne das im Browser "Es besteht ein Problem mit dem Sicherheitszertifikat der Webseite." angezeigt wird? Die Angaben unten sind nötig wenn Ihr nur ein SingleDomainName Cert habt, respektive die Meldung oben ausserhalb der Firma angezeigt wird. Ich würde das Zertifikat welches im OWA genutz wird auf dem Client installieren unter Vertrauenswürdigen Stammzertifikate. Ergänzend zu der erwähnten Anleitung würde ich beim Register Sicherheit und dem Register Verbindungen die Einstellungen anpassen. Sicherheit: Kennwortauthentifizierung (NTLM) Verbindung / Exchange Proxyeinstellungen: https:// deine.externe-domain.de Sitzung gegenseitig authentifizieren, wenn Verbindung mit SSL hergetsellt wird, anhacken Hauptname des Proxy: msstd:deine.externe-domain.de Danach beide anhacken und die Authentifizierung auf Standardauthentifizierung stellen. Der E-Mail Client wird sich ohne Zertifikat zwar konfigurieren lassen, aber Du bekommst keine Verbindung. Gruss Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 15. Januar 2013 Melden Teilen Geschrieben 15. Januar 2013 Auch hier: Das Kopieren eines "normalen" Zertifikates in die vertrauenswürdigen Stammzertifizierungsstellen ist nicht supportet (genauso wie die Nutzung eines Self-Sigened-Zertifikates). Es kann daher jetzt funktionieren und mit einem Update morgen nicht mehr. Die saubere, supportete und sichere Lösung lautet daher, Namen im Zertifikat und URLs zueinander passend zu machen. Zitieren Link zu diesem Kommentar
Worti 10 Geschrieben 15. Januar 2013 Melden Teilen Geschrieben 15. Januar 2013 da geb ich Dir natürlich recht. allerdings lässt sich nicht jede Firma dazu erwärmen sich ein UCC Multidomain Zertifikat zuzulegen nur damit OWA "Warnungsfrei" läuft. Kommt aber natürlich immer auf die grösse der Firma an. Gruss Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 15. Januar 2013 Melden Teilen Geschrieben 15. Januar 2013 Ist auch nicht erforderlich. Mit Split-DNS und passenden SRV-Einträgen reicht ein Zertifikat, dass genau EINEN Namen braucht. Und das bekommt man sogar kostenlos als vertrauenswürdiges Zertifikat extern. Ich habe Strukturen mit sechs CAS-Servern, zwei Failover-Loadbalancern und diversen Mailbox-Servern dahinter erlebt, da stehen genau zwei Namen im Zertifikat - und der Name "autodiscover.-----" wäre noch nicht mal notwendig gewesen. Das ist nur insgesamt kein Thema, das man mal so eben nebenbei in einem Forum erklärt. Zitieren Link zu diesem Kommentar
Worti 10 Geschrieben 15. Januar 2013 Melden Teilen Geschrieben 15. Januar 2013 musst Du auch nicht, hab ich soweit verstanden :) Gruss Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.