Michi777 12 Geschrieben 13. Oktober 2014 Melden Teilen Geschrieben 13. Oktober 2014 (bearbeitet) Liebe Community! am Mailserver haben wir eine neue Domäne hinzugefügt (Alte behalten, aber neue Domäne als Antwortadresse genommen). Nun kommt eine Woche nach der Umstellung ein Zertifikatsfehler bei allen Clients (Domäne\Outlook 2013). ...merkwürdig dass nicht sofort nach Umstellung auftauchte? Just4Info, einen DNS Eintrag beim Domänenprovider für den Mailserver haben wir im Zuge der Umstellung auch erstellt mail.neuedomäne.at. In der Zertifikatsmeldung steht (siehe Anhang): webmail.domäne_alt.at Zertifikat stammt von vertrauenswürdiger Stelle Datum ist gültig Name stimmt nicht überein Ich habe vor einiger Zeit bereits nach Ablauf des Zertifikates erstmallig ein Selbstsigniertes erstellt (weil ja nur Clients in Domäne Mails abrufen, keine externe Zertifizierung notwendig), finde mich da grad aber nicht mehr zurecht. Er möchte ein Zertifikat für webmail.domäne.at, eines ausgestellt wurde damals für remote.domäne.at. Wie muss ich da nochmal vorgehen und was eingeben, damit das Zertifikatsproblem wieder gelöst ist? Vielen Dank im Voraus! Greetz bearbeitet 13. Oktober 2014 von Michi777 Zitieren Link zu diesem Kommentar
Alith Anar 40 Geschrieben 13. Oktober 2014 Melden Teilen Geschrieben 13. Oktober 2014 (bearbeitet) Mit welchem Namen meldet sich den dein ExchangeServer nach extern? Get-OwaVirtualDirectory -Server <deinservername> | fl InternalUrl, ExternalUrl Du schreibst oben das du die DNS Domain mail..domäne_alt.at genannt hast, das neue Zertifikat läuft jetzt auf webmail.domäne_alt.at und das alte auf remote.domäne_alt.at . Da solltest du erst mal Ordnung reinbringen und dann feststellen welche Namen du im Zertifikat benötigst. bearbeitet 13. Oktober 2014 von Alith Anar Zitieren Link zu diesem Kommentar
Michi777 12 Geschrieben 13. Oktober 2014 Autor Melden Teilen Geschrieben 13. Oktober 2014 (bearbeitet) Wo kann ich diesen Befehl eingeben (CMD, war es mal nicht, meinst du Exchange Console)? ...Ich kann doch einfach wieder ein selbstsigniertes Zertifikat ausstellen auf den neuen DNS Name mail.domäne_neu.at, ist am Wahrscheinlichsten, oder? Aber wo mache ich das nochmals, in der SBS Konsole will er eine externe Zertifizierungsstelle und eine Datei, das war wohl nicht der Weg für die selbstsignierten Zertifikate...? Und ist in dieser Kommunikation Domänenclient im LAN (selbes wie Server) nicht der externe DNS Eintrag mail.domände_neu.at nicht außen vor, da direkt kommuniziert wird? d.h. nur Servername wichtig und der hat sich ja durch die Ergänzung einer neuen Exchangedomäne nicht geändert, oder? ...denn die Widows Domäne heißt nach wie vor gleich... bearbeitet 13. Oktober 2014 von Michi777 Zitieren Link zu diesem Kommentar
Alith Anar 40 Geschrieben 13. Oktober 2014 Melden Teilen Geschrieben 13. Oktober 2014 Wie man bei einem SBS ein Zertifikat erneuert findest du zuhauf im Internet z.B. https://www.mos-computer.de/pages/posts/sbs-2011-und-zertifikate-160.php oder hier https://www.mo-company.com/ueber-uns/it-blog/160-sbs-2011-outlook-zertifikat-abgelaufen-erneuern oder hier: http://www.security-blog.eu/sbs-2011-mulitdomain-zertifikat-fr-exchange-und-remote-access-selbst-erstellen-subject-alternate-name-certificate/ oder über die interne Forensuche Wenn es ein SBS ist, dann lautet der richtige Name vermutlich remote.domäne_alt.at (das ist zumindest der Standard). Aber das kannst du mit dem Powershellbefehl herausfinden. Zitieren Link zu diesem Kommentar
Michi777 12 Geschrieben 13. Oktober 2014 Autor Melden Teilen Geschrieben 13. Oktober 2014 (bearbeitet) Mache nun laut dieser Anleitung ein neues selbstsigniertes Zertifikat für den neuen DNS Name mail.domäne_neu.at, müsste so lauten, oder? http://www.icomundo.de/neues-selbstsigniertes-zertifikat-fuer-exchange-servercasarray-erstellen/ Jedoch kann ich die Webansicht des AD Zertifizierungsbla nicht öffnen, habe dann via Zertifizierungsstelle (certsrv) die .reg Datei von Schritt 1 als "Neue Anforderung einreichen" angegeben, jedoch kommt dann nichts... Wo liegt das Problem gerade und muss ich das nun in der SBS Konsole oder Exchange Konsole machen, ist je nach Anleitung anders angegeben? PS: Wenn ich alle drei verschiedenen DNS Namen (remote.domäne_alt.at, webmail.domäne_alt.at und mail.domäne_neu.at) mit https und \owa versehe komme ich bei allen zu unserem Webmailstandort; bearbeitet 13. Oktober 2014 von Michi777 Zitieren Link zu diesem Kommentar
Alith Anar 40 Geschrieben 13. Oktober 2014 Melden Teilen Geschrieben 13. Oktober 2014 Die Webseite der Zertifikatsstelle wird beim SBS normalerweise nicht mitinstalliert. Daher solltest du eine Anleitung verwenden die für den SBS passt. HAst du den inzwischen schon geschaut unter welchem Namen sich dein SBS meldet? Das ist wichtig .... Zitieren Link zu diesem Kommentar
Michi777 12 Geschrieben 13. Oktober 2014 Autor Melden Teilen Geschrieben 13. Oktober 2014 (bearbeitet) Nach Innen und außen sieht der Mailserver laut Konsolenabfrage so aus: InternalUrl: https://servername.domäne_alt.local/owa ExternalUrl: https://webmail.domäne_alt.at/owa Habe nun in der Exchange Konsole ein neues Exchange Zertifikat erstellt und Name webmail.domäne_alt.at angegeben. Wo kann ich nun die ausstehende Zertifikatssignierung dafür abschließen (brauche dafür eine .cer Datei, habe aber nur eine .req Datei) und bei certsrv passiert nichts wenn ich eine Anforderung einreiche und das Web AD certsrv funktioniert nicht (siehe Anhang). Jetzt kommt zwar der Zertifikatsfehler für webmail.domäne_alt.at nicht mehr, jedoch nun mit den Internal Url "servername.domäne_alt.local", wieso das und liegt das daran, dass wir im Exchange bei allen Postfächern die domäne.local Mailadressen rausgenommen haben? bearbeitet 13. Oktober 2014 von Michi777 Zitieren Link zu diesem Kommentar
Alith Anar 40 Geschrieben 13. Oktober 2014 Melden Teilen Geschrieben 13. Oktober 2014 (bearbeitet) Wie ich vorher schon schrieb: Die Webseite für den Zertifikatsservice wird im SBS nicht mit installiert. Du kannst also entweder die MMC nutzen, oder die Powershell. Deine Fehlermeldung kommt daher, das sich der Server mit der Internal URL meldet und die (vermutlich) nicht im Zertifikat vorhanden ist. (Ich keine dein Zertifikat nicht) Guckst du auch mal in die Links rein die man postet? http://www.security-blog.eu/sbs-2011-mulitdomain-zertifikat-fr-exchange-und-remote-access-selbst-erstellen-subject-alternate-name-certificate/ PS: Evtl lohnt auch mal ein Blick in das Zertifikat mit dem alles lief. Nur weil es abgelaufen ist, enthält es immer noch alle URLs die hinterlegt waren. Evtl benötigst du noch weitere Namen. bearbeitet 13. Oktober 2014 von Alith Anar Zitieren Link zu diesem Kommentar
Michi777 12 Geschrieben 13. Oktober 2014 Autor Melden Teilen Geschrieben 13. Oktober 2014 (bearbeitet) Nun nach einigen Minuten, kommt die Zertifikatsmeldung nicht mehr und wie es scheint, reichte es einfach ein neues Exchangzertifikate (in der EMC) mit dem richtigen Namen webmail.domäne_alt.at zu erstellen und ein paar Minuten zu warten. Ohne SBS Konsole oder Abschließen einer Zertifikatsanmeldung - diese zwei Schritte haben mich verunsichert, war aber wohl garnicht nötig für diesen selbstsignierten Fall. Warum sich dieser Name nun geändert hat (hat ja nichts mit unserer neuen Maildomäne oder dem DNS Eintrag bei diesem Domainprovider zu tun) ist aber fraglich? Der Ablauf war so: Zertifikatsmeldung mit webmail.domäne_alt.at tauchte auf Neues Exchange Zertifikat mit Name "webmail.domäne_alt.at erstellt (Dienste: None & Selbstsigniert: Falsch) Zertifikatsmeldung mit servername.domäne_alt.local tauchte nun auf Neues Exchange Zertifikat mit Name "servername.domäne_alt.local erstellt (Dienste: None & Selbstsigniert: Falsch) 5 Minuten gewartet - keine Zertfikatsmeldung tritt mehr auf Was sagt ihr dazu? bearbeitet 13. Oktober 2014 von Michi777 Zitieren Link zu diesem Kommentar
Alith Anar 40 Geschrieben 13. Oktober 2014 Melden Teilen Geschrieben 13. Oktober 2014 Das du vermutlich immer noch eine offene Zertifikatsanfrage hast, dein Problem jetzt evtl nicht mehr auftritt, aber wieder auftauchen wird. Zitieren Link zu diesem Kommentar
Michi777 12 Geschrieben 13. Oktober 2014 Autor Melden Teilen Geschrieben 13. Oktober 2014 (bearbeitet) Habe nun laut Anleitung unter dem IIS-Manager (war bis jetzt ja nicht klar ob in Exchange Konsole oder IIS Manager) ein selbstsigniertes Zertikat für webmail.domäne_alt.at & servername.domäne_alt.local erstellt, das ist soweit nur je ein Schritt und Fertig. http://technet.microsoft.com/de-at/library/ff710475(v=ws.10).aspxDann ist wohl dieser Schritt (IIS und nicht in Exchange Konsole), der springende Punkt zur Lösung?Vorhin kam bei jedem Outlook Öffnen und im Intervall diese Zertifikatsmeldung, vor allem wenn man ein neues Outlookkonto anlegte, jetzt seit 50min kommt in keinem dieser Szenarien diese Meldung, somit wohl erfolgreich? bearbeitet 13. Oktober 2014 von Michi777 Zitieren Link zu diesem Kommentar
Alith Anar 40 Geschrieben 13. Oktober 2014 Melden Teilen Geschrieben 13. Oktober 2014 (bearbeitet) Die Vorlage dazu findest du hier: http://technet.microsoft.com/en-us/library/ff625722(v=WS.10).aspx -------------- Neues Post ----------------------- Wenn du nicht die Textdatei verwenden möchtest, kannst du natürlich auch die Exchange Management Console verwenden: http://www.msblog.eu/exchange-2010-serverzertifikat-erstellen/ Auch hier kannst du sämtliche URLS eingeben. PS: Ja ich weis das hier in der Mitte wieder über die Webseite gegangen wird, das kannst du dann in der Shell erledigen (oder MMC verwenden) bearbeitet 13. Oktober 2014 von Alith Anar Zitieren Link zu diesem Kommentar
Michi777 12 Geschrieben 13. Oktober 2014 Autor Melden Teilen Geschrieben 13. Oktober 2014 Ich vermute nun, durch den Hergang, dass dieses Problem gar gelöst ist, aber mal paar Tage abwarten. Sollte da nochmal was kommen, bitte nun die Schritte um aus der .req eine .cer Datei zu machen, in den Anleitungen ist immer via Webseite oder Textdatei erstellen - wohl deine EMC Variante am Leichtesten. Danke Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 13. Oktober 2014 Melden Teilen Geschrieben 13. Oktober 2014 Was ist so schwer daran den Links zu folgen und das Zertifikat mit den SBS Assistenten zu erstellen. Dann geht alles automatisch Verabschiede dich von der Idee auf einem SBS Dinge "von Hand" installieren zu wollen Zitieren Link zu diesem Kommentar
Alith Anar 40 Geschrieben 13. Oktober 2014 Melden Teilen Geschrieben 13. Oktober 2014 Wobei ich aber (ich benutze den Sharepoint aber auch nicht) keine Probleme mit der klassischen Bedienung habe. Aber auch dafür muss man die Software die man verwendet verstehen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.