NorbertFe 2.035 Geschrieben 4. Juli 2017 Melden Teilen Geschrieben 4. Juli 2017 Nein, wenn auf dem Transport Server auch die CAS Rolle liegt und dort Windows NLB läuft durchaus gängig gewesen damals. Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben 4. Juli 2017 Melden Teilen Geschrieben 4. Juli 2017 Nunja, NLB würde ich als "(Software-) Loadbalancer" ansehen. Und nicht als "kein Loadbalancer". Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 4. Juli 2017 Autor Melden Teilen Geschrieben 4. Juli 2017 (bearbeitet) Naja, ich meinte damit, dass ich das Zertifikat per interner Root CA ausgestellt habe. Also der Exchange sieht es als SelfSigned False an. Kann ich das Zertifikat so weiter nutzen? Vor 5 Jahren wurde die 2010er Exchange-Server so in Betrieb genommen und da initial das Zertifikat verteilt.Ja, wir haben das Software LoadBalancing und beide Transportserver haben auch die CAS-Rolle.Die Frage ist, wie kann ich das neu ausgestellte Zertifikat jetzt an alle Clients verteilen?Root-CA? GPO? bearbeitet 4. Juli 2017 von Maraun Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 4. Juli 2017 Melden Teilen Geschrieben 4. Juli 2017 Wenn ihr eine interne Root CA verwendet, dann müßtest du mal den CA Administrator fragen, woher die Clients wissen, dass die Root vertrauenswürdig ist. Und dann einfach ein neues Zertifikat anfordern. Da muß nichts verteilt werden, da das Root Certifikat ja als vertrauenswürdig eingestuft wird. Alternativ kann man ja auch mal jemanden ranholen, der sowas einfach schon häufiger erledigt hat. Arbeitet ihr mit dem Ding nur intern, oder warum wird da ein internes Zertifikat verwendet? Da müßte ja ansonsten bei jedem Handy und jedem Browser von extern eine Fehlermeldung aufploppen. Bye Norbert Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 4. Juli 2017 Autor Melden Teilen Geschrieben 4. Juli 2017 Wir nutzen die Root CA für WLAN intern. Extern wird nichts mehr genutzt, außer ein wenig Webmail (mit dem Vertrauensfehler).Devices verbinden sich per MDM. Jeder Client hat das zentrale Root-CA Zertifikat mit Zeichenkette im Speicher. Daher sollte der Trust kommen, aber ich checke das mal.Ansonsten habe ich nachgelesen, dass das auch per GPO gehen sollte. Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 4. Juli 2017 Melden Teilen Geschrieben 4. Juli 2017 Vergiß doch mal GPO! Du hast ein Root Zertifikat dem deine Clients vertrauen und dein Serverzertifikat ist offenbar abgelaufen. Das steht sogar oben genau SO in dem Screenshot. Dir fehlt also einfach nur ein neues Zertifikat, welches NICHT abgelaufen ist. Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 4. Juli 2017 Autor Melden Teilen Geschrieben 4. Juli 2017 Ja und das neue Zertifikat habe ich auf den Exchange-Servern ja auch vor Wochen erstellt. Ich habe hier zwei Clients, ein Client (Win7) hat das alte abgelaufene Exchange-Zertifikat im Benutzerzertifikatsspeicher und startet Outlook 2010 ohne Fehlermeldung,ein Win10 Client hat das Zertifikat nicht im eigenen Benutzerzertifikatsspeicher und startet ebenso ohne Probleme Outlook 2013. Wird das Zertifikat da benötigt? Warum meckern nur zwei Clients von 1500? Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 4. Juli 2017 Melden Teilen Geschrieben 4. Juli 2017 Und hast du es auch an die entsprechenden Services gebunden? Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 4. Juli 2017 Autor Melden Teilen Geschrieben 4. Juli 2017 Ja, wie vorher bereits geschrieben:IMAP, POP, IIS, SMTP Gleicher Name, webmail.domain.com.Certificate Status ist okay, valid von 16.03.2017 bis 15.03.2022. Hab jetzt zwei Surfaces gecheckt:Einer hat das Zertifikat im eigenen Benutzerspeicher, der andere nicht. Beide starten ohne Fehlermeldung. Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 4. Juli 2017 Melden Teilen Geschrieben 4. Juli 2017 Das Zertifikat BRAUCHT MAN nicht im BEnutzerspeicher oder irgendwo. Du brauchst nur das Root Zert deiner CA. Und wenn dann ein Fehler auftritt liegts entweder am abgelaufenen Zertifikat, oder du hast sonst einen Fehler drin. Das kann man dir aber hier schwer sagen, weil nur du die Zertifikate siehst. Vielleicht ist es ein SHA1 Zertifikat oder du hast ein SAN Zertifikat ohne den CN als SAN oder oder. Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben 4. Juli 2017 Melden Teilen Geschrieben 4. Juli 2017 Poste doch mal die Ausgaben von Get-ExchangeCertificate | where { $_.Services -notlike "None" } | fl Subject, Status, Services, RootCAType, NotBefore, NotAfter, Issuer, IsSelfSigned, HasPrivateKey, CertificateDomains auf allen Servern. Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 4. Juli 2017 Autor Melden Teilen Geschrieben 4. Juli 2017 Okay, gerade gesehen: Die Transportserver haben folgende Dienste:IIS, SMTP, POP und IMAPDie Mailbox-Server haben als Services: NoneWir haben 2x Hub Transport, Client Access, Mailbox und 2x MailboxBefehlsausgabe bei einem der Transportserver, siehe Anhang. Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 4. Juli 2017 Melden Teilen Geschrieben 4. Juli 2017 Ich weiß grad nicht, ob ich lachen oder weinen soll. ;) 1. Was soll man mit dem zerhackstückten Output anfangen als Fremder? 2. Poste doch mal die Ausgaben von Get-ExchangeCertificate | where { $_.Services -notlike "None" } | fl Subject, Status, Services, RootCAType, NotBefore, NotAfter, Issuer, IsSelfSigned, HasPrivateKey, CertificateDomains auf allen Servern. Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 4. Juli 2017 Autor Melden Teilen Geschrieben 4. Juli 2017 Okay, hier die beiden Transportserver, die ja als einzige Services im Zertifikat haben. Und ein Postfacherserver Screenshot. Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 4. Juli 2017 Melden Teilen Geschrieben 4. Juli 2017 Ist das bei allen Servern das selbe Zertifikat, oder hat jeder sein eigenes? Wenn du mal die Seriennummern vergleichst und das auch mit dem vergleichst, was dir der Client als fehlerhaft anzeigt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.