Maraun 12 Geschrieben 4. Juli 2017 Autor Melden Teilen Geschrieben 4. Juli 2017 Komme leider gerade nicht auf den Client. Muss ich nachreichen. Was ich aber sagen kann ist, dass der Client da definitiv das veraltete Zertifikat (noch im lokalen Speicher hat) anzeigt, da er ja Ablaufdatum 10.04. meldet.Gültig von 11.04.2012 - 10.04.2017Eventuell muss ich das Zertifikat mal auf dem Client löschen?Die Exchange-Server haben alle das gleiche Zertifikat, Seriennummer überall gleich."Vielleicht ist es ein SHA1 Zertifikat" -> Ja, es ist ein SHA1 Zertifikat. Thumbprint Algorithm SHA1 Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 4. Juli 2017 Melden Teilen Geschrieben 4. Juli 2017 Also von extern landet man definitiv auf einem Server, der noch das alte Zertifikat gebunden hat. Was steht denn zwischen Internet und dem Exchange? Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 4. Juli 2017 Autor Melden Teilen Geschrieben 4. Juli 2017 (bearbeitet) Ein TMG, das lediglich für Webmail noch zuständig ist...und das mit Sicherheit noch das alte Zertifikat eingebunden hat.Aber warrum meckert ein Windows 10 Client aus der Domäne, der per VPN verbunden ist, das an?Kann ich das im Zertifikatsspeicher des TMG einfach tauschen? Habe auf dem TMG jetzt das gültige Zertifikat importiert und das alte Zertifikat gelöscht. bearbeitet 4. Juli 2017 von Maraun Zitieren Link zu diesem Kommentar
NorbertFe 2.026 Geschrieben 4. Juli 2017 Melden Teilen Geschrieben 4. Juli 2017 Du mußt das Zertifikat am Weblistener AUSTAUSCHEN nicht einfach nur löschen ;) Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 4. Juli 2017 Melden Teilen Geschrieben 4. Juli 2017 Aber warrum meckert ein Windows 10 Client aus der Domäne, der per VPN verbunden ist, das an? Ich würde auf kein Split DNS tippen bzw. DNS Probleme im VPN oder eben "Works as designed". Du müsstest das Zertifikat vermutlich mit dem Private-Key in der persönlichen Zertifikatsspeicher des TMG Servers importieren und dann im TMG an den Weblistener(?) binden. Die Frage wäre auch, warum OA über VPN, wenn ein TMG vorhanden ist? Ich würde OA über VPN immer meiden wollen. Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 4. Juli 2017 Autor Melden Teilen Geschrieben 4. Juli 2017 "Du müsstest das Zertifikat vermutlich mit dem Private-Key in der persönlichen Zertifikatsspeicher des TMG Servers importieren und dann im TMG an den Weblistener(?) binden." Ist so geschehen. Intern im OWA zeigt er mir jetzt das neue Zertifikat an. Also richtig von mir beschrieben war das nicht. Der installierte Windows 10 Client scheint einfach das alte Exchange Zertifikat im persönlichen Speicher zu haben und meckert dieses eben bei jedem Outlook Start an. Das ist ja das eigentliche Problem.Vergiss hierbei VPN, habe ich fälschlicherweise eingestreut. Zitieren Link zu diesem Kommentar
NorbertFe 2.026 Geschrieben 4. Juli 2017 Melden Teilen Geschrieben 4. Juli 2017 ISt echt schwer dir zu helfen. Welches Zertifikat hängt am TMG Weblistener? Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 4. Juli 2017 Melden Teilen Geschrieben 4. Juli 2017 ISt echt schwer dir zu helfen. Welches Zertifikat hängt am TMG Weblistener? Mittlerweile das gültige ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.026 Geschrieben 4. Juli 2017 Melden Teilen Geschrieben 4. Juli 2017 Und was spricht der Client jetzt? ;) Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 4. Juli 2017 Autor Melden Teilen Geschrieben 4. Juli 2017 hi, also zertifikat am exchange und jetzt tmg passt mittlerweile. der client ist leider in Österreich und als Außendienstler nicht ständig greifbar. Sorry, für die unnötige Komplexität, aber schopn mal vielen Dank Euch beiden für die Geduld und die fundierte Hilfe. Sobald ich Neuigkeiten vom Client habe, kommt ein Update. Zitieren Link zu diesem Kommentar
Chomper 3 Geschrieben 4. Juli 2017 Melden Teilen Geschrieben 4. Juli 2017 Bei 1500 Clients würde ich nicht mehr mit einer interen CA und Root Zertifikaten von internen CA rum werkeln. Das macht vielleicht ein Krauter wie ich :) mit 20 Clients, der die Domain noch mit einem Stammhaus teilen muss. ( und bisher nie die Zeit hatte, sich mit Spilt DNS zu beschäftigen). Bin ja auch nur 10-20% der Zeit Admin. Ebenso als Tip würde ich den Mail/Webserver mal über ssllabs.com testen. Da schein noch einiges "offen" zu sein in Sachen SSL. ISS Crypto ist da eigentlich sehr einfach hilfreich. Man muss nur schauen, was der Gerätepark so halt noch braucht. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.