Exchange 2010 / Outlook 2010 Autodiscover Sicherheitzszertifikat

[Maraun 12]

Komme leider gerade nicht auf den Client. Muss ich nachreichen.

Was ich aber sagen kann ist, dass der Client da definitiv das veraltete Zertifikat (noch im lokalen Speicher hat) anzeigt, da er ja Ablaufdatum 10.04. meldet.
Gültig von 11.04.2012 - 10.04.2017
Eventuell muss ich das Zertifikat mal auf dem Client löschen?

Die Exchange-Server haben alle das gleiche Zertifikat, Seriennummer überall gleich.

"Vielleicht ist es ein SHA1 Zertifikat" -> Ja, es ist ein SHA1 Zertifikat. Thumbprint Algorithm SHA1

[testperson 1.680]

Also von extern landet man definitiv auf einem Server, der noch das alte Zertifikat gebunden hat.

Was steht denn zwischen Internet und dem Exchange?

[Maraun 12]

Ein TMG, das lediglich für Webmail noch zuständig ist...und das mit Sicherheit noch das alte Zertifikat eingebunden hat.
Aber warrum meckert ein Windows 10 Client aus der Domäne, der per VPN verbunden ist, das an?
Kann ich das im Zertifikatsspeicher des TMG einfach tauschen?

 

Habe auf dem TMG jetzt das gültige Zertifikat importiert und das alte Zertifikat gelöscht.

bearbeitet 4. Juli 2017 von Maraun

[NorbertFe 2.035]

Du mußt das Zertifikat am Weblistener AUSTAUSCHEN nicht einfach nur löschen ;)

[testperson 1.680]

Aber warrum meckert ein Windows 10 Client aus der Domäne, der per VPN verbunden ist, das an?

Ich würde auf kein Split DNS tippen bzw. DNS Probleme im VPN oder eben "Works as designed".

Du müsstest das Zertifikat vermutlich mit dem Private-Key in der persönlichen Zertifikatsspeicher des TMG Servers importieren und dann im TMG an den Weblistener(?) binden.

 

Die Frage wäre auch, warum OA über VPN, wenn ein TMG vorhanden ist? Ich würde OA über VPN immer meiden wollen.

[Maraun 12]

"Du müsstest das Zertifikat vermutlich mit dem Private-Key in der persönlichen Zertifikatsspeicher des TMG Servers importieren und dann im TMG an den Weblistener(?) binden."

Ist so geschehen. Intern im OWA zeigt er mir jetzt das neue Zertifikat an.

Also richtig von mir beschrieben war das nicht. Der installierte Windows 10 Client scheint einfach das alte Exchange Zertifikat im persönlichen Speicher zu haben und meckert dieses eben bei jedem Outlook Start an. Das ist ja das eigentliche Problem.

Vergiss hierbei VPN, habe ich fälschlicherweise eingestreut.

[NorbertFe 2.035]

ISt echt schwer dir zu helfen. Welches Zertifikat hängt am TMG Weblistener?

[testperson 1.680]

ISt echt schwer dir zu helfen. Welches Zertifikat hängt am TMG Weblistener?

Mittlerweile das gültige ;)

[NorbertFe 2.035]

Und was spricht der Client jetzt? ;)

[Maraun 12]

hi, also zertifikat am exchange und jetzt tmg passt mittlerweile.

der client ist leider in Österreich und als Außendienstler nicht ständig greifbar.

 

Sorry, für die unnötige Komplexität, aber schopn mal vielen Dank Euch beiden für die Geduld und die fundierte Hilfe.

 

Sobald ich Neuigkeiten vom Client habe, kommt ein Update.

[Chomper 3]

Bei 1500 Clients würde ich nicht mehr mit einer interen CA und Root Zertifikaten von internen CA rum werkeln. Das macht vielleicht ein Krauter wie ich  :)  mit 20 Clients, der die Domain noch mit einem Stammhaus teilen muss. ( und bisher nie die Zeit hatte, sich mit Spilt DNS zu beschäftigen). Bin ja auch nur 10-20% der Zeit Admin.

 

Ebenso  als Tip würde ich den Mail/Webserver mal über ssllabs.com testen. Da schein noch einiges "offen" zu sein in Sachen SSL. ISS Crypto ist da eigentlich sehr einfach hilfreich. Man muss nur schauen, was der Gerätepark so halt noch braucht.