Sicherheitszertifikatsabfrage

[Thomas Maggnussen 2]

Hallo,

 

ich trau mich gar nicht zu fragen...

 

Umgebung: Outlook 2016, Exchange 2013.

 

Outlook bringt beim Start die 3 "berühmten Meldungen":

 

"Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyservers vor. Der Name usw."

 

Dann jeweils zwei Meldungen das das Sicherheitszertifk nicht mit der Website übereinstimmt. 

Er greift auf server.meinedomäne.com zu, darauf ist aber das öffentliche Zertifikat webmail.meinedomäne.com hinterlegt und eingerichtet. Das Problem gab es auch schon vorher, also bevor das echte und offizielle Zertifikat installiert wurde. Schleierhaft dass er intern seinen eigenen Server nicht vertraut aber gut.

 

Von extern funktioniert es einwandfrei. Ist verschlüsselt, keine Fehlermeldung, richtiges Zertifikat, gültig - alles okay.

 

Im Exchange habe ich die interner und externe url jeweils auf webmail.meinedomäne.com gesetzt, per Oberfläche.

Ich habe es schon nach zig. Anleitungen (frankysweb etc.) versucht richtig einzurichten. Meistens wird es mir der Shell gemacht, da hatte ich das Problem dass ein zwei Befehle nicht angenommen werden. Müssen die Befehle per Shell eingegeben werden und reicht es nicht aus, das per Exchange Oberfläche zu machen?

 

DNS-Konfiguration

Im DNS sieht es so aus

 

meinedomäne.com

webmail          A Record - IP des Servers
Autodiscover  A Record - IP des Servers

 

Zertifikate manuell installieren (abgesehen davon, dass das Problem nicht löst) und irgendwelche Registry Keys einzutragen kann nicht die Lösung sein. Ich habe das 2013 auch schon mal gemacht, damals ging es ohne Probleme. Aber anscheinend werde ich langsam zu alt und komm nicht mehr drauf, wo ich einen oder mehrere Fehler mache.

 

Also Zusammengefasst: WARUM verwendet Outlook immer zur Verbindung die server.meinedomäne.com und nicht, so wie es in der Internen angegeben ist, webmail.meinedomäne.com. Das verstehe ich einfach nicht.

 

Wäre soooooo dankbar für eine Lösung.

 

DAnke

Thomas

[Nobbyaushb 1.471]

Moin,

 

das Geheminis lautet Split-DNS.

 

Such mal, findest eine Menge Beiträge hier.

 

Norbert

[testperson 1.680]

Hi,

 

neben Split-DNS sollte das

 

Im Exchange habe ich die interner und externe url jeweils auf webmail.meinedomäne.com gesetzt, per Oberfläche.

 

auch für alle URLs / URIs gelten.

Get-OwaVirtualDirectory -Server <Exchange> | Set-OwaVirtualDirectory -InternalUrl 'https://<URL>/owa'-ExternalUrl 'https://<URL>/owa'
Get-EcpVirtualDirectory -Server <Exchange> | Set-EcpVirtualDirectory -InternalUrl 'https://<URL>/ecp' -ExternalUrl 'https://<URL>/ecp'
Get-OABVirtualDirectory -Server <Exchange> | Set-OABVirtualDirectory -InternalURL 'https://<URL>/OAB' -ExternalURL 'https://<URL>/OAB'
Get-ActiveSyncVirtualDirectory -Server <Exchange> | Set-ActiveSyncVirtualDirectory -InternalURL 'https://<URL>/Microsoft-Server-ActiveSync' -ExternalURL 'https://<URL>/Microsoft-Server-ActiveSync'
Get-WEbServicesVirtualDirectory -Server <Exchange> | Set-WEbServicesVirtualDirectory -InternalURL 'https://<URL>/EWS/Exchange.asmx' -ExternalURL 'https://<URL>/EWS/Exchange.asmx'
Get-MapiVirtualDirectory -Server <Exchange> | Set-MapiVirtualDirectory -InternalURL 'https://<URL>/mapi' -ExternalURL 'https://<URL>/mapi'
Get-ClientAccessServer -Server <Exchange> | Set-ClientAccessServer -AutodiscoverServiceInternalUri https://<URL>/autodiscover/autodiscover.xml
Get-OutlookAnywhere -Server <Exchange> | Set-OutlookAnywhere -ExternalHostname <URL> -InternalHostname <URL>

Gruß

Jan

[Nobbyaushb 1.471]

@Jan - hast du nicht Urlaub? B)

[testperson 1.680]

Leider nein :) Aber die "letzte" Zeit (ausnahmsweise ^^) gut gearbeitet und somit keine kaum Probleme ;)

[Dr.Melzer 191]

Moin,

 

das Geheminis lautet Split-DNS.

 

Such mal, findest eine Menge Beiträge hier.

 

Norbert

Zum Beispiel hier: http://www.mcseboard.de/topic/207252-split-dns-wie-ist-es-denn-nun-richtig

[Thomas Maggnussen 2]

Danke euch.

 

Variante4: es werden zwei zonen erstellt, jeweils für mail.meinedomäne.de und autodiscover.meinedomäne.de. darin ist jeweils die interne IP des Servers angegben (übergeordnete domäne)

 

hab ich ja gemacht.

 

Naja, ich hab ihn jetzt eh zerschossen und leider keinen Snapshot gemacht. Werde echt alt und vergesslich...

Naja, fährt gerade vom Backup wieder zurück, dann starte ich von vorne und werds dann nochmal wie auch hier beschrieben einrichten. Schätze irgendwo liegt der Hund begraben. Immerhin wieder viel gelernt ;-)

 

Wurschtel ja nicht im Produktivssystem rum - ein hoch auf die Virtualisierung ;-)

 

Danke für eure Tipps und hoffe mein nächster Beitrag makiert das hier mit gelöst. Wahrscheinlch ein total einfacher Fehler. Bin ja mal gespannt.

[Sunny61 806]

Weshalb steht das mit dem Testsystem nicht im ersten Posting? Das solltest für zukünftige Postings/Anfragen unbedingt berücksichtigen, Danke.

[Thomas Maggnussen 2]

Ahh okay sorry. Stimmt, dann ist klar das ich mit den Vorschlägen kein Produktiv Server zerschisse. Danke für den Tipp. Werd ich in Zukunft machen, mach sowas eh immer auf einer 1:1 Maschine.

 

In der Zwischenzeit habe ich ENDLICH die Lösung gefunden:

 

Im Exchange waren die Zertifikate zwar installiert, aber nicht den richtigen Diensten zugewiesen, ausserdem noch ein altes Zertifikat. Dem richtigen Zertifikat die Dienste IIS usw. zugewiesen und fertig.

 

Auf jeden Fall herzlichen Dank für die gute Hilfe. Seid wie immer Spitze und jetzt wünsche ich ein schönes Wochenede.

[Thomas Maggnussen 2]

Hallo,

 

die Migration von Exch13 auf Exch16 produktiv hat (fast) einwandfrei funktioniert. Ich habe jetzt nur noch ein Problem mit dem Autodiscover von unterwegs:

 

Wenn ich das Konto neu einrichten funktioniert alles bis auf den letzten Punkt "Beim Server anmelden" Dort bricht er dann ab mit "Outlook kann keine Verbindung zum Server herstellen.."

 

In einem exzellenten Whitepaper ist bzgl. des Zertifikates nur ein Unterschied zu meiner Konfiguration gemacht worden: Das Zertifikat dort hat zwei DNS Namen für auto und mail. Ich habe zwei getrennte, aber das konnte ich soweit auch mit zwei richtig konfigurieren da es keine Fehler bei den Seiten bzw. Abruf gibt.

 

Im Outlook-Email-Autokonfigurationstest bin ich dann auf einen, für mich logischen Fehler gestoßen:

 

Lediglich der Eintrag für das OAB stimmt nicht. Dort wird auf den alten Serververwiesen bzw. auch noch auf den Internen der ja von außen nie erreichbar war:

 

"URL für Offlineadressbuch: https://alterserver.local"

 

Es scheint als ignoriert er den Befehl:

Get-OABVirtualDirectory -Server <Exchange> | Set-OABVirtualDirectory -InternalURL 'https://<URL>/OAB' -ExternalURL 'https://<URL>/OAB'

 

Bei Abfrage wird dieser aber auch so ausgegeben.

 

Es scheint, als ob bei der autodiscover.xml der falsche Eintrag erzeugt wird.

Das die jedesmal automatisch generiert wird kann ich das nicht ändern. Naheliegend wäre gewesen, dass ich in der xml Datei den falschen Pfad manuell ändere. Aber ich hab nirgendwo etwas gefunden ob es eine Art Vorlage für die autodiscover.xml gibt.

 

Am Schluss noch ne Anmerkund zu den Shell Befehlen von oben. Die AccessServer Zeile muss kurioser weise nicht wie die anderen auf Server lauten sondern auf Identiy. Warum auch immer:

 

Get-ClientAccessServer -Identity <Exchange> | Set-ClientAccessServer -AutodiscoverServiceInternalUri https://<URL>/autodiscover/autodiscover.xml

 

Wenn jemanden dazu etwas einfällt, wäre ich dankbar da das wie gesagt jetzt nur noch das einzige Problem ist.

 

Merci

bearbeitet 12. November 2017 von Thomas Maggnussen

[testperson 1.680]

Bei "Get-ClientAccessServer" ist es in der Tat "-Identity". Da habe ich was viel gecopied und gepasted. Mea Culpa :)

 

Exchange / IIS / Client cachen eine ganze Reihe an Einstellungen. Unter anderem auch die URLs der virtuellen Verzeichnisse. Falls möglich einfach mal den Server und Client durchbooten oder eben Geduld haben.

 

 

In einem exzellenten Whitepaper ist bzgl. des Zertifikates nur ein Unterschied zu meiner Konfiguration gemacht worden: Das Zertifikat dort hat zwei DNS Namen für auto und mail. Ich habe zwei getrennte, aber das konnte ich soweit auch mit zwei richtig konfigurieren da es keine Fehler bei den Seiten bzw. Abruf gibt.

 

Was heißt denn das? Du hast zwei Zertifikate? Einmal mail.domain.tld und einmal autodiscover.domain.tld? Oder hast du ein SAN Zertifikat mit einem CN sowie einem bzw. zwei SANs?

[Thomas Maggnussen 2]

Exchange 2016 und alter Exchange 2013

 

Das letzte Problem: Es scheint das Globale Adressbuch liegt immernoch auf dem alten Server. Ich habe die Ambition und alle anderen Mailboxen verschoben. Dennoch braucht er noch den alten Server um die Benutzernamen aufzulösen. Welcher Shell Befehl ist das, damit der Exch16 das OfflineAdressbuch bekommt?

 

Oder geschieht das einfach automatisch wenn ich den alten Exchange deinstalliere.

 

Danke

[TheCracked 13]

Hi,

 

bei der Installation von Ex 2016 wird ein neues Offline Adressbuch erzeugt meines Wissens nach.

Du musst das noch der Ex 2016 DB zuweisen.

 

Grüße
TC

[Thomas Maggnussen 2]

Das habe ich gemacht.

 

Der alte Exchange ist jetzt komplett drausen. Alles funktioniert bis auf dem verflixten Autodiscover.

Von Extern bleibt er bei Outloll beim dritten Punk "Anmelden an E-Mail Server" hängen und wirft die Meldung aus "Es konnte keine Verbindung..."

Es muss also mit der Authentifizierung am Domänencontroller zusammenhängen obwohl er im Punt 2 sich ja anmelden kann.

 

Das einzige was ich jetzt noch gefunden habe ist bei Get-OutlookProvider:

 

RunspaceId             : b3c8e4dd-3e72-4xxx-xxxx-03bf4151d3cf
CertPrincipalName      : ???????????????
Server                 : ????????????????
TTL                    : 1
OutlookProviderFlags   : None
RequiredClientVersions :
AdminDisplayName       :
ExchangeVersion        : 0.1 (8.0.535.0)
Name                   : EXCH
DistinguishedName      : CN=EXCH,CN=Outlook,CN=AutoDiscover,CN=Client Access,CN=First Organization,CN=Microsoft
                         Exchange,CN=Services,CN=Configuration,DC=domäne,DC=local
Identity               : EXCH
Guid                   : e3085f66-65b7-4c3c-986d-43f84ea388ef
ObjectCategory         : domäne.local/Configuration/Schema/ms-Exch-Auto-Discover-Config
ObjectClass            : {top, msExchAutoDiscoverConfig}
WhenChanged            : 30.09.2017 08:24:56
WhenCreated            : 13.01.2010 14:04:53
WhenChangedUTC         : 30.09.2017 06:24:56
WhenCreatedUTC         : 13.01.2010 13:04:53
OrganizationId         :
Id                     : EXCH
OriginatingServer      : E13.domäne.local  !!!!!!!!!!
IsValid                : True !!!!!!!!!!
ObjectState            : Unchanged

 

 

Dort steht in verschiedenen Feldern nichts drin und ausserdem immernoch der alte Server "E13" (siehe Bild). Hört sich nach DEM Problem hat. Aber warum? Bin ja wohl kaum der einzige der Migriert und bei jedem scheints zu klappen. Hab mich an die ganzen Anleitungen gehalten. Ist der einzige Unterschied vielleicht, dass ich den neuen Konfiguriert habe während der alte Exchange noch in Betrieb war?

 

Wie kann ich dann die Einträge korriegieren bzw. wie müssten sie lauten?

 

DANKE

[tesso 375]

Schau dir die virtuellen Verzeichniss von weiter oben nochmal an.

Wenn da nichts ist, dann in den DNS und auf alles Wäsche dem Exchange hängt. Eine genauere Suche ist aus der Ferne schwer.

 

BTW: ich weiß nicht welche Anleitung du benutzt hast. Aber wenn du alle Schritte gemacht hättest würde es auch funktionieren. :)

 

Ich vermute den alten Exchange noch in den Einrägen.