Exchange 2013 Wildcard Zertifikat Outlook Problem

[sefter 0]

Hallo zusammen,

 

habe mich gerade hier im Forum angemeldet und freue mich hier sein zu dürfen. Ich habe ein großes Problem bei dem ich schon seit zwei Tagen mir die Zähne ausbeisse.

Folgender Sachverhalt:

 

Vorher:

- Kunde war vorher bei 1&1 Mail

- hat einen internen Exchange Server 2013 und dieser hatte bis dato per PopCon die Mails vom 1&1 abgeholt

- die Mitarbeiter arbeiten alle auf dem Terminalserver mit Outlook, funktionierte auch bisher ohne Probleme

 

Neu:

- A Record mail.kundexyz.de auf die statische IP

- MX Record von 1&1 umgestellt auf mail.kundexyz.de

- autodiscover bei 1&1 angelegt CNAME auf mail.kundexyz.de

- SRV autodiscover auch bei 1&1 angelegt zeigt auf mail.kundexyz.de

 

- dann auf dem Kunden DNS Server Split-DNS angelegt mail.kundexyz.de > IP lokale Exchange

- autodiscover.kundexyz.de -> IP lokale Exchange

- SRV autodiscover unter mail.kundexyz.de und im kundexyz.local angelegt

 

- neues Wildcard Zertifikat *.kundexyz.de beantragt und auf dem Exchange Server eingespielt

- alle Externe/Interne URLs auf https://mail.kundexyz.de geändert (habs von Frankysweb übernommen)

 

Soweit funktioniert alles mails kommen an und gehen auch raus.

 

Das Problem was ich jetzt habe ist, das die Anwender beim Outlook starten jedes mal die Zertifikatsmeldung/Sicherheitshinweis bekommen das Aussteller/Datum gültig sind aber der Name nicht passt.

Wenn ich aber ein neues Outlook Profil anlege, dann bekomme ich diese Meldung nicht. Schön und gut, aber die Mitarbeiter wollen kein neues Profil da sonst alle Einstellung usw. nochmal vornehmen müssen....

Nach dem man aber das Zertifikat mit Ja bestätigt (muss man halt bei jedem Outlook start machen), dann geht es ganz normal weiter und alles funzt.

Nun gibt es aber einige User die leider nicht mehr auf freigegebene Kalender ändern können sprich anlegen/löschen usw.. aber sehen tun sie alles, es kommt eine Meldung das keine Berechtigung hat für diesen Kalender, obwohl es vorher ging und alle Berechtigungen vom freigegebenen User gesetzt wurde...

 

Ich habe die Befürchtung das irgendwo noch was fehlt, irgendwas übersehe ich gerade? DNS Eintrag fehlt? Oder muss ich noch den Parameter set-outlookprovider certprincipalname setzen? So wie ich das verstehe muss man das nicht oder?

 

Bitte helft mir, ich komme einfach nicht weiter.... :-(

 

Vielen Dank im Voraus...

 

[NorbertFe 2.035]

Immer diese wildcard Schose. Wozu braucht man das? Ein Zertifikat mit den zwei Namen autodiscover und Mail und du hättest keine Probleme. Jetzt wirst du eben noch den Zertifikatsnamen für Outlook anywhere im Outlook Provider vorgeben müssen.

bspw:

https://www.cgoosen.com/2010/11/outlook-anywhere-and-wildcard-certificates/

 

imap und Pop haben ähnliche probleme. Außerdem kontrolliere mal den Versionsstand deines exchangeservers (bitte posten) und aktiviere und konfiguriere Mapi/http.

 

bye

norbert

[sefter 0]

Hallo Norbert,

 

danke, das ging aber schnell.

Version 15 Build 1367.3  -> sollte Exchange 2013 CU 20 sein

 

Muss ich dann trotzdem neue Outlook Profile erstellen wenn ich den Provider ändere? Was könnte im schlimmsten Fall passieren?

 

 

[NorbertFe 2.035]

Schlimmstenfalls ist der Fehler weg ;)

[sefter 0]

also, dann ändere ich mal das so um, wenns nicht hilft kann ich es ja wieder mir $null rückgängig machen... muss ich in dem fall mapi/http aktivieren? würde es gerne erst mal mit rpc/http probieren..

[NorbertFe 2.035]

Hättest du Mapi http gäbs den Fehler afaik nicht mal. Und beide Sachen können parallel laufen.

[sefter 0]

wie aktiviert man mapi/http?

 

set-outlookprovider brachte nicht den gewünschten erfolg, muss ich doch das profil neu erstellen?

[NorbertFe 2.035]

Nein das kann ne Weile dauern bis Outlook darbringt bestehenden Profilen aktualisiert. Du kannst mal ein neues Profil erstellen um zu sehen, ob es einwandfrei funktioniert.

vor 3 Minuten schrieb sefter:

wie aktiviert man mapi/http?

Wie bedient man Google?

[sefter 0]

neues Profil funzt soweit, gut das hat es ja auch vorher wenn neues Profil erstellt wurde...  nur das mit dem Berechtigungsproblem Kalender funktioniert immer noch nicht, kommt immer noch Berechtigungsproblem...

[NorbertFe 2.035]

Welchen Namen muss man denn bestätigen?

[sefter 0]

den lokalen exchange server namen

[sefter 0]

hab jetzt alles so umgestellt wie du mir empfohlen hast, outlook verbindet sich jetzt auch mit mapi... aber zertifikatsmeldung kommt immer noch und kalenderberechtigung geht auch noch nicht, ich habe aber allerdings kein neues profil erstellt... beim neuem profil kommt zwar die zertifikatsmeldung nicht, aber kalender berechtigungsproblem besteht dennoch..

 

[Nobbyaushb 1.471]

vor einer Stunde schrieb sefter:

den lokalen exchange server namen

Dann hast du irgendwo falsche URL konfiguriert und / oder das Zertifikat passt nicht dazu.

 

Hat jemand nach Split-DNS gefragt, ist das ein offizielles Zertifikat oder von einer Root-CA?

[sefter 0]

offizielles certificat von digicert rapid ssl

was meinst du mit gefragt split-dns?

habe alle urls gecheckt, sieht alles gut aus

[NorbertFe 2.035]

Naja wenn du das sagst, dann muss es so sein. Es gibt zwar immer mal Fälle, in denen sich das Profil tatsächlich nicht aktualisiert, aber das passiert nicht bei 100% sondern so gefühlt 1-2%. Wenn das bei dir also bei allen so ist, dann wird irgendwo noch der falsche Name drin stehen, wäre auch meine Vermutung. Srv Records intern und extern kannst du dir übrigens sparen, du hast ja ein Zertifikat und den autodiscover hosteintrag.